Splunk - คู่มือฉบับย่อ
Splunk เป็นซอฟต์แวร์ที่ประมวลผลและนำข้อมูลเชิงลึกจากข้อมูลเครื่องและข้อมูลขนาดใหญ่ในรูปแบบอื่น ๆ ข้อมูลเครื่องนี้สร้างขึ้นโดย CPU ที่รันเว็บเซิร์ฟเวอร์อุปกรณ์ IOT บันทึกจากแอพมือถือ ฯลฯ ไม่จำเป็นต้องให้ข้อมูลนี้แก่ผู้ใช้ปลายทางและไม่มีความหมายทางธุรกิจใด ๆ อย่างไรก็ตามสิ่งเหล่านี้มีความสำคัญอย่างยิ่งในการทำความเข้าใจตรวจสอบและเพิ่มประสิทธิภาพการทำงานของเครื่องจักร
Splunk สามารถอ่านข้อมูลที่ไม่มีโครงสร้างกึ่งโครงสร้างหรือแทบไม่มีโครงสร้าง หลังจากอ่านข้อมูลแล้วจะอนุญาตให้ค้นหาติดแท็กสร้างรายงานและแดชบอร์ดบนข้อมูลเหล่านี้ ด้วยการถือกำเนิดของข้อมูลขนาดใหญ่ Splunk จึงสามารถนำเข้าข้อมูลขนาดใหญ่จากแหล่งต่างๆซึ่งอาจเป็นหรือไม่เป็นข้อมูลเครื่องจักรและเรียกใช้การวิเคราะห์ข้อมูลขนาดใหญ่
ดังนั้นจากเครื่องมือง่ายๆสำหรับการวิเคราะห์บันทึก Splunk จึงกลายเป็นเครื่องมือวิเคราะห์ทั่วไปสำหรับข้อมูลเครื่องจักรที่ไม่มีโครงสร้างและข้อมูลขนาดใหญ่ในรูปแบบต่างๆ
หมวดหมู่สินค้า
Splunk มีให้เลือกสามประเภทผลิตภัณฑ์ดังนี้ -
Splunk Enterprise- ใช้โดย บริษัท ที่มีโครงสร้างพื้นฐานด้านไอทีขนาดใหญ่และธุรกิจที่ขับเคลื่อนด้วยไอที ช่วยในการรวบรวมและวิเคราะห์ข้อมูลจากเว็บไซต์แอปพลิเคชันอุปกรณ์และเซ็นเซอร์ ฯลฯ
Splunk Cloud- เป็นแพลตฟอร์มที่โฮสต์บนคลาวด์ที่มีคุณสมบัติเช่นเดียวกับเวอร์ชันสำหรับองค์กร สามารถใช้งานได้จาก Splunk เองหรือผ่านแพลตฟอร์มคลาวด์ AWS
Splunk Light- ช่วยให้สามารถค้นหารายงานและแจ้งเตือนข้อมูลบันทึกทั้งหมดแบบเรียลไทม์จากที่เดียว มีฟังก์ชันและคุณสมบัติที่ จำกัด เมื่อเทียบกับอีกสองเวอร์ชัน
คุณสมบัติ Splunk
ในส่วนนี้เราจะพูดถึงคุณสมบัติที่สำคัญของรุ่นสำหรับองค์กร -
การส่งผ่านข้อมูล
Splunk สามารถนำเข้ารูปแบบข้อมูลที่หลากหลายเช่น JSON, XML และข้อมูลเครื่องที่ไม่มีโครงสร้างเช่นบันทึกเว็บและแอปพลิเคชัน ข้อมูลที่ไม่มีโครงสร้างสามารถจำลองเป็นโครงสร้างข้อมูลได้ตามที่ผู้ใช้ต้องการ
การจัดทำดัชนีข้อมูล
ข้อมูลที่นำเข้าจะถูกจัดทำดัชนีโดย Splunk เพื่อให้ค้นหาและสืบค้นเงื่อนไขต่างๆได้เร็วขึ้น
การค้นหาข้อมูล
การค้นหาใน Splunk เกี่ยวข้องกับการใช้ข้อมูลที่จัดทำดัชนีเพื่อวัตถุประสงค์ในการสร้างเมตริกทำนายแนวโน้มในอนาคตและระบุรูปแบบในข้อมูล
ใช้การแจ้งเตือน
การแจ้งเตือน Splunk สามารถใช้เพื่อทริกเกอร์อีเมลหรือ RSS feeds เมื่อพบเกณฑ์เฉพาะบางอย่างในข้อมูลที่กำลังวิเคราะห์
แดชบอร์ด
Splunk Dashboards สามารถแสดงผลการค้นหาในรูปแบบของแผนภูมิรายงานและ Pivots เป็นต้น
แบบจำลองข้อมูล
ข้อมูลที่จัดทำดัชนีสามารถจำลองเป็นชุดข้อมูลหนึ่งชุดขึ้นไปที่ขึ้นอยู่กับความรู้เฉพาะโดเมน สิ่งนี้นำไปสู่การนำทางที่ง่ายขึ้นโดยผู้ใช้ปลายทางที่วิเคราะห์กรณีธุรกิจโดยไม่ต้องเรียนรู้ทางเทคนิคของภาษาประมวลผลการค้นหาที่ Splunk ใช้
ในบทช่วยสอนนี้เราจะติดตั้งเวอร์ชันสำหรับองค์กร เวอร์ชันนี้มีให้ประเมินฟรี 60 วันเมื่อเปิดใช้งานคุณสมบัติทั้งหมด คุณสามารถดาวน์โหลดการตั้งค่าโดยใช้ลิงค์ด้านล่างซึ่งมีให้สำหรับทั้งแพลตฟอร์ม windows และ Linux
https://www.splunk.com/en_us/download/splunk-enterprise.html.
เวอร์ชัน Linux
เวอร์ชัน Linux ดาวน์โหลดได้จากลิงค์ดาวน์โหลดที่ให้ไว้ด้านบน เราเลือกประเภทแพ็คเกจ. deb เนื่องจากการติดตั้งจะทำในแพลตฟอร์ม Ubuntu
เราจะเรียนรู้สิ่งนี้ด้วยวิธีการทีละขั้นตอน -
ขั้นตอนที่ 1
ดาวน์โหลดแพ็คเกจ. deb ดังที่แสดงในภาพหน้าจอด้านล่าง -
ขั้นตอนที่ 2
ไปที่ไดเร็กทอรีดาวน์โหลดและติดตั้ง Splunk โดยใช้แพ็คเกจที่ดาวน์โหลดด้านบน
ขั้นตอนที่ 3
ถัดไปคุณสามารถเริ่ม Splunk โดยใช้คำสั่งต่อไปนี้พร้อมกับยอมรับอาร์กิวเมนต์ใบอนุญาต ระบบจะถามชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบซึ่งคุณควรระบุและจำไว้
ขั้นตอนที่ 4
เซิร์ฟเวอร์ Splunk เริ่มต้นและระบุ URL ที่สามารถเข้าถึงอินเทอร์เฟซ Splunk ได้
ขั้นตอนที่ 5
ตอนนี้คุณสามารถเข้าถึง Splunk URL และป้อน ID ผู้ดูแลระบบและรหัสผ่านที่สร้างในขั้นตอนที่ 3
เวอร์ชัน Windows
เวอร์ชัน windows มีให้เป็นตัวติดตั้ง msi ดังที่แสดงในภาพด้านล่าง -
การดับเบิลคลิกที่ตัวติดตั้ง msi จะติดตั้งเวอร์ชัน Windows ในขั้นตอนต่อไป ขั้นตอนสำคัญสองขั้นตอนที่เราต้องเลือกให้ถูกต้องเพื่อการติดตั้งที่ประสบความสำเร็จมีดังนี้
ขั้นตอนที่ 1
ในขณะที่เรากำลังติดตั้งบนระบบโลคัลให้เลือกตัวเลือกระบบโลคัลตามที่ระบุด้านล่าง -
ขั้นตอนที่ 2
ป้อนรหัสผ่านสำหรับผู้ดูแลระบบและจดจำรหัสผ่านเนื่องจากจะใช้ในการกำหนดค่าในอนาคต
ขั้นตอนที่ 3
ในขั้นตอนสุดท้ายเราจะเห็นว่า Splunk ได้รับการติดตั้งเรียบร้อยแล้วและสามารถเปิดใช้งานได้จากเว็บเบราว์เซอร์
ขั้นตอนที่ 4
จากนั้นเปิดเบราว์เซอร์และป้อน URL ที่กำหนด http://localhost:8000และล็อกอินเข้าสู่ Splunk โดยใช้ ID ผู้ใช้และรหัสผ่านของผู้ดูแลระบบ
อินเทอร์เฟซเว็บ Splunk ประกอบด้วยเครื่องมือทั้งหมดที่คุณต้องการในการค้นหารายงานและวิเคราะห์ข้อมูลที่นำเข้า เว็บอินเทอร์เฟซเดียวกันมีคุณลักษณะสำหรับการดูแลผู้ใช้และบทบาทของผู้ใช้ นอกจากนี้ยังมีลิงค์สำหรับการนำเข้าข้อมูลและแอพที่สร้างขึ้นใน Splunk
ภาพด้านล่างแสดงหน้าจอเริ่มต้นหลังจากที่คุณเข้าสู่ Splunk ด้วยข้อมูลประจำตัวของผู้ดูแลระบบ
ลิงค์ผู้ดูแลระบบ
ดรอปดาวน์ผู้ดูแลระบบให้ตัวเลือกในการตั้งค่าและแก้ไขรายละเอียดของผู้ดูแลระบบ เราสามารถรีเซ็ต ID อีเมลผู้ดูแลระบบและรหัสผ่านโดยใช้หน้าจอด้านล่าง -
นอกจากนี้จากลิงก์ผู้ดูแลระบบเรายังสามารถไปที่ตัวเลือกการตั้งค่าที่เราสามารถตั้งค่าเขตเวลาและแอปพลิเคชันหลักที่หน้า Landing Page จะเปิดขึ้นหลังจากการเข้าสู่ระบบของคุณ ปัจจุบันเปิดในโฮมเพจดังที่แสดงด้านล่าง -
ลิงค์การตั้งค่า
นี่คือลิงค์ที่แสดงคุณสมบัติหลักทั้งหมดที่มีอยู่ใน Splunk ตัวอย่างเช่นคุณสามารถเพิ่มไฟล์การค้นหาและข้อกำหนดการค้นหาโดยเลือกลิงก์การค้นหา
เราจะพูดถึงการตั้งค่าที่สำคัญของลิงก์เหล่านี้ในบทต่อ ๆ ไป
ลิงก์การค้นหาและการรายงาน
ลิงก์การค้นหาและการรายงานจะนำเราไปยังคุณลักษณะที่เราสามารถค้นหาชุดข้อมูลที่พร้อมใช้งานสำหรับการค้นหารายงานและการแจ้งเตือนที่สร้างขึ้นสำหรับการค้นหาเหล่านี้ แสดงไว้อย่างชัดเจนในภาพหน้าจอด้านล่าง -
การนำเข้าข้อมูลใน Splunk เกิดขึ้นผ่านไฟล์ Add Dataคุณลักษณะซึ่งเป็นส่วนหนึ่งของแอปการค้นหาและการรายงาน หลังจากเข้าสู่ระบบหน้าจอหลักของอินเทอร์เฟซ Splunk จะแสดงไฟล์Add Data ไอคอนดังที่แสดงด้านล่าง
เมื่อคลิกปุ่มนี้เราจะนำเสนอหน้าจอเพื่อเลือกแหล่งที่มาและรูปแบบของข้อมูลที่เราวางแผนที่จะส่งไปยัง Splunk เพื่อทำการวิเคราะห์
การรวบรวมข้อมูล
เราสามารถรับข้อมูลสำหรับการวิเคราะห์ได้จากเว็บไซต์ทางการของ Splunk บันทึกไฟล์นี้และแตกไฟล์ในไดรฟ์ในเครื่องของคุณ ในการเปิดโฟลเดอร์คุณจะพบไฟล์สามไฟล์ที่มีรูปแบบต่างกัน เป็นข้อมูลบันทึกที่สร้างโดยเว็บแอปบางตัว นอกจากนี้เรายังสามารถรวบรวมชุดข้อมูลอีกชุดหนึ่งที่จัดทำโดย Splunk ซึ่งมีอยู่ในเว็บเพจทางการของ Splunk
เราจะใช้ข้อมูลจากทั้งสองชุดนี้เพื่อทำความเข้าใจการทำงานของคุณสมบัติต่างๆของ Splunk
กำลังอัปโหลดข้อมูล
ต่อไปเราเลือกไฟล์ secure.log จากโฟลเดอร์ mailsvซึ่งเราเก็บไว้ในระบบท้องถิ่นของเราตามที่กล่าวไว้ในย่อหน้าก่อนหน้านี้ หลังจากเลือกไฟล์แล้วเราจะไปยังขั้นตอนต่อไปโดยใช้ปุ่มถัดไปสีเขียวที่มุมขวาบน
การเลือกประเภทแหล่งที่มา
Splunk มีคุณสมบัติในตัวเพื่อตรวจจับประเภทของข้อมูลที่นำเข้า นอกจากนี้ยังให้ผู้ใช้มีตัวเลือกในการเลือกประเภทข้อมูลที่แตกต่างจากที่ Splunk เลือก เมื่อคลิกที่ประเภทแหล่งที่มาแบบเลื่อนลงเราจะเห็นประเภทข้อมูลต่างๆที่ Splunk สามารถนำเข้าและเปิดใช้งานเพื่อค้นหา
ในตัวอย่างปัจจุบันที่ระบุด้านล่างเราเลือกประเภทแหล่งที่มาเริ่มต้น
การตั้งค่าอินพุต
ในขั้นตอนของการนำเข้าข้อมูลนี้เรากำหนดค่าชื่อโฮสต์ที่จะนำเข้าข้อมูล ต่อไปนี้เป็นตัวเลือกให้เลือกสำหรับชื่อโฮสต์ -
ค่าคงที่
เป็นชื่อโฮสต์แบบสมบูรณ์ที่มีแหล่งข้อมูลอยู่
regex บนเส้นทาง
เมื่อคุณต้องการแยกชื่อโฮสต์ด้วยนิพจน์ทั่วไป จากนั้นป้อน regex สำหรับโฮสต์ที่คุณต้องการแยกในฟิลด์นิพจน์ทั่วไป
ส่วนในเส้นทาง
เมื่อคุณต้องการแยกชื่อโฮสต์จากเซ็กเมนต์ในเส้นทางของแหล่งข้อมูลของคุณให้ป้อนหมายเลขเซ็กเมนต์ในฟิลด์หมายเลขเซ็กเมนต์ ตัวอย่างเช่นหากเส้นทางไปยังแหล่งที่มาคือ / var / log / และคุณต้องการให้เซ็กเมนต์ที่สาม (ชื่อเซิร์ฟเวอร์โฮสต์) เป็นค่าโฮสต์ให้ป้อน "3"
ต่อไปเราจะเลือกประเภทดัชนีที่จะสร้างบนข้อมูลอินพุตสำหรับการค้นหา เราเลือกกลยุทธ์ดัชนีเริ่มต้น ดัชนีสรุปสร้างเฉพาะข้อมูลสรุปผ่านการรวมและสร้างดัชนีในขณะที่ดัชนีประวัติมีไว้สำหรับจัดเก็บประวัติการค้นหา ปรากฎชัดเจนในภาพด้านล่าง -
ตรวจสอบการตั้งค่า
หลังจากคลิกที่ปุ่มถัดไปเราจะเห็นสรุปการตั้งค่าที่เราเลือก เราตรวจสอบและเลือกถัดไปเพื่อสิ้นสุดการอัปโหลดข้อมูล
เมื่อเสร็จสิ้นการโหลดหน้าจอด้านล่างจะปรากฏขึ้นซึ่งแสดงการส่งผ่านข้อมูลที่สำเร็จและการดำเนินการที่เป็นไปได้เพิ่มเติมที่เราสามารถดำเนินการกับข้อมูลได้
ข้อมูลขาเข้าทั้งหมดไปยัง Splunk จะถูกตัดสินก่อนโดยหน่วยประมวลผลข้อมูลในตัวและจำแนกตามประเภทข้อมูลบางประเภทและบางประเภท ตัวอย่างเช่นหากเป็นบันทึกจากเว็บเซิร์ฟเวอร์ apache Splunk จะสามารถรับรู้และสร้างฟิลด์ที่เหมาะสมจากข้อมูลที่อ่านได้
คุณลักษณะนี้ใน Splunk เรียกว่าการตรวจจับประเภทซอร์สและใช้ประเภทซอร์สในตัวซึ่งเรียกว่าประเภทซอร์สแบบ "ล่วงหน้า" เพื่อให้บรรลุ
สิ่งนี้ทำให้การวิเคราะห์ง่ายขึ้นเนื่องจากผู้ใช้ไม่จำเป็นต้องจำแนกประเภทข้อมูลด้วยตนเองและกำหนดประเภทข้อมูลใด ๆ ให้กับเขตข้อมูลของข้อมูลขาเข้า
ประเภทแหล่งที่มาที่รองรับ
ประเภทซอร์สที่รองรับใน Splunk สามารถดูได้โดยการอัปโหลดไฟล์ผ่านไฟล์ Add Dataจากนั้นเลือกรายการแบบเลื่อนลงสำหรับ Source Type ในภาพด้านล่างเราได้อัปโหลดไฟล์ CSV จากนั้นตรวจสอบตัวเลือกทั้งหมดที่มี
ประเภทแหล่งที่มาประเภทย่อย
แม้แต่ในหมวดหมู่เหล่านั้นเรายังสามารถคลิกเพิ่มเติมเพื่อดูหมวดหมู่ย่อยทั้งหมดที่ได้รับการสนับสนุน ดังนั้นเมื่อคุณเลือกหมวดหมู่ฐานข้อมูลคุณจะพบฐานข้อมูลประเภทต่างๆและไฟล์ที่รองรับซึ่ง Splunk สามารถจดจำได้
ประเภทแหล่งที่มาก่อนการฝึกอบรม
ตารางด้านล่างแสดงรายการแหล่งที่มาที่ผ่านการฝึกอบรมที่สำคัญบางประเภทที่ Splunk รู้จัก -
| ชื่อประเภทแหล่งที่มา | ธรรมชาติ |
|---|---|
| access_combined | บันทึกเว็บเซิร์ฟเวอร์ http รูปแบบรวมของ NCSA (สามารถสร้างโดย apache หรือเว็บเซิร์ฟเวอร์อื่น ๆ ) |
| access_combined_wcookie | บันทึกเว็บเซิร์ฟเวอร์ http รูปแบบรวมของ NCSA (สามารถสร้างได้โดย apache หรือเว็บเซิร์ฟเวอร์อื่น ๆ ) โดยเพิ่มช่องคุกกี้ไว้ที่ส่วนท้าย |
| apache_error | บันทึกข้อผิดพลาดมาตรฐานของเว็บเซิร์ฟเวอร์ Apache |
| linux_messages_syslog | มาตรฐาน linux syslog (/ var / log / ข้อความบนแพลตฟอร์มส่วนใหญ่) |
| log4j | เอาต์พุตมาตรฐาน Log4j ที่สร้างโดยเซิร์ฟเวอร์ J2EE โดยใช้ log4j |
| mysqld_error | บันทึกข้อผิดพลาด mysql มาตรฐาน |
Splunk มีฟังก์ชันการค้นหาที่มีประสิทธิภาพซึ่งช่วยให้คุณสามารถค้นหาชุดข้อมูลทั้งหมดที่ส่งเข้ามาได้ คุณสมบัตินี้เข้าถึงได้ผ่านแอพที่มีชื่อว่าSearch & Reporting ซึ่งจะเห็นได้ในแถบด้านซ้ายหลังจากล็อกอินเข้าสู่เว็บอินเทอร์เฟซ
เมื่อคลิกที่ไฟล์ search & Reporting เราจะนำเสนอด้วยช่องค้นหาซึ่งเราสามารถเริ่มค้นหาข้อมูลบันทึกที่เราอัปโหลดในบทที่แล้ว
เราพิมพ์ชื่อโฮสต์ในรูปแบบดังที่แสดงด้านล่างและคลิกที่ไอคอนค้นหาที่อยู่มุมขวาสุด สิ่งนี้ทำให้เราได้ผลลัพธ์ที่เน้นข้อความค้นหา
การรวมคำค้นหา
เราสามารถรวมคำที่ใช้ในการค้นหาโดยเขียนทีละคำ แต่ใส่สตริงการค้นหาของผู้ใช้ไว้ใต้เครื่องหมายคำพูดคู่
ใช้ Wild Card
เราสามารถใช้สัญลักษณ์แทนในตัวเลือกการค้นหาของเราร่วมกับไฟล์ AND/ORผู้ประกอบการ ในการค้นหาด้านล่างเราจะได้ผลลัพธ์ที่ไฟล์บันทึกมีคำว่าล้มเหลวล้มเหลวล้มเหลว ฯลฯ พร้อมกับรหัสผ่านคำในบรรทัดเดียวกัน
การปรับแต่งผลการค้นหา
เราสามารถปรับแต่งผลการค้นหาเพิ่มเติมได้โดยเลือกสตริงและเพิ่มลงในการค้นหา ในตัวอย่างด้านล่างเราคลิกที่สตริง3351 และเลือกตัวเลือก Add to Search.
หลังจาก 3351ถูกเพิ่มลงในคำค้นหาเราได้ผลลัพธ์ด้านล่างซึ่งแสดงเฉพาะบรรทัดเหล่านั้นจากบันทึกที่มี 3351 อยู่ในนั้น ทำเครื่องหมายด้วยว่าเส้นเวลาของผลการค้นหามีการเปลี่ยนแปลงอย่างไรเมื่อเราปรับแต่งการค้นหา
เมื่อ Splunk อ่านข้อมูลเครื่องที่อัปโหลดจะตีความข้อมูลและแบ่งออกเป็นหลายฟิลด์ซึ่งแสดงถึงข้อเท็จจริงเชิงตรรกะเดียวเกี่ยวกับบันทึกข้อมูลทั้งหมด
ตัวอย่างเช่นข้อมูลบันทึกเดียวอาจมีชื่อเซิร์ฟเวอร์การประทับเวลาของเหตุการณ์ประเภทของเหตุการณ์ที่บันทึกไม่ว่าจะพยายามเข้าสู่ระบบหรือการตอบกลับ http เป็นต้นแม้ว่าในกรณีของข้อมูลที่ไม่มีโครงสร้าง Splunk จะพยายามแบ่งฟิลด์ออกเป็นค่าคีย์ จับคู่หรือแยกออกตามประเภทข้อมูลที่มีตัวเลขและสตริงเป็นต้น
ต่อจากข้อมูลที่อัปโหลดในบทก่อนหน้านี้เราสามารถดูฟิลด์จากไฟล์ secure.logโดยคลิกที่ลิงค์แสดงฟิลด์ซึ่งจะเปิดขึ้นในหน้าจอต่อไปนี้ เราสามารถสังเกตได้ว่าช่องที่ Splunk สร้างขึ้นจากไฟล์บันทึกนี้
การเลือกฟิลด์
เราสามารถเลือกฟิลด์ที่จะแสดงได้โดยการเลือกหรือยกเลิกการเลือกฟิลด์จากรายการฟิลด์ทั้งหมด คลิกที่all fieldsเปิดหน้าต่างแสดงรายการเขตข้อมูลทั้งหมด ฟิลด์เหล่านี้บางฟิลด์มีเครื่องหมายถูกเพื่อแสดงว่าได้เลือกไว้แล้ว เราสามารถใช้กล่องกาเครื่องหมายเพื่อเลือกฟิลด์ของเราสำหรับการแสดงผล
นอกจากชื่อของฟิลด์แล้วยังแสดงจำนวนของค่าที่แตกต่างกันในฟิลด์นี้ประเภทข้อมูลและเปอร์เซ็นต์ของเหตุการณ์ที่ฟิลด์นี้มีอยู่
สรุปฟิลด์
สถิติที่ละเอียดมากสำหรับทุกฟิลด์ที่เลือกจะพร้อมใช้งานโดยคลิกที่ชื่อของฟิลด์ จะแสดงค่าที่แตกต่างกันทั้งหมดสำหรับฟิลด์จำนวนและเปอร์เซ็นต์
การใช้ฟิลด์ในการค้นหา
นอกจากนี้ยังสามารถแทรกชื่อเขตข้อมูลลงในช่องค้นหาพร้อมกับค่าเฉพาะสำหรับการค้นหา ในตัวอย่างด้านล่างเราตั้งเป้าที่จะค้นหาข้อมูลทั้งหมดสำหรับวันที่ 15 ต.ค. สำหรับโฮสต์ที่มีชื่อว่าmailsecure_log. เราได้รับผลลัพธ์สำหรับวันที่ระบุนี้
อินเทอร์เฟซเว็บ Splunk แสดงไทม์ไลน์ซึ่งระบุการกระจายของเหตุการณ์ในช่วงเวลาหนึ่ง มีช่วงเวลาที่กำหนดไว้ล่วงหน้าซึ่งคุณสามารถเลือกช่วงเวลาที่ต้องการหรือคุณสามารถกำหนดช่วงเวลาเองได้ตามความต้องการของคุณ
หน้าจอด้านล่างแสดงตัวเลือกไทม์ไลน์ที่ตั้งไว้ล่วงหน้าต่างๆ การเลือกตัวเลือกใด ๆ เหล่านี้จะดึงข้อมูลเฉพาะช่วงเวลานั้น ๆ ซึ่งคุณสามารถวิเคราะห์เพิ่มเติมได้โดยใช้ตัวเลือกไทม์ไลน์ที่กำหนดเองที่มีให้
ตัวอย่างเช่นการเลือกตัวเลือกเดือนก่อนหน้าจะทำให้เราได้ผลลัพธ์สำหรับเดือนก่อนหน้าเท่านั้นดังที่คุณสามารถดูการแพร่กระจายของกราฟไทม์ไลน์ด้านล่าง
การเลือกชุดย่อยเวลา
ด้วยการคลิกและลากข้ามแถบในไทม์ไลน์เราสามารถเลือกส่วนย่อยของผลลัพธ์ที่มีอยู่แล้วได้ สิ่งนี้ไม่ทำให้เกิดการเรียกใช้แบบสอบถามอีกครั้ง เพียงกรองระเบียนออกจากชุดผลลัพธ์ที่มีอยู่
ภาพด้านล่างแสดงการเลือกส่วนย่อยจากชุดผลลัพธ์ -
เร็วที่สุดและล่าสุด
คุณสามารถใช้สองคำสั่งแรกสุดและล่าสุดในแถบค้นหาเพื่อระบุช่วงเวลาที่คุณกรองผลลัพธ์ออกไป คล้ายกับการเลือกส่วนย่อยของเวลา แต่จะใช้คำสั่งมากกว่าตัวเลือกในการคลิกที่แถบเส้นเวลาที่เฉพาะเจาะจง ดังนั้นจึงให้การควบคุมที่ละเอียดขึ้นสำหรับช่วงข้อมูลที่คุณสามารถเลือกสำหรับการวิเคราะห์ของคุณ
ในภาพด้านบนเราระบุช่วงเวลาระหว่าง 7 วันถึง 15 วันที่แล้ว ดังนั้นข้อมูลระหว่างสองวันนี้จะปรากฏขึ้น
กิจกรรมใกล้เคียง
นอกจากนี้เรายังสามารถค้นหากิจกรรมใกล้เคียงในช่วงเวลาหนึ่ง ๆ ได้โดยระบุว่าเราต้องการให้เหตุการณ์นั้นถูกกรองออกไปใกล้แค่ไหน เรามีตัวเลือกในการเลือกขนาดของช่วงเวลาเช่น - วินาทีนาทีวันและสัปดาห์เป็นต้น
เมื่อคุณเรียกใช้คำค้นหาผลลัพธ์จะถูกจัดเก็บเป็นงานในเซิร์ฟเวอร์ Splunk แม้ว่างานนี้สร้างขึ้นโดยผู้ใช้เฉพาะรายหนึ่ง แต่ก็สามารถแชร์กับผู้ใช้รายอื่นเพื่อให้พวกเขาสามารถเริ่มใช้ชุดผลลัพธ์นี้ได้โดยไม่จำเป็นต้องสร้างแบบสอบถามขึ้นมาอีก ผลลัพธ์ยังสามารถส่งออกและบันทึกเป็นไฟล์ที่สามารถแชร์กับผู้ใช้ที่ไม่ได้ใช้ Splunk
การแบ่งปันผลการค้นหา
เมื่อการสืบค้นทำงานสำเร็จเราจะเห็นลูกศรชี้ขึ้นเล็ก ๆ ตรงกลางด้านขวาของหน้าเว็บ การคลิกที่ไอคอนนี้จะให้ URL ที่สามารถเข้าถึงแบบสอบถามและผลลัพธ์ได้ จำเป็นต้องให้สิทธิ์แก่ผู้ใช้ที่จะใช้ลิงก์นี้ อนุญาตผ่านอินเทอร์เฟซการดูแลระบบ Splunk
การค้นหาผลลัพธ์ที่บันทึกไว้
งานที่บันทึกเพื่อใช้โดยผู้ใช้ทั้งหมดที่มีสิทธิ์ที่เหมาะสมสามารถดูได้โดยการค้นหาลิงก์งานใต้เมนูกิจกรรมในแถบด้านขวาบนของอินเทอร์เฟซ Splunk ในภาพด้านล่างเราคลิกที่ลิงค์ที่ไฮไลต์ชื่องานเพื่อค้นหางานที่บันทึกไว้
หลังจากคลิกลิงก์ด้านบนเราจะได้รับรายชื่องานที่บันทึกไว้ทั้งหมดดังที่แสดงด้านล่าง เขาต้องทราบว่ามีโพสต์วันหมดอายุที่งานที่บันทึกไว้จะถูกลบออกจาก Splunk โดยอัตโนมัติ คุณสามารถปรับเปลี่ยนวันที่นี้ได้โดยเลือกงานและคลิกที่แก้ไขที่เลือกจากนั้นเลือกขยายวันหมดอายุ
การส่งออกผลการค้นหา
นอกจากนี้เรายังสามารถส่งออกผลลัพธ์ของการค้นหาไปยังไฟล์ รูปแบบที่แตกต่างกันสามรูปแบบสำหรับการส่งออก ได้แก่ CSV, XML และ JSON การคลิกที่ปุ่มส่งออกหลังจากเลือกรูปแบบจะดาวน์โหลดไฟล์จากเบราว์เซอร์ภายในเครื่องไปยังระบบภายในเครื่อง นี่คือคำอธิบายในภาพด้านล่าง -
Splunk Search Processing Language (SPL) เป็นภาษาที่มีคำสั่งฟังก์ชันอาร์กิวเมนต์และอื่น ๆ มากมายซึ่งเขียนขึ้นเพื่อให้ได้ผลลัพธ์ที่ต้องการจากชุดข้อมูล ตัวอย่างเช่นเมื่อคุณได้รับชุดผลลัพธ์สำหรับข้อความค้นหาคุณอาจต้องการกรองคำที่เฉพาะเจาะจงเพิ่มเติมจากชุดผลลัพธ์ สำหรับสิ่งนี้คุณต้องเพิ่มคำสั่งเพิ่มเติมในคำสั่งที่มีอยู่ สิ่งนี้ทำได้โดยการเรียนรู้การใช้ SPL
ส่วนประกอบของ SPL
SPL มีส่วนประกอบดังต่อไปนี้
Search Terms - นี่คือคำหลักหรือวลีที่คุณกำลังมองหา
Commands - การดำเนินการที่คุณต้องการดำเนินการกับชุดผลลัพธ์เช่นจัดรูปแบบผลลัพธ์หรือนับ
Functions- การคำนวณที่คุณจะนำไปใช้กับผลลัพธ์คืออะไร เช่น Sum, Average เป็นต้น
Clauses - วิธีจัดกลุ่มหรือเปลี่ยนชื่อฟิลด์ในชุดผลลัพธ์
ให้เราพูดถึงส่วนประกอบทั้งหมดด้วยความช่วยเหลือของภาพในส่วนด้านล่าง -
คำค้นหา
นี่คือคำที่คุณพูดถึงในแถบค้นหาเพื่อรับบันทึกเฉพาะจากชุดข้อมูลที่ตรงตามเกณฑ์การค้นหา ในตัวอย่างด้านล่างเรากำลังค้นหาระเบียนที่มีคำที่ไฮไลต์สองคำ
คำสั่ง
คุณสามารถใช้คำสั่งในตัวจำนวนมากที่ SPL จัดเตรียมไว้เพื่อลดความซับซ้อนของกระบวนการวิเคราะห์ข้อมูลในชุดผลลัพธ์ ในตัวอย่างด้านล่างเราใช้คำสั่ง head เพื่อกรองเฉพาะผลลัพธ์ 3 อันดับแรกจากการดำเนินการค้นหา
ฟังก์ชั่น
นอกจากคำสั่งแล้ว Splunk ยังมีฟังก์ชันในตัวอีกมากมายซึ่งสามารถรับอินพุตจากฟิลด์ที่กำลังวิเคราะห์และให้ผลลัพธ์หลังจากใช้การคำนวณในฟิลด์นั้น ในตัวอย่างด้านล่างเราใช้ไฟล์Stats avg() ฟังก์ชันที่คำนวณค่าเฉลี่ยของฟิลด์ตัวเลขที่ใช้เป็นอินพุต
ข้อ
เมื่อเราต้องการรับผลลัพธ์ที่จัดกลุ่มตามฟิลด์เฉพาะบางฟิลด์หรือเราต้องการเปลี่ยนชื่อฟิลด์ในเอาต์พุตเราใช้ไฟล์ group byอนุประโยคและ as clause ตามลำดับ ในตัวอย่างด้านล่างเราได้รับขนาดโดยเฉลี่ยของแต่ละไฟล์ที่มีอยู่ในไฟล์web_applicationบันทึก อย่างที่คุณเห็นผลลัพธ์จะแสดงชื่อของแต่ละไฟล์รวมทั้งไบต์เฉลี่ยสำหรับแต่ละไฟล์
