Das Dokument beschreibt die Implementierung und Nutzung von Splunk bei Helvetia für das Monitoring, die Analyse und das Reporting maschineller Daten. Es werden aktuelle Herausforderungen, Ziele und spezifische Anwendungsfälle (Use Cases) behandelt, um die Effizienz und Verfügbarkeit von Kundenanwendungen zu verbessern. Zudem wird auf die Notwendigkeit der Etablierung von Standards für Logging und das Reporting hingewiesen, um die Qualität der gesammelten Daten zu erhöhen.

1. Copyright © 2015 Splunk Inc.
Volkher.Kassner@helvetia.ch
splunk@helvetia

2. 2
splunk@helvetia
Volkher Kassner
Senior System Engineer

3. 3
Agenda
Helvetia: Über uns & über mich
Momentane Installation
Use Cases für Heute
Zukünftige Entwicklungen

4. 4
Helvetia: Über uns

5. 5
Mein Hintergrund
Team: IGS – IAM – Governance – SIEM
Helvetia Gruppen Funktion – wir agieren als Service Dienstleister
länderübergreifend.
Was machen wir den ganzen Tag: Zuständig für die Vergabe und
Kontrolle der Rechte sowie der Aufzeichnung und Auswertung der
maschinengenerierten Daten im Konzern.
"More brain, less surgery" – kenne deine Daten und stelle sicher das du
die Daten hast, welche du brauchst.
Herkunft: Storage und Unified Server Infrastruktur & vSphere, dort
bereits betriebliches Monitoring etabliert, seit 2015 mit splunk
beschäftigt.

6. 6
Splunk enterprise at Helvetia
Indexer
Forwarder
Search head
Corporate Datacenter
Deploy ServerLicense Server
Universal Forwarder auf vm und phys.Server
Linux: alle
Windows: teilweise
Indexer Search head
INTG PROD
Datacenter an den Standorten
der Helvetia Gruppe
9997
8089
Splunk Anwender

7. 7
Wunsch der Marktbereiche
Wir brauchen stabilere und verfügbarere
Kundenanwendungen!

8. 8
Wie wir angefangen haben
Virtual server Network www
Log fileLoad balancer
Application
Network Switch
Active Directory
Datenbanken Firewall
& Was wir habenWas wir wollen
Monitoring von Anwendungen
Alarme in bestimmte Situationen
Unterstützung im Troubleshooting
Reports
Kapazitätsplanung
…
Und das alles länderübergreifend

9. 9
Industry Leading Platform for Machine Data
Any Machine Data Operational Intelligence
HA Indexes
and Storage
Search and
Investigation
Proactive
Monitoring
Operational
Visibility
Real-time
Business
Insights
Commodity
Servers
Online
Services Web
Services
Servers
Security GPS
Location
Storage
Desktops
Networks
Packaged
Applications
Custom
ApplicationsMessaging
Telecoms
Online
Shopping
Cart
Web
Clickstreams
Databases
Energy
Meters
Call Detail
Records
Smartphones
and Devices
RFID

10. 10
Unsere Herausforderungen
Rackern, ackern und doch irgendwie stets auf der gleichen Stelle
HerausforderungenOperations
• Viele einzelne Tools die für sich
alleine gute Werte liefern
• Viele Meldungen im Service Desk
• Silo Sichten
• Mehrfacherfassung von Stati
• Interpretationsspielräume
• Root Cause Analyse langwierig und
aufwändig
• Lizenzkosten für Werkzeuge,
• Kostentransparenz intern & extern
• Interpretationshoheit der Daten
• Nicht die richtigen Daten
• Performance der Systeme
• Engineering durch Betrieb
gebunden
• Oft nur "Jeder für sich" und "Der
andere wars"

11. 11
Unsere Ziele
Greifbar und doch manchmal so fern ….
Kunden UsecasesWanted! DEAD or Alive!
• Stabil
• Verfügbar
• Erreichbar
• Messbar
• Use Cases für
– Monitoring
– Alerting
– Troubleshooting
• Und
– ReportingWas muss getan werden?
• Entwicklung eigener Reporting Klassen
• Entwicklung eigener Logging Klassen
• Etablierung Standards für Logging für Applikationen
• Etablierung übergreifendes Logging und Analyse

12. 12
Entwicklung Logger für Applikationen
Ausgangsbasis log4j/JBoss
 6 Log Level (Fatal, Error, Warning, Info, Debug, Trace)
 Ausgabe anhand Hierarchie der Log-Level (Log-Level "X und schlimmer")
 Definition der erwarteten Reaktion
 Default Level für Produktions Systeme: INFO

13. 13
Entwicklung Logger für Applikationen
Log-Level Beispiel Massnahme
Fatal •Fehler in Konfigurationsdateien, die verhindern, dass Ressourcen (z.B. JDBC-
Connections) zur Verfügung gestellt werden.
•Eine Instanz einer Klasse kann nicht über das Reflection API erzeugt werden.
•Alle java.lang.Errors wie OutOfMemory-Error, StackOverflow etc.
•Die Applikation muss vom
Entwickler/Administrator gewartet
werden.
Error •Ein Pool kann keine weiteren Ressourcen zur Verfügung stellen.
•Verbindungsprobleme z.B. via JDBC, JMS etc.
•Die Ursache des Fehlers muss vom
Entwickler / Administrator gesucht und
behoben werden.
Warning •Infrastruktur-Grenzwerte werden erreicht: z.B. min. Cache-Hit-Ratio, Connection-Pool-
Threshold
•Unerwartete Eingaben (sofern diese nicht als Manipulation / Angriff gewertet werden
sollen)
•Verletzung von Pre- und Post-Conditions
•Security-Fehler (bspw. Zugriff verweigert) (falls ein technischer User ein
Berechtigungsproblem hat, so ist dies als ein FATALer Fehler zu werten)
•Nach Analyse der Warnings entscheidet
der Administrator darüber, ob
Handlungsbedarf besteht. Die dazu
notwendige Information muss in der
geloggten Message enthalten sein.
Info •Beim Start der Applikation werden Konfigurationsparameter ins Log geschrieben.
•Login/Logout vom Benutzer
•Abschluss einer relevanten Verarbeitung (z.B. Anforderung eines Angebotes)
•Accounting Information (z.B. Aufrufe durch externe Partner) werden ebenfalls als INFO
geloggt.
•kein Handlungsbedarf
•bei Bedarf können jedoch
Auswertungen stattfinden (z.B.
Accounting)

14. 14
Entwicklung Logger für Applikationen
– und nun zu splunk
Splunk: Nutzung als "google 4 log files" 
Damit SPLUNK optimal genutzt werden kann, werden spezielle
Schlüsselworte im Log erwartet, die im Common Information Model
(CIM) sind
Standardisierung Logpattern im standalone.xml
Schlüsselbegriffe standardisieren generell nach Splunk - Log
Definitionen und Common Information Model
"%d{yyyy-MM-dd HH:mm:ss.SSS} level=%-5p, stage=@STAGE@,
app=@PROJECT_NAME@, version=@APP_VERSION_NUMBER@, class=%c,
thread=(%t), component=jboss, %s%E%n"

15. 15
Entwicklung Logger für Applikationen – CIM

16. 16
Beispiel der Rohdaten in splunk

17. 17
Rohdaten aus Umsystemen
|dbquery "SQL Datenbank" "SQL_statement"
& o'zapft is!

18. 18
Datenquellen – was nun?
Konsequente Nutzung Standards führt zu besserer Datenqualität des
Services
Einblicke in den Gesundheitsstatus der Anwendungen
Zusammenhänge und Verständnis der verschiedenen Datenquellen
Anbindung von anderen Datensammlungen an splunk
 Bessere Sicht auf Services
 Einheitliches Applikationsübergreifendes Logging
 Splunk Reports und Dashboards zentral für Umsetzung Use Cases

19. 19
UC: Monitoring
Nutzungsverhalten
Fehlerarten in einem Service
Detailierte Analysen
für JBoss
Wo treten die Fehler auf?
Welche Sparte hat wieviele
Schäden gemeldet?

20. 20
UC: Alarming
Abgeleitet aus den gesammelten Daten
Triggered alerts
– Stossen: python scripte an
– Generieren: EMail => stossen Prozesse an
– Liefern: Berichte
 Kann sich ein Brooker nicht mehr anmelden?
 Gab es Verarbeitungsabbrüche in der Nacht?
 Konnten Zahlungen erfolgen?
EMail an
Help Desk
Kritisch?
sms
Bewertung
•OK?
•Error?
•Escalation?
Escalation?
Weitergabe an
Entwicklung
Betrieb Gruppe
Error in App
Betrieb Gruppe
Ticket?
Ticket

21. 21
UC: Troubleshooting
Alle verfügbare Daten des Services schnell
erreichbar
– Applikation
– Server
– Infrastruktur

22. 22
UC: Reporting
Auswertungen für Vertriebscontrolling
– Idee: Reports über die Nutzung von Services differenzieren
– Herausforderung: Interne Bedenken, Möglichkeit mit den Daten in splunk ist
vorhanden
Quartalsauswertungen
– Idee: Regelmässiges Reporting auf Ebene von GL und PFT für Steuerung &
Korrektur der Vorhaben
– Herausforderung: komplexe, unterschiedliche Datenquellen, nicht alle Daten
sind in splunk verfügbar und splunk dient als Liefersystem

23. 23
UC: Reporting
Nutzercontrolling
– Idee: Grobes Nutzercontrolling mit Web-Analytics Tools
 Wann springen Kunden ab?
 Wo verweilen sie?
 Welche Applikationen sind besonders attraktiv im Portal?
 Welche Konstellationen suchen sich die Kunden heraus?
– Problem:
 Datenabgleich ist ein manueller Prozess
 Nicht alle Daten Silos sind so gut erschlossen wie wir das gerne hätten
 Bedenken seitens Security, Datenschutz da viele Daten bei der Analyse nicht
hinreichend anonymisiert sind.

24. 24
UC: Reporting
Beispiele: Antragseinspielung für ein Produkt nach Verarbeitungsart
• Splunk Reports als .csv Datenquelle
• Aufbereitung, zusammen mit anderen
Reports aus Adobe SiteCatalyst und
Adobe Experience Manager
• Excelling with Excel in Splunk :D
Screenshot here

25. 25
UC: Reporting
Weitere Beispiele für die Reports die wir in Splunk für diesen UC erstellen
… 173 Custom Reports

26. 26
UC: Reporting
How we did it – Excelling in Excel with splunk
Splunk kann via ODBC und csv Daten liefern.
ODBC und csv? In Biz Reports??
=> Wir brauchen eine Lösung!!1!ELF!!
Home brew TA für Excel
– Technik
 Baut auf python auf
– Funktionen
 Import
 Export
 E-Mail
Links:
Splunkbase TA-XLS
Blogs: Dev
Splunk Answers

27. 27
Technical Add-On: TA-XLS
TA-XLS – cheat sheet
| outputxls <filename.xls> “<sender>” “<receiver>” “<subject>” “<bodyText>” “<smtpHost>”
| sendfile “<sender>” “<receiver>” “<subject>” “<bodyText>” “<attachment>” “<smtpHost>”
| csv2xls <commaseparated.csv> <filename.xls>
| xls2csv <filename.xls> <numOfWorksheets> <commaseparated.csv>
E-Mail: File from /var/run/splunk* to Receiver
E-Mail: generated .xls report to receiver
Export to .XLS of a file in /var/run/splunk – splunk data to an excel sheet
Import from .XLS of a file /var/run/splunk – You can add your excel spreadsheets to splunk
*(For security reasons the files need to reside in $SPLUNK/var/run/splunk and be owned by the user in which splunk runs.)
We recommend using the optional syntax because it wraps the sendfile command if you add the optional parameters

28. 28

29. 29
Top Takeaways
Daten aus eigenentwickelten Anwendungen sind Gold
Aber wenn jeder ohne Standards seine Daten schreibt, dann ist es
mühsam sie zu bergen
Durchsetzung von Standards ist Mühsam und muss in den Entwicklungs-
und Abnahme Prozess aufgenommen werden
Splunk hat viele Connectoren die problemlos unterschiedlichste
Datenquellen anfragen können
Splunk Community ist toll und Erkenntnisse teilen ist super!

30. 30
What’s Next for Helvetia?
Splunk Evolution – unsere in die Jahre gekommene Umgebung mal so
richtig überarbeiten
Splunk ITSI untersuchen, evaluieren – vllt. einsetzen?
Splunk Enterprise Security (ES)
Indexer
Forwarder
Search head
Corporate Datacenter
Deploy ServerLicense Server
Universal Forwarder auf vm und phys.Server
Linux: alle
Windows: teilweise
IndexerSearch head
INTG PROD
Datacenter an den Standorten
der Helvetia Gruppe
9997
8089
Splunk Anwender
Universal Forwarder
Deployment Server
syslog-ng
Distributed Management
Console
License Manager
Master Node
9997
8089
9997
999799979997
8089
9987 9987
8089
Heavy Forwarder
Indexer_1
INTG Search HeadITSI
Indexer_2
Indexer_3
PROD Search Head Enterprise
Security

31. Copyright © 2015 Splunk Inc.
Volkher.Kassner@helvetia.ch
Danke für Ihre
Aufmerksamkeit!

32. 32
Universal Forwarder
Deployment Server
syslog-ng
Distributed Management
Console
License Manager
Master Node
9997
8089
9997
999799979997
8089
9987 9987
8089
Heavy Forwarder
Indexer_1
INTG Search HeadITSI
Indexer_2
Indexer_3
PROD Search Head
Enterprise
Security
Neue Architektur (Gross)