SPLUNK CHEZ RTL
Bruno Bonfils, <asyd@asyd.net>
Responsable système et réseaux
Mardi 21 Septembre 2010

mardi 3 mai 2011

RTL, RADIO NUMÉRO 1

• Les

différents métiers de RTL

• Régie

publicitaire (IP France)

• La

production et la diffusion broadcast

• La

diffusion Internet

mardi 3 mai 2011

NOS PROBLÉMATIQUES
• Production, diffusion
• La

diffusion broadcast est dépendante du réseau

• Des

problématiques avec certains matériels récalcitrants

• Internet
• Accès
• D’une

mardi 3 mai 2011

et gestion des logs par les développeurs

manière générale, le traitement des logs

PRÉSENTATION TECHNIQUE
DE SPLUNK

mardi 3 mai 2011

MA COMPRÉHENSION a pour objet l’extraction d’un savoir ou d’une connaissance à partir de grandes quantités de données • Définition

commerciale : « Only Splunk enables you to search, report,

monitor and analyze streaming and historical data from any source. »

• Ma

définition technique : « outil de log mining - une spécialisation du data mining. »

mardi 3 mai 2011

CONCRÈTEMENT

• Splunk

est un outil qui va lire des données (logs), les indexées, et permettre aux utilisateurs des les consulter, analyser, et éventuellement de faire des (jolis) rapports graphiques

mardi 3 mai 2011

LE GLOUTON SPUNK

• Techniquement
• Mais... doit

illimité sur les canaux d’entrées

comprendre un minimum le contenu (cette compréhension est apportée par l’administrateur)

mardi 3 mai 2011

QUE MANGE T’IL

• Par

défaut, splunk reconnait un certain nombre de formats
(syslog, log4j, access/combined, etc.), qu’on appelle sourcetype • On

mardi 3 mai 2011

peut créer ses propres sourcetypes

COMMENT LE NOURRIR localement, ou via un agent
• Des

données locales (fichiers)

• fichiers

logs

• filemonitor

(metadata et contenu du fichier)

• Des

sockets TCP/UDP (syslog)

• Des

scripts

mardi 3 mai 2011

COMMENT AVALE T’IL ?
• une

sourcetype (déjà vu)

• une

source (par exemple le nom du fichier)

• un

hostname (statique ou dynamique)

• un