Skip to main content

Учим Splunk говорить по-русски: решение проблем с кириллицей в Splunk 7.1

Дата публикации: .

С релизом версии 7.1 в Splunk значительно обновился интерфейс. Все компоненты, начиная от дашбордов и заканчивая страницами настройки, стали выглядеть гораздо более свежо и современно.

К сожалению, в бочке меда не обошлось без ложки дегтя. С кириллицей в Splunk всегда было достаточно напряженно. Если у вас логи не в Unicode, то приходилось обязательно прописывать кодировку. А если вы вдруг решили поискать по кириллическим ключевым словам, то всегда можно потерять часть результатов из-за того, что в каком-нибудь событии это ключевое слово было написано с большой буквы (регистронезависимость только для латиницы).

В обновлении 7.1 к списку проблем с кириллицей добавился веб-интерфейс. Шрифт, поставляемый со Splunk, не поддерживает кириллицу, и это приводит к проблемам с отображением дашбордов и редактированием поисковых запросов. Пара примеров:

  • пример с поиском №1:

  • пример с поиском №2:

  • дашборд с текстом на русском и английском языке:

К счастью, в отличие от остальных проблем с кириллицей, эту можно исправить. В самом простом случае вам нужно только удалить «лишние» файлы шрифтов из каталога $SPLUNK_HOME\share\splunk\search_mrsparkle\exposed\fonts:

  • inconsolata-regular.woff
  • proxima-bold-webfont.woff
  • proxima-regular-webfont.woff
  • proxima-semibold-webfont.woff

После перезапуска Splunk откатится на набор шрифтов из старого интерфейса, проблемы с поисковой строкой исчезнут и всё будет отображаться в одном едином стиле, примерно вот так:

Если же вы хотите сохранить всю красоту нового интерфейса и кириллицу вместе, можно вместо удаления файлов заменить их на аналогичные с поддержкой кириллицы, которые легко можно найти и приобрести в сети. В этом случае итоговый результат будет выглядеть примерно так:

Однако, стоит понимать, что здесь мы удаляем или заменяем файлы внутри каталогов с ресурсами Splunk, а все изменения в этих каталогах Splunk отслеживает и будет постоянно напоминать о сделанных изменениях при перезапусках:

Это оповещение тоже можно убрать, отредактировав файл манифеста Splunk, который располагается в $SPLUNK_HOME.

Всё, что нужно сделать — это удалить в этом файле строки, в которых присутствуют файлы шрифтов:

  • inconsolata-regular.woff
  • proxima-bold-webfont.woff
  • proxima-regular-webfont.woff
  • proxima-semibold-webfont.woff

Voilà! Ваш Splunk теперь красивый, понимает кириллицу и не надоедает лишними сообщениями!

P.S. Как и в случае с другими изменениями в каталогах ресурсов Splunk, после обновления все ваши изменения превратятся в тыкву будут перезаписаны и процедуру придется повторять. Или вы можете подождать, пока Splunk не исправит проблему на своей стороне и не обновляться на 7.1.Х сейчас.

Bug fix, Splunk