Veel van de functionaliteit van ITSI glass tables is beschikbaar in Dashboard Studio. Het voordeel is dat je dashboards gemaakt met Dashboard Studio buiten ITSI kan gebruiken in eigen apps en je kan je dashboards makkelijker uitbreiden met “save as > Existing Dashboard” vanuit Search.

Wat is er anders in een glass Table? De volgorde van de “objecten”

Als je de glass table opent kun je de onderliggende json opvragen met “show source”

Je kunt in de json browser de “parent objects” zoals “dataSources” inklappen. Als je al de parent objects inklapt en vergelijkt met dashboard studio, dan zie je dat de volgorde anders is.

De linker volgorde van de parent objects is van ITSI glass tables, de rechterkant is hoe het moet met dashboard studio.

Tip: Gebruik een IDE zoals VSCode met een json (lint) extensie zodat je gelijk kan zien of er geen syntax fouten zijn of andere problemen in je nieuwe dashboard studio json code. 

Het migreren van een ITSI glass Table naar Dashboard studio

Het eerste wat je moet doen is je ITSI glass table openen en klikken op “show JSON”.

Maak in een andere browser-tab of venster een nieuw dashboard in dashboard studio maken met een “absolute” layout.

Zet één ding tegelijk over en klik op save

Om foutmeldingen te voorkomen moet je niet alles tegelijk overzetten maar één parent object tegelijkertijd. Begin bij visualisations, save en probeer op save te klikken bij elk nieuw object wat je overzet. Soms lukt het saven niet vanwege een foutmelding, maar op deze manier heb je in ieder geval al iets overgezet. Gebruik een IDE om te checken op syntax errors (zoals ontbrekende of verkeerde komma’s en curly braces)

Optioneel: Queries omzetten vanaf ITSI naar een algemene query.

Als het goed is heb je nu een werkend dashboard, maar hij is nog wel afhankelijk van ITSI KPI’s. Als je die onafhankelijk wilt maken van ITSI moeten die nog worden overgezet. Als je bij de “data sources” kijkt in Dashboard Studio dan zie je een harde verwijzing naar ITSI KPI’s en services:

Open de KPI en kopieer de search source. Kijk wat er staat bij “calculation” om te zien of je nog iets moet doen met stats of eval. Bijvoorbeeld: onderstaande kun je omzetten via | stats dc(group-by field)

De oude SPL is namelijk gebaseerd uit waardes die uit de service of KPI van ITSI komt.

Conclusie:

Het omzetten van GlassTables naar Dashboard Studio is heel eenvoudig, het belangrijkste verschil is de volgorde van de JSON objecten.

Als Splunk engineer zie ik het nog vaak: Splunk wordt handmatig geïnstalleerd en geüpgraded. Dat kost veel tijd, is foutgevoelig en schaalt slecht. Bij een recente klant, een grote financiële dienstverlener, liepen we tegen precies dit aan. Hun omgeving bestond uit veel Splunk heavy forwarders, indexers en search heads, verdeeld over meerdere datacenters. Elke upgrade betekende op elke machine hetzelfde handmatige runbook volgen. Dat moest anders, dus hebben we het geautomatiseerd.

Waarom automatiseren?

• Consistente installatie en upgrades van Splunk Enterprise (forwarders, indexers, search heads)

• Minder downtime en strakkere upgrade-windows

• Logging en auditing van alle acties via Ansible Tower en Ansible Automation Platform naar Splunk

• Automatische checks vóór en na upgrades

• Verschil in deployment zorgt voor onvoorziene problemen. Als je vanuit kan gaan van een consistente deployment heb je minder fouten en sneller een oplossing

Wat leverde het op?

• Installaties en upgrades gingen sneller en betrouwbaarder

• Updates kunnen nu ook overdag doordeweeks, dankzij validatie en rollback-mogelijkheden

• Ook Universal-Forwarders worden met Ansible uitgerold met een consistente configuratie.

• Als je vanuit kan gaan van een consistente deployment heb je minder fouten en sneller een oplossing

Hoe snel kun je dit neerzetten?
Met bewezen, off-the-shelf Ansible content voorkom je onnodig maatwerk en blijft de doorlooptijd laag. Voorwaarde is wel dat de Splunk-omgeving volgens best practices is opgebouwd en goed gedocumenteerd is.

Conclusie
Door Splunk-installaties en upgrades te automatiseren met Ansible Automation Platform hebben we beheer veel voorspelbaarder gemaakt. Het is schaalbaar, veilig en klaar voor groei, of er nu hosts bijkomen of er snel geüpgraded moet worden.

Heb je een vergelijkbaar probleem met Splunk of Linux-automatisering? Laat het weten, dan denk ik met je mee.