Що таке Splunk? - Основний посібник з концепцією та командами Splunk

• Що таке Splunk

Що таке Splunk

Splunk називають продуктом чи інструментом, який використовується для аналізу даних у великих обсягах у світі бізнесу. Це дуже потужний і універсальний інструмент пошуку, який заповнює журнал у режимі реального часу, а отже, полегшує моніторинг та усунення неполадок, що виникають у нашому додатку. Засновниками Splunk є Майкл Баум, Роб Дас та Ерік Лебедь. Він розроблений у 2003 році, але Splunk користується більшим попитом після випуску Splunk 3.0 у 2008-09 роках.

Splunk працює як індексація даних, використовує ці дані для пошуку та дослідження, додавання знань до ваших даних, налаштування моніторів та попередження, звітування та аналіз, підготовка інформаційних панелей. Splunk безпечно збирає дані, а потім допомагає зберігати та індексувати дані в централізованому місці з рольовим доступом. Тож не важливо, наскільки неструктуровані чи різноманітні наші дані, можливо, ми можемо легко контролювати, повідомляти та аналізувати наші дані.

Поняття сплеску:

Splunk додає знання до ваших даних за допомогою об'єктів знань (наприклад, теги, поля та збережені пошукові запити, звіти, інформаційні панелі, сповіщення тощо). Ці об'єкти знань можна спільно використовувати та використовувати повторно. Ці поняття об'єктів знань пояснюються нижче:

Про головну службу Splunk:

Домашня сторінка Splunk - це головне вікно програм і даних, доступних з цього Splunk. Splunk Home містить панель пошуку та три панелі: програми, дані та довідка.

• Цей рядок пошуку додатків користувач використовує для запуску пошукового запиту. Панель пошуку додатків і звичайна панель пошуку Splunk схожі і містять інструмент вибору часового діапазону.
• Користувач використовує панель «Дані» для додавання нових даних та керування ними. Він показує, як давно дані були індексовані найбільш ранньою та останньою подією даних та обсягом даних.

Коли у вас є дані в Splunk, ви можете побачити короткий підсумок:

• Клацніть Додати дані, щоб отримати нові дані в Splunk.
• Клацніть Керувати входами, щоб переглянути та відредагувати існуючі визначення вводу.

Завантаження даних у Splunk:

Користувач може завантажувати в Splunk різні дані, такі як текстові файли, CSV-файли, журнали подій, веб-журнали будь-яких машинних даних. Завантаживши дані, Splunk негайно індексує дані та робить дані доступними для пошуку. Користувач може здійснювати будь-який тип пошуку за цими даними та може створювати звіти, інформаційні панелі та графіки тощо.

Крок 1. Клацніть Додати дані в Splunk Home.

Крок 2. Клацніть з файлів і каталогів.

Крок 3. Існують два варіанти попереднього перегляду даних перед індексуванням та пропуском попереднього перегляду. Якщо ви хочете переглянути дані перед індексацією, виберіть дані попереднього перегляду та перегляньте файл, інакше виберіть пропустити попередній перегляд та натисніть продовжити.

Крок 4. Виберіть Завантажити та індексувати файл та перегляньте файл даних.

Крок 5. Більше налаштувань

• У розділі Хост встановіть значення встановленого хоста на "регулярний вираз на шляху", а регулярний вираз - на "1"
• Під типом джерела встановити значення набору, тип джерела - "Автоматично".
• Під набором індексів значення встановлення індексу призначення буде "за замовчуванням".

Крок 6. Клацніть «Зберегти» і «Сплинк» відображає дані про повідомлення, що індексується успішно.

Щоб розпочати пошук, натисніть кнопку Почати пошук.

Що таке підсумок даних Splunk

Щоб переглянути докладніші відомості про завантажені дані, натисніть Зведення даних.

Діалогове вікно "Зведення даних", яке відображає три вкладки: Хости, Джерела, Типи джерел.

Хастом події зазвичай є ім'я хоста, IP-адреса або повноцінне доменне ім’я мережевої машини.

Джерелом події є шлях до файлу або каталогу, мережевий порт або сценарій.

Тип джерела події повідомляє вам, що це за дані, як правило, виходячи з форматування.

Пошук / розширений пошук:

Найчастіше використовувані команди:

Вгору / Рідко: Ця команда повертає верхнє та рідкісне значення заданого поля на панелі пошуку.

Наприклад:

Вихід:

Статистика: Команда stats використовує статистичні обчислення для набору даних. Це схоже на агрегацію SQL. Існує кілька команд для статистичних обчислень. Команди статистики, діаграм та часових діаграм виконують однакові статистичні обчислення ваших даних, але повертають дещо інший результат.

Наприклад:

1. Sourcetype = "csv" | статистика постійного струму (походження)

Вихід:

2. sourcetype = "csv" | статистичні значення (UniqueCarrier) за місяцем

Вихід:

Нижче наведені статистичні функції, які можна використовувати за допомогою команди stats.

Avg (X): Повертає середнє значення значень поля X.

Count (X): Повертає кількість входів у поле X.

Dc (X): Повертає кількість різних значень поля X.

Макс (X): Повертає максимальне значення поля X.

Min (X): Повертає мінімальне значення поля X.

Сума (X): Повертає суму значень поля X.

Значення (X): Повертає список усіх різних значень поля X

Діаграма: Команда діаграми створює табличний вихід даних, придатний для складання графіків. Ви можете вказати змінну осі x за допомогою над або через.

Напр .: sourcetype = "csv" | значення діаграми (UniqueCarrier) за місяцем

Вихід:

Часова діаграма: Команда часової діаграми створює діаграму для застосованої статистичної агрегації

в поле проти часу як вісь x.

Напр .: sourcetype = "csv" | значення часових діаграм (UniqueCarrier) по місяцях

Вихід:

Таблиця: Ця команда повертає таблицю, сформовану з полів, використаних у списку аргументів пошуку

Наприклад:

Зняття даних : Видалення зайвих даних є пунктом команди фільтрації дедупів.

Наприклад:

Візуалізації:

Діаграми / звіти Ми можемо створити звіти та графіки для кращої візуалізації та розуміння. Можна скласти всі види діаграм. Наприклад, пиріг, лінія, смужка та область тощо.

Наприклад:

Інформаційні панелі:

Інформаційні панелі - це найпоширеніші типи поглядів. Кожна інформаційна панель містить одну або декілька панелей, кожна з яких може містити візуалізації, такі як діаграми, таблиці, списки подій та карти. В основному, інформаційні панелі - це сукупність пошукових запитів та звітів.

Щоб створити інформаційну панель, збережіть діаграму / звіт як панель приладної панелі.

Згадайте назву інформаційної панелі, опис та назву панелі та збережіть її.

Приладова панель створена успішно. І бачити, щоб натиснути на панель перегляду.

Вихід:

Висновок - що сплюнд

Splunk - це платформа, яка використовується для операцій у режимі реального часу. Він використовується для управління додатками, управління безпекою та продуктивністю. Він вільно доступний у використанні та легко доступний. Це допомагає у візуалізації даних за допомогою діаграм і графіків. Початківцям це може бути просто навчання. Це також один з основних продуктів або інструментів для розробників DevOps та Agile.

Рекомендовані статті:

Це було керівництвом, що таке Splunk. Тут ми обговорили деякі основні поняття Splunk, кроки для завантаження даних у Splunk тощо. Ви також можете переглянути наступну статтю, щоб дізнатися більше -

1. Питання та відповіді на інтерв'ю
2. Відмінності Splunk vs Spark
3. Hadoop vs Splunk - з’ясуйте топ-7 відмінностей