Splunk 7 Implementation - das erste Buch über Splunk auf Russisch

    Hi, Habr!

    Heute wollen wir über das erste Buch über Splunk auf Russisch sprechen! Die Einführung von Splunk 7 durch James D. Miller wurde im Dezember 2018 von MQ Press mit Unterstützung unseres Unternehmens veröffentlicht.

    Unter der Katze finden Sie eine Beschreibung des Buches, ein kleines Fragment sowie einen Link zur Zeichnung des Buches, die wir für unsere Abonnenten zusammenstellen.

    Splunk ist eine Plattform zum Sammeln, Speichern, Verarbeiten und operativen Analysieren von Maschinendaten, dh Daten aus allen physischen, virtuellen und Cloud-Umgebungen der IT-Infrastruktur eines Unternehmens. Splunk macht es möglich, Maschinendaten detailliert zu studieren, und macht Systemprotokolle zu wertvollen Informationen. Es wird verwendet, um Probleme der IT-Infrastruktur zu beheben, Sicherheitsverletzungen zu überwachen, Angriffe zu verhindern, Informationen für Business Intelligence zu erhalten, den Arbeitsablauf des Unternehmens zu optimieren und die Produktivität zu steigern sowie mit einer Vielzahl großer industrieller Daten und Daten aus dem Internet der Dinge zu arbeiten. Splunk wird in einer Vielzahl von Branchen vom Gesundheitswesen über Finanzdienstleistungen bis zur industriellen Produktion eingesetzt.

    In dem Buch Splunk Einführung 7 von A bis Z erfahren Sie, wie Sie mit Splunk arbeiten. Die Erläuterungen werden durch Screenshots, Illustrationen, Beispiele für Suchanfragen und Code-Snippets ergänzt. Nachdem Sie das Buch gelesen haben, werden Sie mit der integrierten Sprache der Suchanfragen vertraut gemacht und erfahren, wie Sie Tabellen, Diagramme und andere Analysen aus den Maschinendaten abrufen, und zwar sowohl auf Basis- als auch auf fortgeschrittenem Niveau. Erfahren Sie, wie Sie die Geschwindigkeit von Suchabfragen in großen Datenfeldern optimieren und Datenmodelle erstellen. Darüber hinaus enthält das Buch ziemlich ausführliche Informationen zur Systemkonfiguration und zu den Hauptkonfigurationsdateien sowie zu den Funktionen einer verteilten Bereitstellung, die im produktiven Betrieb von Splunk häufiger vorkommen. Auch in dieser Ausgabe erschien Abschnitt

    Dieses Buch ist sowohl für Anfänger, die noch keine Erfahrung mit Splunk haben, als auch für fortgeschrittene Benutzer von Nutzen. Das Buch ist auch für jeden interessant, der in irgendeiner Weise mit Daten in Verbindung steht, z. B. Datenanalysten oder Geschäftsanalysten, die neue Möglichkeiten der Verwaltung von Big Data kennen lernen können, und IT-Administratoren, die verstehen, wie Protokollverwaltungs- und Überwachungssysteme in organisiert werden Ihre Organisation

    Fragment aus dem Buch


    Suche


    Also müssen wir suchen. Hier konzentriert sich die ganze Kraft von Splunk.
    Versuchen wir als erstes Beispiel eine Suche (Groß- und Kleinschreibung beachten) nach dem Wortfehler . Klicken Sie in das Suchfeld, geben Sie den Wortfehler ein und drücken Sie die Eingabetaste, oder klicken Sie auf das Lupensymbol rechts neben dem Feld (siehe Abbildung). 1.19.


    Abb. 1.19

    Suchfeld Suche Nach dem Starten des Suchvorgangs wird eine Seite mit Ergebnissen geöffnet (die sich in Version 7.0 wenig geändert hat), wie in Abbildung gezeigt. 1,20.


    Abb. 1.20 Suchergebnisseite

    Bitte beachten Sie, dass wir eine Suche nach Daten aller Zeiten gestartet haben (standardmäßig). Um das Zeitintervall für die Suche zu ändern, können Sie das Zeitauswahl-Widget verwenden.

    Aufgrund der Tatsache, dass wir mit zufällig generierten Daten experimentieren, verhalten sich nicht alle Anforderungen wie erwartet, und Sie müssen sie möglicherweise ändern.
    Die Beschreibung der Schritte zum Laden von Datensätzen finden Sie im vorherigen Abschnitt „Datengenerator“.

    Wie Sie das Zeitintervall für die Suche ändern, erfahren Sie im Abschnitt „Verwenden des Timing-Widgets“.

    Aktionen


    Beachten Sie die Elemente auf dieser Seite. Unter der Suchzeile Search (Search) werden der Ereigniszähler, Aktionssymbole und Menüs angezeigt (Abb. 1.21).


    Abb. 1.21 Die Informationen unter dem Feld Search (Suche)

    Hier sind die Details unter dem Suchfeld angezeigt werden ( von links nach rechts).

    • Die Anzahl der während der Suche gefundenen Ereignisse . Technisch entspricht diese Anzahl möglicherweise nicht der Anzahl der von der Festplatte gelesenen Ergebnisse, abhängig von den Suchparametern. Wenn die Abfrage Befehle verwendet, kann diese Anzahl außerdem von der Anzahl der Ereignisse in der nachstehenden Liste abweichen.
    • Menü Job jobseeker (Quest): Öffnet den Inspektor Job - Suchfeld, die sehr detaillierte Informationen über die Anforderung zur Verfügung stellt.
    • Schaltfläche "Anhalten" : Die aktuelle Suche nach Ereignissen wird angehalten, die Ergebnisse werden jedoch nicht gelöscht. Dies kann nützlich sein, wenn Sie die bereits erhaltenen Ergebnisse überprüfen müssen, um zu bestimmen, ob die Suche fortgesetzt werden soll. Dies kann lange dauern.
    • Schaltfläche "Stop" : Stoppt die Ausführung der Abfrage, speichert jedoch bereits empfangene Ergebnisse auf der Seite. Dies kann nützlich sein, wenn eine ausreichende Menge an Informationen vorhanden ist und Sie mit deren Forschung fortfahren können.
    • Share-Schaltfläche : Der Suchzeitintervall wird auf sieben Tage ausgedehnt und bietet allen Benutzern Zugriff auf die Ergebnisse, die sie lesen können.
    • Schaltfläche "Drucken" : formatiert die Seite zum Drucken und startet die Druckfunktion im Browser.
    • Schaltfläche „Exportieren“ : Exportiert die Ergebnisse und bietet die Möglichkeit, die Anzahl der exportierten Ergebnisse und das Format anzugeben - CSV, Nur-Text, XML oder JSON (JavaScript Object Notation ist ein Formular zum Schreiben von JavaScript-Objekten).
    • Menü Smart Mode : verwaltet den Suchmodus. Sie können dieses Menü verwenden , um die Suche zu beschleunigen , indem die Menge der zurückgegebenen Daten zu begrenzen, und die Anzahl der Felder , die Splunk wird aus der Datenbank entfernt werden ( der Schnelle mod eines e (Quick - Modus)). Sie können auch den ausführlichen Modus ( Detailmodus ) auswählen , um die maximale Informationsmenge zu Ereignissen zu erhalten. Im Smart-Modus , der standardmäßig verwendet wird, wird das Suchverhalten vom Typ bestimmt.

    Zeitskala


    Gehen wir nun zu der unter den Balken angezeigten Zeitskala mit Aktionsschaltflächen (Abb. 1.22).


    Abb. 1.22 Die

    Zeitskala Mit der Zeitskala können Sie nicht nur die Verteilung von Ereignissen in einem bestimmten Intervall schnell einschätzen, sondern sie ist auch ein wertvolles Hilfsmittel, um das geeignete Intervall auszuwählen. Wenn Sie mit der Maus über die Zeitleiste fahren, wird ein Popup-Hinweis mit der Anzahl der Ereignisse im Intervall angezeigt. Durch Klicken auf die Skala werden Ereignisse für einen bestimmten Zeitraum ausgewählt.

    Wenn Sie die linke Maustaste drücken und den Zeiger ziehen, werden mehrere Zeiträume hervorgehoben, wie in Abb. 1 dargestellt. 1,23.


    Abb. 1.23 Auswählen mehrerer

    Zeitintervalle Nachdem Sie das Intervall ausgewählt haben, können Sie auf den Link Zoom klicken, um auszuwählenn (Verkleinern), um das Intervall zu ändern und die Suche für dieses Intervall zu wiederholen. Durch Wiederholen dieses Vorgangs können Sie zu bestimmten Ereignissen gelangen.

    Durch Deaktivieren (Auswahl zurückkehren) wird die Anzeige aller Ereignisse in dem im Zeitauswahl-Widget festgelegten Zeitintervall zurückgegeben.

    Verkleinern vergrößert das im Fenster angezeigte Zeitintervall.

    Sie können sich mit weiteren Materialien vertraut machen und an der Zeichnung eines der 5 Exemplare des Buches teilnehmen, indem Sie dem Link folgen .

    Sie können ein Buch auf der Website des Herausgebers kaufen .

    Jetzt auch beliebt: