स्प्लंक - त्वरित गाइड
स्पंक एक सॉफ्टवेयर है जो मशीन डेटा और बड़े डेटा के अन्य रूपों से अंतर्दृष्टि को संसाधित करता है और बाहर लाता है। यह मशीन डेटा CPU द्वारा एक वेबसर्वर, IOT डिवाइसेस, मोबाइल ऐप से लॉग इन आदि को जनरेट किया जाता है। यह डेटा अंतिम उपयोगकर्ताओं को प्रदान करना आवश्यक नहीं है और इसका कोई व्यावसायिक अर्थ नहीं है। हालांकि, वे मशीनों के प्रदर्शन को समझने, निगरानी और अनुकूलन करने के लिए बेहद महत्वपूर्ण हैं।
स्प्लंक यह असंरचित, अर्ध-संरचित या शायद ही कभी संरचित डेटा पढ़ सकता है। डेटा पढ़ने के बाद, यह इन डेटा पर खोज, टैग, रिपोर्ट और डैशबोर्ड बनाने की अनुमति देता है। बड़े डेटा के आगमन के साथ, स्प्लंक अब विभिन्न स्रोतों से बड़े डेटा को निगलना करने में सक्षम है, जो मशीन डेटा नहीं हो सकता है और बड़े डेटा पर एनालिटिक्स चला सकता है।
इसलिए, लॉग विश्लेषण के लिए एक सरल उपकरण से, स्प्लंक ने असंरचित मशीन डेटा और बड़े डेटा के विभिन्न रूपों के लिए एक सामान्य विश्लेषणात्मक उपकरण बनने का एक लंबा सफर तय किया है।
उत्पाद श्रेणियाँ
Splunk तीन अलग-अलग उत्पाद श्रेणियों में उपलब्ध है:
Splunk Enterprise- इसका उपयोग उन कंपनियों द्वारा किया जाता है जिनके पास बड़े आईटी इन्फ्रास्ट्रक्चर और आईटी संचालित व्यवसाय हैं। यह वेबसाइटों, अनुप्रयोगों, उपकरणों और सेंसर आदि से डेटा को इकट्ठा करने और उसका विश्लेषण करने में मदद करता है।
Splunk Cloud- यह एंटरप्राइज़ संस्करण के समान विशेषताओं वाले क्लाउड होस्टेड प्लेटफ़ॉर्म है। इसे स्प्लंक से या AWS क्लाउड प्लेटफॉर्म के माध्यम से प्राप्त किया जा सकता है।
Splunk Light- यह एक ही स्थान से वास्तविक समय में सभी लॉग डेटा पर खोज, रिपोर्ट और अलर्ट की अनुमति देता है। इसमें अन्य दो संस्करणों की तुलना में सीमित कार्यक्षमताएं और विशेषताएं हैं।
स्प्लंक सुविधाएँ
इस भाग में, हम उद्यम संस्करण की महत्वपूर्ण विशेषताओं पर चर्चा करेंगे -
डेटा अंतर्ग्रहण
स्प्लंक JSON, XML और वेब और एप्लिकेशन लॉग की तरह असंरचित मशीन डेटा जैसे विभिन्न डेटा स्वरूपों को निगलना कर सकता है। उपयोगकर्ता द्वारा आवश्यकतानुसार अनस्ट्रक्चर्ड डेटा को डेटा संरचना में मॉडल किया जा सकता है।
डाटा इंडेक्सिंग
अलग-अलग स्थितियों पर तेजी से खोज और क्वेरी के लिए स्प्लंक द्वारा अनुक्रमित डेटा को अनुक्रमित किया जाता है।
डेटा खोज
स्प्लंक में खोज में मैट्रिक्स बनाने, भविष्य के रुझानों की भविष्यवाणी करने और डेटा में पैटर्न की पहचान करने के उद्देश्य से अनुक्रमित डेटा का उपयोग करना शामिल है।
अलर्ट का उपयोग करना
स्पंक अलर्ट का उपयोग ईमेल को ट्रिगर करने के लिए किया जा सकता है या आरएसएस फ़ीड जब डेटा में कुछ विशिष्ट मानदंड का विश्लेषण किया जा रहा है।
डैशबोर्ड
स्प्लंक डैशबोर्ड चार्ट, रिपोर्ट और पिवोट्स आदि के रूप में खोज परिणाम दिखा सकते हैं।
डेटा मॉडल
अनुक्रमित डेटा को एक या अधिक डेटा सेट में मॉडल किया जा सकता है जो विशेष डोमेन ज्ञान पर आधारित होता है। यह अंत उपयोगकर्ताओं द्वारा आसान नेविगेशन की ओर जाता है जो स्प्लंक द्वारा उपयोग की जाने वाली खोज प्रसंस्करण भाषा की तकनीकी सीखने के बिना व्यापार के मामलों का विश्लेषण करते हैं।
इस ट्यूटोरियल में, हम एंटरप्राइज संस्करण को स्थापित करने का लक्ष्य रखेंगे। यह संस्करण 60 दिनों के लिए मुफ्त मूल्यांकन के लिए उपलब्ध है जिसमें सभी सुविधाएँ सक्षम हैं। आप नीचे दिए गए लिंक का उपयोग करके सेटअप डाउनलोड कर सकते हैं जो विंडोज़ और लिनक्स दोनों प्लेटफार्मों के लिए उपलब्ध है।
https://www.splunk.com/en_us/download/splunk-enterprise.html.
लिनक्स संस्करण
लिनक्स संस्करण ऊपर दिए गए डाउनलोड लिंक से डाउनलोड किया गया है। हम .deb पैकेज प्रकार का चयन करते हैं क्योंकि इंस्टालेशन उबंटू प्लेटफॉर्म में किया जाएगा।
हम इसे चरणबद्ध तरीके से सीखेंगे -
चरण 1
डाउनलोड .deb पैकेज नीचे स्क्रीनशॉट में दिखाया गया है -
चरण 2
डाउनलोड निर्देशिका पर जाएं और उपरोक्त डाउनलोड किए गए पैकेज का उपयोग करके स्प्लंक स्थापित करें।
चरण 3
इसके बाद आप स्वीकार लाइसेंस तर्क के साथ निम्नलिखित कमांड का उपयोग करके स्पंक शुरू कर सकते हैं। यह व्यवस्थापक उपयोगकर्ता नाम और पासवर्ड के लिए पूछेगा जो आपको प्रदान करना चाहिए और याद रखना चाहिए।
चरण 4
स्पंक सर्वर शुरू होता है और उस URL का उल्लेख करता है जहां स्प्लंक इंटरफ़ेस को एक्सेस किया जा सकता है।
चरण 5
अब, आप स्प्लंक URL का उपयोग कर सकते हैं और चरण 3 में निर्मित व्यवस्थापक उपयोगकर्ता आईडी और पासवर्ड दर्ज कर सकते हैं।
विंडोज संस्करण
Windows संस्करण एक msi इंस्टॉलर के रूप में उपलब्ध है जैसा कि नीचे की छवि में दिखाया गया है -
Msi इंस्टॉलर पर डबल क्लिक करने से विंडोज वर्जन सीधे स्ट्रेट फॉरवर्ड प्रोसेस में इंस्टॉल हो जाता है। दो महत्वपूर्ण कदम जहां हमें सफल स्थापना के लिए सही विकल्प बनाना चाहिए, वे इस प्रकार हैं।
चरण 1
जैसा कि हम इसे स्थानीय प्रणाली पर स्थापित कर रहे हैं, नीचे दिए गए अनुसार स्थानीय प्रणाली विकल्प चुनें -
चरण 2
व्यवस्थापक के लिए पासवर्ड दर्ज करें और इसे याद रखें, क्योंकि यह भविष्य के कॉन्फ़िगरेशन में उपयोग किया जाएगा।
चरण 3
अंतिम चरण में, हम देखते हैं कि स्प्लंक सफलतापूर्वक स्थापित किया गया है और इसे वेब ब्राउज़र से लॉन्च किया जा सकता है।
चरण 4
अगला, ब्राउज़र खोलें और दिए गए यूआरएल को दर्ज करें, http://localhost:8000, और व्यवस्थापक उपयोगकर्ता आईडी और पासवर्ड का उपयोग करके स्पंक में लॉगिन करें।
स्प्लंक वेब इंटरफ़ेस में आपके द्वारा खोजे गए डेटा की खोज, रिपोर्ट और विश्लेषण करने के लिए आवश्यक सभी उपकरण शामिल हैं। एक ही वेब इंटरफ़ेस उपयोगकर्ताओं और उनकी भूमिकाओं को प्रशासित करने के लिए सुविधाएँ प्रदान करता है। यह डेटा अंतर्ग्रहण और स्प्लंक में उपलब्ध इन-बिल्ट ऐप्स के लिए लिंक भी प्रदान करता है।
नीचे दी गई तस्वीर एडमिन क्रेडेंशियल्स के साथ स्प्लंक में आपके लॉगिन के बाद प्रारंभिक स्क्रीन दिखाती है।
प्रशासक लिंक
व्यवस्थापक ड्रॉप डाउन व्यवस्थापक के विवरण को सेट और संपादित करने का विकल्प देता है। हम नीचे स्क्रीन का उपयोग करके व्यवस्थापक ईमेल आईडी और पासवर्ड रीसेट कर सकते हैं -
व्यवस्थापक लिंक से आगे, हम वरीयताओं के विकल्प पर भी नेविगेट कर सकते हैं जहां हम समय क्षेत्र और घर का आवेदन सेट कर सकते हैं, जिस पर आपके लॉगिन के बाद लैंडिंग पृष्ठ खुल जाएगा। वर्तमान में, यह होम पेज पर नीचे के रूप में दिखाया गया है -
सेटिंग्स लिंक
यह एक लिंक है जो स्प्लंक में उपलब्ध सभी मुख्य विशेषताओं को दिखाता है। उदाहरण के लिए, आप लुकअप लिंक को चुनकर लुकअप फ़ाइलें और लुकअप परिभाषाएँ जोड़ सकते हैं।
हम बाद के अध्यायों में इन कड़ियों की महत्वपूर्ण सेटिंग्स पर चर्चा करेंगे।
खोज और रिपोर्टिंग लिंक
खोज और रिपोर्टिंग लिंक हमें उन सुविधाओं तक ले जाता है जहां हम उन डेटा सेटों को पा सकते हैं जो इन खोजों के लिए बनाई गई रिपोर्ट और अलर्ट खोजने के लिए उपलब्ध हैं। यह नीचे स्क्रीनशॉट में स्पष्ट रूप से दिखाया गया है -
स्प्लंक में डेटा अंतर्ग्रहण के माध्यम से होता है Add Dataसुविधा जो खोज और रिपोर्टिंग ऐप का हिस्सा है। लॉगिन करने के बाद, स्प्लंक इंटरफ़ेस होम स्क्रीन दिखाता हैAdd Data जैसा कि नीचे दिखाया गया है।
इस बटन पर क्लिक करने पर, हम विश्लेषण के लिए स्पंक को पुश करने की योजना के डेटा के स्रोत और प्रारूप का चयन करने के लिए स्क्रीन के साथ प्रस्तुत किए जाते हैं।
डेटा इकट्ठा करना
हम स्प्लंक की आधिकारिक वेबसाइट से विश्लेषण के लिए डेटा प्राप्त कर सकते हैं। इस फ़ाइल को सहेजें और इसे अपने स्थानीय ड्राइव में अनज़िप करें। फ़ोल्डर खोलने पर, आप तीन फाइलें पा सकते हैं, जिनके अलग-अलग प्रारूप हैं। वे कुछ वेब ऐप्स द्वारा उत्पन्न लॉग डेटा हैं। हम स्प्लंक द्वारा प्रदान किए गए डेटा का एक और सेट भी इकट्ठा कर सकते हैं जो आधिकारिक स्पंक वेब से उपलब्ध है।
स्प्लंक की विभिन्न विशेषताओं के काम को समझने के लिए हम इन दोनों सेटों के डेटा का उपयोग करेंगे।
डेटा अपलोड कर रहा है
अगला, हम फ़ाइल चुनते हैं, secure.log फ़ोल्डर से, mailsvजिसे हमने पिछले पैराग्राफ में उल्लिखित अपनी स्थानीय प्रणाली में रखा है। फ़ाइल का चयन करने के बाद, हम शीर्ष दाएं कोने में हरे रंग के अगले बटन का उपयोग करते हुए अगले चरण पर जाते हैं।
स्रोत प्रकार का चयन करना
स्प्लंक में अंतर्निर्मित सुविधा का पता लगाने के लिए अंतर्निर्मित सुविधा है। यह उपयोगकर्ता को स्प्लंक द्वारा चुने गए से अलग डेटा प्रकार चुनने का विकल्प भी देता है। स्रोत प्रकार ड्रॉप डाउन पर क्लिक करने पर, हम विभिन्न डेटा प्रकार देख सकते हैं जो स्प्लंक खोज के लिए निगलना और सक्षम कर सकते हैं।
नीचे दिए गए वर्तमान उदाहरण में, हम डिफ़ॉल्ट स्रोत प्रकार चुनते हैं।
इनपुट सेटिंग्स
डेटा अंतर्ग्रहण के इस चरण में, हम उस होस्ट नाम को कॉन्फ़िगर करते हैं जहां से डेटा को अंतर्ग्रहण किया जा रहा है। मेजबान नाम के लिए चुनने के लिए विकल्प निम्नलिखित हैं -
नियत मान
यह पूरा होस्ट नाम है जहां स्रोत डेटा रहता है।
मार्ग पर regex
जब आप एक नियमित अभिव्यक्ति के साथ होस्ट नाम निकालना चाहते हैं। फिर रेग्युलर एक्सप्रेशन फ़ील्ड में आप जिस होस्ट को निकालना चाहते हैं, उसके लिए रेगेक्स डालें।
पथ में खंड
जब आप अपने डेटा स्रोत के पथ में एक सेगमेंट से होस्ट नाम निकालना चाहते हैं, तो सेगमेंट नंबर फ़ील्ड में सेगमेंट नंबर दर्ज करें। उदाहरण के लिए, यदि स्रोत का मार्ग / var / log / है और आप चाहते हैं कि तीसरा खंड (होस्ट सर्वर नाम) होस्ट मान हो, तो "3" दर्ज करें।
अगला, हम खोज के लिए इनपुट डेटा पर बनाए जाने वाले इंडेक्स प्रकार को चुनते हैं। हम डिफ़ॉल्ट सूचकांक रणनीति चुनते हैं। सारांश सूचकांक केवल एकत्रीकरण के माध्यम से डेटा का सारांश बनाता है और उस पर सूचकांक बनाता है जबकि इतिहास सूचकांक खोज इतिहास को संग्रहीत करने के लिए है। यह नीचे दी गई छवि में स्पष्ट रूप से दर्शाया गया है -
सेटिंग्स की समीक्षा करें
अगले बटन पर क्लिक करने के बाद, हम उन सेटिंग्स का सारांश देखते हैं जिन्हें हमने चुना है। हम इसकी समीक्षा करते हैं और डेटा अपलोड करने को समाप्त करने के लिए अगला चुनते हैं।
लोड खत्म करने पर, नीचे की स्क्रीन दिखाई देती है जो सफल डेटा अंतर्ग्रहण और आगे की संभावित क्रियाओं को दिखाती है जो हम डेटा पर ले सकते हैं।
स्पंक को आने वाले सभी डेटा को पहले इसकी इनबिल्ट डेटा प्रोसेसिंग यूनिट द्वारा आंका जाता है और कुछ डेटा प्रकारों और श्रेणियों में वर्गीकृत किया जाता है। उदाहरण के लिए, यदि यह अपाचे वेब सर्वर से लॉग है, तो स्प्लंक पहचान कर सकता है और पढ़े गए डेटा में से उपयुक्त फ़ील्ड बना सकता है।
स्प्लंक में इस सुविधा को सोर्स टाइप डिटेक्शन कहा जाता है और यह इसके अंतर्निहित स्रोत प्रकारों का उपयोग करता है जिन्हें इसे प्राप्त करने के लिए "प्रीट्रेन्ड" स्रोत प्रकार के रूप में जाना जाता है।
यह चीजों को विश्लेषण के लिए आसान बनाता है क्योंकि उपयोगकर्ता को डेटा को मैन्युअल रूप से वर्गीकृत करने और आने वाले डेटा के क्षेत्र में किसी भी प्रकार के डेटा को असाइन करने की आवश्यकता नहीं है।
समर्थित स्रोत प्रकार
स्प्लंक में समर्थित स्रोत प्रकार के माध्यम से एक फ़ाइल अपलोड करके देखा जा सकता है Add Dataसुविधा और फिर स्रोत प्रकार के लिए ड्रॉपडाउन का चयन करना। नीचे की छवि में, हमने एक CSV फ़ाइल अपलोड की है और फिर सभी उपलब्ध विकल्पों के लिए जाँच की है।
स्रोत प्रकार उप-श्रेणी
उन श्रेणियों में भी, हम उन सभी उप श्रेणियों को देखने के लिए आगे क्लिक कर सकते हैं जो समर्थित हैं। इसलिए जब आप डेटाबेस श्रेणी चुनते हैं, तो आप विभिन्न प्रकार के डेटाबेस और उनकी समर्थित फाइलें पा सकते हैं जिन्हें स्प्लंक पहचान सकते हैं।
पूर्व-प्रशिक्षित स्रोत प्रकार
नीचे दी गई तालिका कुछ महत्वपूर्ण पूर्व-प्रशिक्षित स्रोत प्रकारों को सूचीबद्ध करती है, जिन्हें स्पंक पहचानता है -
स्रोत का नाम | प्रकृति |
---|---|
access_combined | NCSA संयुक्त प्रारूप http वेब सर्वर लॉग (Apache या अन्य वेब सर्वर द्वारा उत्पन्न किया जा सकता है) |
access_combined_wcookie | NCSA संयुक्त प्रारूप http वेब सर्वर लॉग (एपाचे या अन्य वेब सर्वर द्वारा उत्पन्न किया जा सकता है), कुकी क्षेत्र के अंत में जोड़ा गया है |
apache_error | मानक Apache वेब सर्वर त्रुटि लॉग |
linux_messages_syslog | मानक लिनक्स syslog (/ सबसे प्लेटफार्मों पर लॉग / संदेश / संदेश) |
log4j | Log4j का उपयोग कर किसी भी J2EE सर्वर द्वारा उत्पादित Log4j मानक आउटपुट |
mysqld_error | मानक mysql त्रुटि लॉग |
स्प्लंक की एक मजबूत खोज कार्यक्षमता है जो आपको पूरे डेटा सेट को खोजने में सक्षम बनाती है। इस फीचर को नाम के ऐप के जरिए एक्सेस किया गया हैSearch & Reporting जिसे वेब इंटरफेस में लॉग इन करने के बाद लेफ्ट साइड बार में देखा जा सकता है।
पर क्लिक करने पर search & Reporting एप्लिकेशन, हमें एक खोज बॉक्स के साथ प्रस्तुत किया जाता है, जहां हम पिछले अध्याय में अपलोड किए गए लॉग डेटा पर अपनी खोज शुरू कर सकते हैं।
हम नीचे दिखाए गए प्रारूप में मेजबान का नाम टाइप करते हैं और दाईं ओर कोने में मौजूद खोज आइकन पर क्लिक करते हैं। यह हमें खोज शब्द को उजागर करने वाला परिणाम देता है।
खोज शब्दों का मेल
हम उन्हें एक के बाद एक लिखकर खोज करने के लिए उपयोग की जाने वाली शर्तों को जोड़ सकते हैं लेकिन उपयोगकर्ता खोज स्ट्रिंग को दोहरे उद्धरण चिह्नों के नीचे रख सकते हैं।
वाइल्ड कार्ड का उपयोग करना
हम अपने खोज विकल्प में वाइल्ड कार्ड का उपयोग कर सकते हैं AND/ORऑपरेटरों। नीचे की खोज में, हमें वह परिणाम मिलता है जहां लॉग फ़ाइल में एक ही पंक्ति में शब्द पासवर्ड के साथ-साथ असफलता, असफलता, विफलता आदि शामिल हैं।
खोज परिणामों को परिष्कृत करना
हम एक स्ट्रिंग का चयन करके और इसे खोज में जोड़कर खोज परिणाम को और परिष्कृत कर सकते हैं। नीचे दिए गए उदाहरण में, हम स्ट्रिंग पर क्लिक करते हैं3351 और विकल्प चुनें Add to Search।
उपरांत 3351खोज शब्द में जोड़ा जाता है, हमें नीचे का परिणाम मिलता है जो लॉग में से केवल उन लाइनों को दर्शाता है जिनमें 3351 हैं। यह भी चिह्नित करें कि हमने खोज को परिष्कृत करते हुए खोज परिणाम की समय रेखा कैसे बदल दी है।
जब स्प्लंक अपलोड किए गए मशीन डेटा को पढ़ता है, तो यह डेटा की व्याख्या करता है और इसे कई क्षेत्रों में विभाजित करता है जो संपूर्ण डेटा रिकॉर्ड के बारे में एक एकल तार्किक तथ्य का प्रतिनिधित्व करते हैं।
उदाहरण के लिए, जानकारी के एक एकल रिकॉर्ड में सर्वर का नाम, घटना का टाइमस्टैम्प, लॉग किया जा रहा घटना का प्रकार हो सकता है कि लॉगिन प्रयास या http प्रतिक्रिया, आदि। असंरचित डेटा के मामले में भी, स्पंक फ़ील्ड को महत्वपूर्ण मान में विभाजित करने का प्रयास करता है जोड़े और उन्हें डेटा प्रकारों के आधार पर अलग करते हैं जो उनके पास हैं, संख्यात्मक और स्ट्रिंग आदि।
पिछले अध्याय में अपलोड किए गए डेटा के साथ जारी रखते हुए, हम फ़ील्ड को से देख सकते हैं secure.logशो फ़ील्ड लिंक पर क्लिक करके फाइल करें जो निम्न स्क्रीन को खोलेगा। इस लॉग फ़ाइल से स्प्लंक उत्पन्न किए गए फ़ील्ड को हम नोटिस कर सकते हैं।
फील्ड्स चुनना
हम चुन सकते हैं कि सभी फ़ील्ड की सूची से फ़ील्ड का चयन या अचयनित करके कौन से फ़ील्ड प्रदर्शित किए जाएं। पर क्लिक करनाall fieldsसभी क्षेत्रों की सूची दिखाने वाली एक विंडो खोलता है। इनमें से कुछ क्षेत्रों में उनके खिलाफ चेक मार्क हैं जो दिखाते हैं कि वे पहले से ही चयनित हैं। हम प्रदर्शन के लिए अपने क्षेत्र चुनने के लिए चेक बॉक्स का उपयोग कर सकते हैं।
फ़ील्ड के नाम के अलावा, यह फ़ील्ड, उसके डेटा प्रकार और इस फ़ील्ड में कितने प्रतिशत घटनाओं को प्रदर्शित करता है।
फील्ड सारांश
प्रत्येक चयनित फ़ील्ड के लिए बहुत विस्तृत आँकड़े फ़ील्ड के नाम पर क्लिक करके उपलब्ध हो जाते हैं। यह क्षेत्र, उनकी गिनती और उनके प्रतिशत के लिए सभी विशिष्ट मूल्यों को दर्शाता है।
खोज में फ़ील्ड का उपयोग करना
फ़ील्ड नामों को खोज के लिए विशिष्ट मानों के साथ खोज बॉक्स में भी डाला जा सकता है। नीचे दिए गए उदाहरण में, हम लक्ष्य के लिए सभी रिकॉर्ड को खोजने के उद्देश्य से, 15 अक्टूबर को नामित मेजबान के लिएmailsecure_log। हमें इस विशिष्ट तिथि के लिए परिणाम मिलता है।
स्पंक वेब इंटरफेस समयरेखा प्रदर्शित करता है जो समय की एक सीमा में घटनाओं के वितरण को इंगित करता है। पूर्व निर्धारित समय अंतराल हैं, जहां से आप एक विशिष्ट समय सीमा का चयन कर सकते हैं, या आप अपनी आवश्यकता के अनुसार समय सीमा को अनुकूलित कर सकते हैं।
नीचे दी गई स्क्रीन विभिन्न प्रीसेट टाइमलाइन विकल्प दिखाती है। इनमें से कोई भी विकल्प चुनने पर केवल उस विशिष्ट समयावधि का डेटा प्राप्त होगा जिसे आप उपलब्ध समयरेखा विकल्पों का उपयोग करके आगे भी विश्लेषण कर सकते हैं।
उदाहरण के लिए, पिछले महीने के विकल्प का चयन करने से हमें पिछले महीने के लिए ही परिणाम मिलता है क्योंकि आप नीचे दिए गए समयरेखा ग्राफ के प्रसार को देख सकते हैं।
एक टाइम सबसेट का चयन
समयरेखा में सलाखों के पार क्लिक करके और खींचकर, हम पहले से मौजूद परिणाम के सबसेट का चयन कर सकते हैं। यह क्वेरी के पुन: निष्पादन का कारण नहीं बनता है। यह केवल मौजूदा परिणाम सेट से रिकॉर्ड को फ़िल्टर करता है।
नीचे की छवि परिणाम सेट से एक सबसेट का चयन दिखाती है -
जल्द से जल्द और नवीनतम
दो कमांड, जल्द से जल्द और नवीनतम का उपयोग खोज बार में उस समय सीमा को इंगित करने के लिए किया जा सकता है जिसके बीच में आप परिणामों को फ़िल्टर करते हैं। यह समय सबसेट का चयन करने के समान है, लेकिन यह विशिष्ट समय रेखा पट्टी पर क्लिक करने के विकल्प के बजाय आदेशों के माध्यम से है। तो, यह उस डेटा रेंज पर एक बेहतर नियंत्रण प्रदान करता है जिसे आप अपने विश्लेषण के लिए चुन सकते हैं।
उपरोक्त छवि में, हम पिछले 7 दिनों से पिछले 15 दिनों के बीच की समय सीमा देते हैं। तो, इन दो दिनों के बीच का डेटा प्रदर्शित होता है।
आस-पास की घटनाएँ
हम एक विशिष्ट समय की आस-पास की घटनाओं का भी उल्लेख कर सकते हैं कि हम घटनाओं को कैसे फ़िल्टर करना चाहते हैं। हमारे पास अंतराल के पैमाने को चुनने का विकल्प है, जैसे - सेकंड, मिनट, दिन और सप्ताह आदि।
जब आप खोज क्वेरी चलाते हैं, तो परिणाम स्प्लंक सर्वर में नौकरी के रूप में संग्रहीत किया जाता है। जबकि यह नौकरी एक विशिष्ट उपयोगकर्ता द्वारा बनाई गई थी, इसे अन्य उपयोगकर्ताओं के साथ साझा किया जा सकता है ताकि वे फिर से इसके लिए क्वेरी बनाने की आवश्यकता के बिना सेट किए गए इस परिणाम का उपयोग करना शुरू कर सकें। परिणामों को उन फ़ाइलों के रूप में भी निर्यात और सहेजा जा सकता है जिन्हें उन उपयोगकर्ताओं के साथ साझा किया जा सकता है जो स्प्लंक का उपयोग नहीं करते हैं।
खोज परिणाम साझा करना
एक बार किसी क्वेरी के सफलतापूर्वक चलने के बाद, हम वेब पेज के मध्य दाईं ओर एक छोटा सा ऊपर तीर देख सकते हैं। इस आइकन पर क्लिक करने से एक URL मिलता है जहाँ क्वेरी और परिणाम तक पहुँचा जा सकता है। इस लिंक का उपयोग करने वाले उपयोगकर्ताओं को अनुमति देने की आवश्यकता है। स्प्लंक प्रशासन इंटरफ़ेस के माध्यम से अनुमति दी गई है।
सहेजे गए परिणाम ढूँढना
उपयुक्त अनुमतियों वाले सभी उपयोगकर्ताओं द्वारा उपयोग में लाई जाने वाली नौकरियों को स्प्लंक इंटरफ़ेस के शीर्ष दाएं बार में गतिविधि मेनू के तहत जॉब्स लिंक की तलाश में स्थित किया जा सकता है। नीचे दी गई छवि में, हम सहेजे गए नौकरियों को खोजने के लिए नौकरी नाम के हाइलाइट किए गए लिंक पर क्लिक करते हैं।
उपरोक्त लिंक पर क्लिक करने के बाद, हमें नीचे दिखाए गए अनुसार सभी सहेजी गई नौकरियों की सूची मिलती है। उन्होंने कहा, हमें यह ध्यान रखना होगा कि एक एक्सपायरी डेट पोस्ट है, जहां सेव की गई जॉब अपने आप स्प्लंक से हट जाएगी। आप इस तिथि को नौकरी का चयन करके और संपादित चयनित पर क्लिक करके समायोजित कर सकते हैं और फिर समय सीमा समाप्ति का चयन कर सकते हैं।
खोज परिणाम का निर्यात करना
हम किसी फ़ाइल में खोज के परिणाम भी निर्यात कर सकते हैं। निर्यात के लिए उपलब्ध तीन अलग-अलग प्रारूप हैं: CSV, XML और JSON। स्वरूपों को चुनने के बाद निर्यात बटन पर क्लिक करने से फ़ाइल स्थानीय ब्राउज़र से स्थानीय प्रणाली में डाउनलोड हो जाती है। यह नीचे दी गई छवि में समझाया गया है -
स्पंक सर्च प्रोसेसिंग लैंग्वेज (SPL) कई कमांड्स, फंक्शन्स, आर्ग्युमेंट्स आदि वाली भाषा है, जो डेटासेट्स से वांछित परिणाम प्राप्त करने के लिए लिखी जाती है। उदाहरण के लिए, जब आपको खोज शब्द के लिए एक परिणाम सेट मिलता है, तो आप आगे परिणाम सेट से कुछ और विशिष्ट शर्तों को फ़िल्टर करना चाह सकते हैं। इसके लिए, आपको मौजूदा कमांड में कुछ अतिरिक्त कमांड जोड़ने की आवश्यकता है। यह एसपीएल का उपयोग सीखने के द्वारा प्राप्त किया जाता है।
एसपीएल के घटक
एसपीएल में निम्नलिखित घटक होते हैं।
Search Terms - ये आपके द्वारा खोजे जा रहे कीवर्ड या वाक्यांश हैं।
Commands - आप जिस एक्शन को रिजल्ट सेट पर लेना चाहते हैं जैसे रिजल्ट को फॉर्मेट करें या उन्हें गिनें।
Functions- परिणाम पर आप क्या गणना करने जा रहे हैं। जैसे सम, औसत आदि।
Clauses - रिजल्ट सेट में फील्ड्स को कैसे ग्रुप करें या रीनेम करें।
आइए नीचे दिए गए अनुभाग में छवियों की सहायता से सभी घटकों पर चर्चा करें -
खोज शब्द
ये वे शब्द हैं, जो खोज बार में आपके द्वारा निर्दिष्ट मानदंड से विशिष्ट रिकॉर्ड प्राप्त करने के लिए खोज बार में उल्लिखित हैं। नीचे दिए गए उदाहरण में, हम उन रिकॉर्डों को खोज रहे हैं जिनमें दो हाइलाइट किए गए शब्द हैं।
आदेश
आप कई इन-बिल्ट कमांड का उपयोग कर सकते हैं जो SPL परिणाम सेट में डेटा के विश्लेषण की प्रक्रिया को सरल बनाने के लिए प्रदान करता है। नीचे दिए गए उदाहरण में हम सर्च ऑपरेशन से केवल शीर्ष 3 परिणामों को फ़िल्टर करने के लिए हेड कमांड का उपयोग करते हैं।
कार्यों
आदेशों के साथ, स्प्लंक कई इन-बिल्ट फ़ंक्शंस भी प्रदान करता है जो विश्लेषण किए जा रहे फ़ील्ड से इनपुट ले सकता है और उस फ़ील्ड पर गणना लागू करने के बाद आउटपुट दे सकता है। नीचे दिए गए उदाहरण में, हम उपयोग करते हैंStats avg() वह फ़ंक्शन जो इनपुट के रूप में लिए जाने वाले संख्यात्मक क्षेत्र के औसत मूल्य की गणना करता है।
खंड
जब हम कुछ विशिष्ट क्षेत्र द्वारा वर्गीकृत परिणाम प्राप्त करना चाहते हैं या हम आउटपुट में एक क्षेत्र का नाम बदलना चाहते हैं, तो हम उपयोग करते हैं group byक्लॉज और क्रमशः क्लॉज के रूप में। नीचे दिए गए उदाहरण में, हमें प्रत्येक फ़ाइल के बाइट्स का औसत आकार मौजूद हैweb_applicationलॉग इन करें। जैसा कि आप देख सकते हैं, परिणाम प्रत्येक फ़ाइल के नाम के साथ-साथ प्रत्येक फ़ाइल के लिए औसत बाइट्स दिखाता है।