Splunk-Protokolle werden nicht korrekt analysiert
In diesem Artikel werden die häufigen Symptome des Problems und die Schritte zur Korrektur des Protokolleintragsformats für eine ordnungsgemäße Analyse in Splunk behandelt.
Beschreibung description
Umgebung
Adobe Experience Manager as a Cloud Service (AEMaaCS)
Problem/Symptome
Bei Verwendung von Splunk für die Protokollanalyse in Verbindung mit Adobe Experience Manager (AEM) wird jede Zeile einer Stapelablaufverfolgung fälschlicherweise als einzelnes Ereignis analysiert. Dadurch werden die Protokolle (insbesondere die benutzerdefinierten Protokolle) verkettet oder sie werden möglicherweise nicht korrekt analysiert.
Bei der Integration von benutzerdefinierten Protokollen mit Splunk ist es wichtig, dass die Protokolle für Fluent Bit, den von Splunk verwendeten Protokollprozessor, korrekt formatiert sind. Das erwartete Standardformat lautet:
dd.MM.yyyy HHss.SSS *LEVEL* [ Logger] message
Wenn die Protokolle dieses Format nicht einhalten, insbesondere was die Kapselung der Protokollebene mit Sternchen und das genaue Zeitstempelformat betrifft, kann Splunk jede Zeile eines mehrzeiligen Protokolleintrags, z. B. einen Stacktrace, fälschlicherweise als separate Ereignisse behandeln.
Auflösung resolution
Um das Problem mit der Protokollanalyse in Splunk zu beheben, aktualisieren Sie die Implementierung der benutzerdefinierten Protokollierung in AEM, um das erforderliche Format zu verwenden. Für diejenigen, die SLF4J mit Logback oder anderen Frameworks verwenden, sollte das Protokollmuster wie folgt konfiguriert werden:
{0,date,dd.MM.yyyy HHss.SSS} *{4}* [ {3}] {5}
Beachten Sie die Platzierung von Sternchen um den Platzhalter auf Protokollebene {4}. Diese geringfügige Diskrepanz kann sich auf den Parsing-Prozess auswirken und zu Analyse- und Anzeigeproblemen in Splunk führen.
Dieses Muster stellt sicher, dass die Protokolleinträge dem erwarteten Format entsprechen, wobei die Protokollebene von Sternchen umgeben ist und das Datum in der Tag-Monat-Jahres-Reihenfolge.
Umfassende Anweisungen zum Einrichten und Konfigurieren von Protokollierungsformaten in AEM as a Cloud Service finden Sie im Abschnitt Protokollierungsdokumentation.
Durch die Einhaltung des angegebenen Protokollformats können Kunden sicherstellen, dass Splunk mehrzeilige Protokolleinträge korrekt analysiert, was eine effektivere Überwachung und Analyse ermöglicht.