L’exploitation des fichiers de logs : la solution Splunk

Ce blog a été réalisé avec la participation de X. Zébier, Enterprise Architect.

L’exploitation des logs est une tâche difficile et souvent mal outillée.
Les logs sont indispensables en cas de problème en production. Leur remise en cause n’est évidemment pas de mise.
Mais il faut réfléchir à des moyens plus efficaces pour leur exploitation.

De ce point de vue Splunk semble une solution intéressante. Elle est capable d’analyser des formats de fichiers logs tels que ceux de IIS, Log4J et syslog.

Splunk indexe les fichiers, en décalé ou en temps réel et peut générer des rapports par défaut ou personnalisé. Des champs calculés peuvent être définis.

L’application est conçue autour de la notion d’apps, sorte de plugins qui s’installent sur les équipements à surveiller (plateformes Unix, Linux et Windows, compte IMAP, POST et GET de pages internet, trafic multicast, …

Splunk est complémentaire de Nagios : Nagios collecte l’information et alerte en cas d’incident, Splunk aide à situer les causes des incidents.

Splunk est aussi d’une aide intéressante pour débugger les applications multi-tiers, ainsi que lors des phases de déploiement (passage de l’acceptation vers la production par exemple). 

Splunk n’est pas un logiciel libre. Il fonctionne de base avec une licence gratuite de 60 jours autorisant un volume de données collectées de 500 MB par jour. Au delà de ce délai, il est possible de prolonger sa licence gratuitement, ou d’évoluer vers l’offre Enterprise, dont le coût est fonction du volume de données collectées.

La solution Splunk peut présenter un intérêt  pour l’exploitation de nos fichiers de logs sous Weblogic. Malheureusement, il est vraisembable que les volumes auxquels nous sommes confrontés nous obligent à passer d’entrée de jeu à la version entreprise.

Leave a Reply

Your email address will not be published. Required fields are marked *