📝 Splunk教程
38篇技术文档📅 最后修改于: 2020-11-29 08:04:16 🧑 作者: Mango
Splunk是用于搜索和分析机器数据的软件。该机器数据可以来自Web应用程序,传感器,设备或用户创建的任何数据。它通过分析各种流程中生成的日志来满足IT基础架构的需求,但是它也可以使用适当的数据建模来分析任何结构化或半结构化数据。它具有内置功能,可识别数据类型,字段分隔符并优化搜索过程。它还提供搜索结果的数据可视化。本教程针对需要扎实掌握Splunk基本概念的IT专业人员,学生和IT基础结构管理专...
📅 最后修改于: 2020-11-29 08:04:37 🧑 作者: Mango
Splunk是一种软件,可处理机器数据和其他形式的大数据并从中获取洞察力。该机器数据是由运行Web服务器,IOT设备,移动应用程序日志等的CPU生成的。不必将此数据提供给最终用户,并且没有任何业务意义。但是,它们对于理解,监控和优化机器性能非常重要。Splunk可以读取此非结构化,半结构化或很少结构化的数据。读取数据后,它允许在这些数据上搜索,标记,创建报告和仪表板。随着大数据的到来,Splunk...
📅 最后修改于: 2020-11-29 08:04:58 🧑 作者: Mango
在本教程中,我们旨在安装企业版。启用所有功能后,此版本可免费评估60天。您可以使用以下链接下载安装程序,该链接适用于Windows和Linux平台。https://www.splunk.com/en_us/download/splunk-enterprise.html。Linux版本Linux版本是从上面给出的下载链接下载的。我们选择.deb软件包类型,因为安装将在Ubuntu平台上完成。我们将通...
📅 最后修改于: 2020-11-29 08:05:16 🧑 作者: Mango
Splunk Web界面包含搜索,报告和分析所提取数据所需的所有工具。相同的Web界面提供了用于管理用户及其角色的功能。它还提供了数据提取链接和Splunk中可用的内置应用程序。下图显示了使用管理员凭据登录到Splunk后的初始屏幕。管理员链接管理员下拉菜单提供设置和编辑管理员详细信息的选项。我们可以使用以下屏幕重置管理员电子邮件ID和密码-进一步从管理员链接,我们还可以导航到首选项选项,在这里我...
📅 最后修改于: 2020-11-29 08:05:40 🧑 作者: Mango
Splunk中的数据摄取是通过“添加数据”功能进行的,该功能是搜索和报告应用程序的一部分。登录后,Splunk界面的主屏幕显示“添加数据”图标,如下所示。单击此按钮后,将显示一个屏幕,以选择我们计划推送到Splunk进行分析的数据的来源和格式。收集数据我们可以从Splunk的官方网站获取数据进行分析。保存此文件并将其解压缩到本地驱动器中。打开文件夹后,您会找到三个具有不同格式的文件。它们是某些We...
📅 最后修改于: 2020-11-29 08:05:58 🧑 作者: Mango
Splunk的所有传入数据首先由其内置数据处理单元进行判断,并分类为某些数据类型和类别。例如,如果它是来自apache Web服务器的日志,则Splunk能够识别该日志并从读取的数据中创建适当的字段。Splunk中的此功能称为源类型检测,它使用称为“预训练”源类型的内置源类型来实现此目的。这使分析变得更容易,因为用户不必手动对数据进行分类,也不必将任何数据类型分配给传入数据的字段。支持的源类型通过...
📅 最后修改于: 2020-11-29 08:06:17 🧑 作者: Mango
Splunk具有强大的搜索功能,使您可以搜索已摄取的整个数据集。可通过名为“搜索和报告”的应用程序访问此功能,登录到Web界面后即可在左侧栏中看到该功能。单击搜索和报告应用程序后,我们会看到一个搜索框,我们可以在其中搜索上一章中上传的日志数据。我们以如下所示的格式键入主机名,然后单击最右上角显示的搜索图标。这使我们可以突出显示搜索词。组合搜索词我们可以将搜索词条依次写起来,但将用户搜索字符串双引号...
📅 最后修改于: 2020-11-29 08:06:36 🧑 作者: Mango
当Splunk读取上载的机器数据时,它将解释数据并将其分为许多字段,这些字段代表有关整个数据记录的单个逻辑事实。例如,一条信息记录可能包含服务器名称,事件的时间戳记,登录事件的类型(无论是登录尝试还是http响应等)。即使在非结构化数据的情况下,Splunk也会尝试将字段划分为键值根据它们具有的数据类型,数字和字符串等来配对或分离它们。继续上一章中上传的数据,我们可以通过单击显示字段链接来查看来自...
📅 最后修改于: 2020-11-29 08:06:55 🧑 作者: Mango
Splunk Web界面显示时间线,该时间线指示事件在一定时间范围内的分布。有预设的时间间隔,您可以从中选择特定的时间范围,也可以根据需要自定义时间范围。以下屏幕显示了各种预设时间轴选项。选择这些选项中的任何一个都将仅获取特定时间段内的数据,您也可以使用可用的自定义时间轴选项来进行进一步分析。例如,选择前一个月选项只会为我们提供前一个月的结果,因为您可以在下面看到时间线图的分布情况。选择时间子集通...
📅 最后修改于: 2020-11-29 08:07:14 🧑 作者: Mango
运行搜索查询时,结果将作为作业存储在Splunk服务器中。尽管此作业是由一个特定用户创建的,但可以与其他用户共享该作业,以便他们可以开始使用此结果集,而无需再次为其建立查询。结果也可以导出并保存为文件,可以与不使用Splunk的用户共享。共享搜索结果查询成功运行后,我们可以在网页的右中间看到一个向上的小箭头。单击此图标将提供一个URL,可以在其中访问查询和结果。需要向将使用此链接的用户授予权限。权...
📅 最后修改于: 2020-11-29 08:07:34 🧑 作者: Mango
Splunk搜索处理语言(SPL)是一种包含许多命令,函数,参数等的语言,这些命令,函数,参数等被编写为从数据集中获取所需结果。例如,当您获得搜索词的结果集时,您可能还想从结果集中过滤一些更具体的词。为此,您需要将一些其他命令添加到现有命令中。这是通过学习SPL的用法来实现的。SPL的组成SPL具有以下组件。搜索词-这些是您正在寻找的关键字或短语。命令-您想要对结果集执行的操作,例如格式化结果或对...
📅 最后修改于: 2020-11-29 08:07:55 🧑 作者: Mango
Splunk已经包含优化功能,可以分析和处理您的搜索以实现最大效率。主要通过以下两个优化目标来实现此效率-早期过滤-这些优化非常早地过滤了结果,以便在搜索过程中尽早减少要处理的数据量。此早期过滤器可避免对不属于最终搜索结果的事件进行不必要的查找和评估计算。并行处理-内置的优化功能可以对搜索处理进行重新排序,以便在将搜索结果发送到搜索头进行最终处理之前,在索引器上并行运行尽可能多的命令。分析搜索优化...
📅 最后修改于: 2020-11-29 08:08:12 🧑 作者: Mango
这些是Splunk中的命令,用于将搜索结果转换为此类数据结构,这对表示统计数据和数据可视化很有用。转换命令示例以下是转换命令的一些示例-突出显示-突出显示结果中的特定术语。图表-根据搜索结果创建图表。统计-从搜索结果中创建统计摘要。突出此命令用于突出显示搜索结果集中的特定术语。通过提供搜索项作为高亮函数的参数来使用它。通过用逗号分隔提供多个搜索词。在下面的示例中,我们在结果集中搜索野生动物园和黄油...
📅 最后修改于: 2020-11-29 08:08:32 🧑 作者: Mango
Splunk报告是通过搜索操作保存的结果,可以显示事件的统计信息和可视化结果。报表可以随时运行,每次运行都会获取新的结果。这些报告可以与其他用户共享,也可以添加到仪表板。更复杂的报告可以允许向下钻取函数查看创建最终统计信息的潜在事件。在本章中,我们将看到如何创建和编辑样本报告。报告制作创建报告是一个简单的过程,在此过程中,我们使用“另存为”选项选择“ Rep另存为orts”选项来保存搜索操作的结果...
📅 最后修改于: 2020-11-29 08:08:52 🧑 作者: Mango
仪表板用于表示与某些业务意义相关的表或图表。它是通过面板完成的。仪表板中的面板以视觉上吸引人的方式保存图表或汇总数据。我们可以添加多个面板,因此可以将多个报告和图表添加到同一仪表板。创建仪表板我们将继续上一章中的搜索查询,该查询显示了按工作日划分的文件数。我们选择“可视化”选项卡以饼图形式查看结果。要将图表放在仪表板上,我们可以选择选项另存为→仪表板面板,如下所示。下一个屏幕将要求填充仪表板和其中...