Was ist Splunk? - Grundlegende Anleitung zum Splunk-Konzept und -Befehlen

Inhaltsverzeichnis:

Anonim

Was ist Splunk?

Splunk wird als Produkt oder Tool bezeichnet, mit dem Daten in großen Mengen in der Geschäftswelt analysiert werden. Es ist ein sehr leistungsfähiges und vielseitiges Suchwerkzeug, das ein Echtzeitprotokoll auffüllt und somit die Überwachung und Fehlerbehebung in unserer Anwendung erleichtert. Die Gründer von Splunk sind Michael Baum, Rob Das und Erik Swan. Es wurde 2003 entwickelt, aber Splunk ist nach seiner Veröffentlichung von Splunk 3.0 in den Jahren 2008-09 stärker gefragt.

Splunk indiziert die Daten, verwendet die Daten zur Suche und Untersuchung, fügt Wissen zu Ihren Daten hinzu, richtet Monitore ein und alarmiert, meldet und analysiert und bereitet Dashboards vor. Splunk sammelt die Daten sicher und hilft dann beim Speichern und Indizieren der Daten an einem zentralen Ort mit rollenbasiertem Zugriff. Es spielt also keine Rolle, wie unstrukturiert oder vielfältig unsere Daten sind. Vielleicht können wir unsere Daten einfach überwachen, melden und analysieren.

Konzepte von Splunk:

Splunk fügt mithilfe von Wissensobjekten (wie Tags, Felder und gespeicherte Suchen, Berichte, Dashboards, Warnungen usw.) Wissen zu Ihren Daten hinzu. Diese Wissensobjekte können gemeinsam genutzt und wiederverwendet werden: Die folgenden Konzepte für Wissensobjekte werden erläutert:

Über Splunk Home:

Splunk Home ist das Hauptfenster für die Apps und Daten, auf die über diesen Splunk zugegriffen werden kann. Splunk Home enthält eine Suchleiste und drei Bereiche: Apps, Daten und Hilfe.

  • Diese App-Suchleiste wird von einem Benutzer zum Ausführen der Suchabfrage verwendet. Die App-Suchleiste und die Standard-Splunk-Suchleiste sind ähnlich und enthalten eine Zeitbereichswahl.
  • Das Datenfenster wird von einem Benutzer verwendet, um neue Daten hinzuzufügen und die Daten zu verwalten. Es zeigt, wie lange es her ist, dass Daten als frühestes und spätestes Datenereignis indiziert wurden, und wie viel Daten vorhanden sind.

Wenn Sie Daten in Splunk haben, sehen Sie eine kurze Zusammenfassung:

  • Klicken Sie auf Daten hinzufügen, um neue Daten in Splunk zu übernehmen.
  • Klicken Sie auf Eingaben verwalten, um vorhandene Eingabedefinitionen anzuzeigen und zu bearbeiten.

Daten in Splunk hochladen:

Ein Benutzer kann eine andere Art von Daten wie Textdateien, CSV-Dateien, Ereignisprotokolle und Weblogs aller Maschinendaten in Splunk hochladen. Nach dem Hochladen der Daten indiziert Splunk die Daten sofort und stellt sie für die Suche zur Verfügung. Ein Benutzer kann jede Art von Suche in diesen Daten durchführen und Berichte, Dashboards und Diagramme usw. erstellen.

Schritt 1. Klicken Sie in Splunk Home auf Daten hinzufügen.

Schritt 2. Klicken Sie in Dateien und Verzeichnissen auf.

Schritt 3. Vor dem Indizieren und Überspringen der Vorschau stehen zwei Optionen zur Verfügung. Wenn Sie vor dem Indizieren eine Vorschau der Daten anzeigen möchten, wählen Sie die Vorschaudaten aus und durchsuchen Sie die Datei. Andernfalls wählen Sie Vorschau überspringen aus und klicken auf Weiter.

Schritt 4. Wählen Sie Datei hochladen und indizieren und suchen Sie nach der Datendatei.

Schritt 5. Weitere Einstellungen

  • Setzen Sie unter Host die Werte eines Set-Hosts auf "Regex auf einem Pfad" und den regulären Ausdruck auf "1".
  • Unter Quelltyp setzen Sie den Wert des Satzes, der Quelltyp ist "Automatisch".
  • Unter dem eingestellten Index ist der Wert für das Festlegen des Zielindex "Standard".

Schritt 6. Klicken Sie auf Speichern, und Splunk zeigt an, dass die Nachrichtendaten erfolgreich indiziert werden.

Klicken Sie auf Suche starten, um die Suche zu starten.

Was ist die Datenübersicht von Splunk?

Um weitere Details zu den hochgeladenen Daten anzuzeigen, klicken Sie auf Datenzusammenfassung.

Dialogfeld "Datenzusammenfassung", in dem drei Registerkarten angezeigt werden: Hosts, Quellen, Quellentypen.

Der Host eines Ereignisses ist normalerweise der Hostname, die IP-Adresse oder der vollständig qualifizierte Domänenname des Netzwerkcomputers.

Die Quelle eines Ereignisses ist der Datei- oder Verzeichnispfad, der Netzwerkport oder das Skript.

Der Quellentyp des Ereignisses gibt Auskunft darüber, um welche Art von Daten es sich handelt, in der Regel basierend auf der Formatierung.

SUCHE Erweiterte Suche:

Am häufigsten verwendete Befehle:

Top / Rare: Dieser Befehl gibt die oberen und seltenen Werte des angegebenen Feldes in der Suchleiste zurück.

Z.B:

Ausgabe:

Stats: Der Befehl stats verwendet statistische Berechnungen für einen Datensatz. Es ähnelt der SQL-Aggregation. Es gibt mehr als einen Befehl für statistische Berechnungen. Die Befehle "Statistik", "Diagramm" und "Zeitdiagramm" führen dieselben statistischen Berechnungen für Ihre Daten durch, geben jedoch eine geringfügig andere Ausgabe zurück.

Z.B:

  1. Sourcetype = ”csv” | stats dc (Origin)

Ausgabe:

  1. sourcetype = ”csv” | Statistikwerte (UniqueCarrier) nach Monat

Ausgabe:

Im Folgenden finden Sie die statistischen Funktionen, die Sie mit dem Befehl stats verwenden können.

Avg (X): Gibt den Durchschnitt der Werte von Feld X zurück.

Count (X): Gibt die Anzahl der Vorkommen des Feldes X zurück.

Dc (X): Gibt die Anzahl der unterschiedlichen Werte von Feld X zurück.

Max (X): Gibt den Maximalwert von Feld X zurück.

Min (X): Gibt den Minimalwert von Feld X zurück.

Summe (X): Gibt die Summe der Werte von Feld X zurück.

Werte (X): Gibt eine Liste aller unterschiedlichen Werte von Feld X zurück

Diagramm: Mit dem Befehl Diagramm wird eine tabellarische Datenausgabe erstellt, die für das Diagramm geeignet ist. Sie geben die Variable der x-Achse mit over oder by an.

ZB: sourcetype = ”csv” | Diagrammwerte (UniqueCarrier) nach Monat

Ausgabe:

Timechart: Der Befehl timechart erstellt ein Diagramm für eine angewendete statistische Aggregation

auf ein Feld gegen die Zeit als x-Achse.

ZB: sourcetype = ”csv” | Zeitdiagrammwerte (UniqueCarrier) pro Monat

Ausgabe:

Tabelle: Dieser Befehl gibt eine Tabelle zurück, die aus den in der Liste der Suchargumente verwendeten Feldern besteht

Z.B:

Dedup: Das Entfernen redundanter Daten ist der Punkt des Dedup-Filterbefehls.

Z.B:

Visualisierungen:

Diagramme / Berichte Wir können Berichte und Diagramme zur besseren Visualisierung und zum besseren Verständnis erstellen. Alle Arten von Diagrammen können gezeichnet werden. Zum Beispiel Torte, Linie, Balken und Fläche usw.

Z.B:

Dashboards:

Dashboards sind die häufigsten Arten von Ansichten. Jedes Dashboard enthält ein oder mehrere Fenster, von denen jedes Visualisierungen wie Diagramme, Tabellen, Ereignislisten und Karten enthalten kann. Grundsätzlich sind Dashboards eine Sammlung von Suchen und Berichten.

Speichern Sie zum Erstellen eines Dashboards ein Diagramm / einen Bericht als Dashboard-Bereich.

Erwähnen Sie den Titel, die Beschreibung und den Titel des Dashboards und speichern Sie sie.

Das Dashboard wurde erfolgreich erstellt. Und um zu versuchen, auf das Dashboard zu klicken.

Ausgabe:

Fazit - Was ist Splunk?

Splunk ist die Plattform, die für Echtzeitoperationen verwendet wird. Es wird für das Anwendungsmanagement, die Sicherheit und das Leistungsmanagement verwendet. Es ist frei verfügbar und leicht zugänglich. Es hilft bei der Visualisierung der Daten mit Hilfe von Diagrammen und Grafiken. Es kann für Anfänger leicht zu erlernen sein. Es ist auch eines der Hauptprodukte oder -tools für die Entwickler von DevOps und Agile.

Empfohlene Artikel:

Dies war eine Anleitung, was Splunk ist. Hier haben wir einige grundlegende Konzepte von Splunk besprochen, Schritte zum Hochladen von Daten in Splunk usw. Sie können auch den folgenden Artikel lesen, um mehr zu erfahren -

  1. Splunk Interview Fragen und Antworten
  2. Splunk vs Spark Unterschiede
  3. Hadoop vs Splunk - Finde die 7 größten Unterschiede heraus