หลังจากที่ใช้ splunk มาได้ซักระยะหนึ่ง ก็เริ่มรู้สึกว่า ชีวิตมันง่ายขึ้น สำหรับเรื่องของการดู log จากอุปกรณ์ต่าง ๆ ก็เลยคิดว่า แล้วถ้าเป็น vmware ล่ะ ก็คงจะมีการส่ง log เหมือน ๆ กันนั่นละ อย่ากระนั้นเลย หาวิธีที่จะทำให้ Splunk สามารถ monitor log ของ vmware ดีกว่า
สิ่งที่ทำเป็นอันดับแรก คือเข้าไปดูข้อกำหนดต่าง ๆ ที่มีคนทำมากันแล้ว ปรากฏว่า มีคนทำ Splunk Application สำหรับ monitor vmware log เลย แต่เป็น esx3.0 และทำบน Splunk V.3 เท่านั้น ซึ่งปัจจุบัน Splunk 3 ก็ยังมีให้โหลดอยู่ แต่เรื่องจาก vmware ที่ผมมีอยู่ กลับกลายเป็นว่า เป็น esxi 4.0 ซึ่งเป็น เวอร์ชั่นใหม่กว่า แต่คิดว่า คงไม่เป็นไรครับ อย่างนี้คงต้องลองล่ะ โดยไม่รอช้า เราก็จะเริ่มทำการทดสอบกันเลย
Test EnvironmentDebian 5.0 operating system
Splunk 3.4.9 เวอร์ชั่นประจำตัว (จริง ๆ มีเวอร์ชั่นใหม่กว่านี้นะ จะเป็น 3.4.12 ใครจะใช้ก็ได้ แต่ผมชอบเวอร์ชั่นนี้ครับ)
VMware Esxi 4.0 ที่มี Guest OS run อยู่ข้างใน (ใช้งานอยู่นั่นเอง)
Configuration1. เริ่มโดยการสร้าง OS ขึ้นมาก่อน โดยลง OS เป็น Debian 5.0 แล้วสั่ง update ครับ สำหรับวิธีการลง ให้หาอ่านในเรื่องก่อน ๆ ครับ
2. Download Splunk 3.4.9 จากหน้าเวบ Splunk แต่ถ้าใครไม่อยากเปิดหน้าเวบ ก็ copy link ไปแปะที่ console ของ OS ได้เลย แต่ต้องลง wget ก่อนนะ ถึงจะใช้ได้
wget 'http://www.splunk.com/index.php/download_track?file=/3.4.6/linux/splunk-3.4.6-51113-linux-2.6-intel.deb&ac=&wget=true&name=wget&typed=releases'3. install splunk โดยพิมพ์ว่า
dpkg –i splunk…..(กด tab ดูเอาเองครับ)
4. install java runtime โดยพิมพ์ว่า
aptitude install sun-java6-jre5. ทดสอบว่า install java เรียบร้อยแล้วหรือยัง โดยพิมพ์ว่า
java -version6. Download Splunk app for vmware จาก
http://www.splunk.com/view/vmware-virtualization/SP-CAAADPN เอามาวางไว้ที่เครื่อง
7. แตกไฟล์ออกมา จะได้ folder ชื่อ vmware
8. นำ folder vmware ไปวางไว้ที่
/opt/splunk/etc/apps9. เข้าไปแก้ไฟล์
/opt/splunk/etc/apps/vmware/default/vmware.confurl=https://
/10.1.1.1/sdk #ให้ใส่ IPaddress ของ vmware server ครับ
username=
/user1 # ใส่ username ที่ใช้เข้า vmware server ครับ
Password=
/pass1 # ใส่ password ที่ใช้เข้า vmware server ครับ
10. Set environment สองค่า
# export SPLUNK_HOME=/opt/splunk
# export PYTHONPATH=/opt/splunk/lib/python2.5 (บางคนอาจจะต่างจากนี้ ให้ตรวจสอบก่อนว่า มี folder ประมาณนี้อยู่หรือไม่ )
11. ทดสอบ ว่า App ทำงาน หรือไม่ โดยพิมพ์ดังนี้
# cd /opt/splunk/etc/apps/vmware
# java –jar lib/splunk.jar ซึ่งถ้า app ทำงานเป็นปกติ ก็จะไม่ขึ้นข้อความ error ใด ๆ
12. สั่ง restart splunk โดยพิมพ์ว่า
# /opt/spunk/bin/splunk restartเมื่อเราเข้าไปดูที่หน้าจอ ก็จะพบว่า มี App ของ Splunk run อยู่แล้ว ดังรูป
และเมื่อคลิก Drop down list ที่ Dashbaord จะพบ หน้า Dashboard ของ vmware ต่าง ๆ ดังรูป
เมื่อลองเข้าไปคลิก ๆ ดู ก็จะแสดงผลดังรูป
Test Summary and problemอย่างที่บอกตั้งแต่แรกว่า App นี้ถูกเขียนมาสำหรับ monitor vmware esx3.0 ดังนั้น เมื่อเรานำมาใช้กับ Esxi4.0 คุณสมบัติบางอย่างจึงไม่สามารถใช้งานได้ครับ แต่ส่วนใหญ่ก็จะใช้งานได้ดีครับ
หลังจากที่ลองกับ Splunk 3 แล้ว ผมก็เลยลองใช้กับ Splunk 4 บ้าง ซึ่งผลก็ปรากฏว่า App
ไม่สามารถทำงานได้ตามปกติ ดังรูป
เมื่อคลิกเข้า App ก็จะเจอ error ดังรูปครับ
อ้างอิง : http://www.splunk.com/view/vmware-virtualization/SP-CAAADPN
