Splunk - คู่มือฉบับย่อ

Splunk เป็นซอฟต์แวร์ที่ประมวลผลและนำข้อมูลเชิงลึกจากข้อมูลเครื่องและข้อมูลขนาดใหญ่ในรูปแบบอื่น ๆ ข้อมูลเครื่องนี้สร้างขึ้นโดย CPU ที่รันเว็บเซิร์ฟเวอร์อุปกรณ์ IOT บันทึกจากแอพมือถือ ฯลฯ ไม่จำเป็นต้องให้ข้อมูลนี้แก่ผู้ใช้ปลายทางและไม่มีความหมายทางธุรกิจใด ๆ อย่างไรก็ตามสิ่งเหล่านี้มีความสำคัญอย่างยิ่งในการทำความเข้าใจตรวจสอบและเพิ่มประสิทธิภาพการทำงานของเครื่องจักร

Splunk สามารถอ่านข้อมูลที่ไม่มีโครงสร้างกึ่งโครงสร้างหรือแทบไม่มีโครงสร้าง หลังจากอ่านข้อมูลแล้วจะอนุญาตให้ค้นหาติดแท็กสร้างรายงานและแดชบอร์ดบนข้อมูลเหล่านี้ ด้วยการถือกำเนิดของข้อมูลขนาดใหญ่ Splunk จึงสามารถนำเข้าข้อมูลขนาดใหญ่จากแหล่งต่างๆซึ่งอาจเป็นหรือไม่เป็นข้อมูลเครื่องจักรและเรียกใช้การวิเคราะห์ข้อมูลขนาดใหญ่

ดังนั้นจากเครื่องมือง่ายๆสำหรับการวิเคราะห์บันทึก Splunk จึงกลายเป็นเครื่องมือวิเคราะห์ทั่วไปสำหรับข้อมูลเครื่องจักรที่ไม่มีโครงสร้างและข้อมูลขนาดใหญ่ในรูปแบบต่างๆ

หมวดหมู่สินค้า

Splunk มีให้เลือกสามประเภทผลิตภัณฑ์ดังนี้ -

  • Splunk Enterprise- ใช้โดย บริษัท ที่มีโครงสร้างพื้นฐานด้านไอทีขนาดใหญ่และธุรกิจที่ขับเคลื่อนด้วยไอที ช่วยในการรวบรวมและวิเคราะห์ข้อมูลจากเว็บไซต์แอปพลิเคชันอุปกรณ์และเซ็นเซอร์ ฯลฯ

  • Splunk Cloud- เป็นแพลตฟอร์มที่โฮสต์บนคลาวด์ที่มีคุณสมบัติเช่นเดียวกับเวอร์ชันสำหรับองค์กร สามารถใช้งานได้จาก Splunk เองหรือผ่านแพลตฟอร์มคลาวด์ AWS

  • Splunk Light- ช่วยให้สามารถค้นหารายงานและแจ้งเตือนข้อมูลบันทึกทั้งหมดแบบเรียลไทม์จากที่เดียว มีฟังก์ชันและคุณสมบัติที่ จำกัด เมื่อเทียบกับอีกสองเวอร์ชัน

คุณสมบัติ Splunk

ในส่วนนี้เราจะพูดถึงคุณสมบัติที่สำคัญของรุ่นสำหรับองค์กร -

การส่งผ่านข้อมูล

Splunk สามารถนำเข้ารูปแบบข้อมูลที่หลากหลายเช่น JSON, XML และข้อมูลเครื่องที่ไม่มีโครงสร้างเช่นบันทึกเว็บและแอปพลิเคชัน ข้อมูลที่ไม่มีโครงสร้างสามารถจำลองเป็นโครงสร้างข้อมูลได้ตามที่ผู้ใช้ต้องการ

การจัดทำดัชนีข้อมูล

ข้อมูลที่นำเข้าจะถูกจัดทำดัชนีโดย Splunk เพื่อให้ค้นหาและสืบค้นเงื่อนไขต่างๆได้เร็วขึ้น

การค้นหาข้อมูล

การค้นหาใน Splunk เกี่ยวข้องกับการใช้ข้อมูลที่จัดทำดัชนีเพื่อวัตถุประสงค์ในการสร้างเมตริกทำนายแนวโน้มในอนาคตและระบุรูปแบบในข้อมูล

ใช้การแจ้งเตือน

การแจ้งเตือน Splunk สามารถใช้เพื่อทริกเกอร์อีเมลหรือ RSS feeds เมื่อพบเกณฑ์เฉพาะบางอย่างในข้อมูลที่กำลังวิเคราะห์

แดชบอร์ด

Splunk Dashboards สามารถแสดงผลการค้นหาในรูปแบบของแผนภูมิรายงานและ Pivots เป็นต้น

แบบจำลองข้อมูล

ข้อมูลที่จัดทำดัชนีสามารถจำลองเป็นชุดข้อมูลหนึ่งชุดขึ้นไปที่ขึ้นอยู่กับความรู้เฉพาะโดเมน สิ่งนี้นำไปสู่การนำทางที่ง่ายขึ้นโดยผู้ใช้ปลายทางที่วิเคราะห์กรณีธุรกิจโดยไม่ต้องเรียนรู้ทางเทคนิคของภาษาประมวลผลการค้นหาที่ Splunk ใช้

ในบทช่วยสอนนี้เราจะติดตั้งเวอร์ชันสำหรับองค์กร เวอร์ชันนี้มีให้ประเมินฟรี 60 วันเมื่อเปิดใช้งานคุณสมบัติทั้งหมด คุณสามารถดาวน์โหลดการตั้งค่าโดยใช้ลิงค์ด้านล่างซึ่งมีให้สำหรับทั้งแพลตฟอร์ม windows และ Linux

https://www.splunk.com/en_us/download/splunk-enterprise.html.

เวอร์ชัน Linux

เวอร์ชัน Linux ดาวน์โหลดได้จากลิงค์ดาวน์โหลดที่ให้ไว้ด้านบน เราเลือกประเภทแพ็คเกจ. deb เนื่องจากการติดตั้งจะทำในแพลตฟอร์ม Ubuntu

เราจะเรียนรู้สิ่งนี้ด้วยวิธีการทีละขั้นตอน -

ขั้นตอนที่ 1

ดาวน์โหลดแพ็คเกจ. deb ดังที่แสดงในภาพหน้าจอด้านล่าง -

ขั้นตอนที่ 2

ไปที่ไดเร็กทอรีดาวน์โหลดและติดตั้ง Splunk โดยใช้แพ็คเกจที่ดาวน์โหลดด้านบน

ขั้นตอนที่ 3

ถัดไปคุณสามารถเริ่ม Splunk โดยใช้คำสั่งต่อไปนี้พร้อมกับยอมรับอาร์กิวเมนต์ใบอนุญาต ระบบจะถามชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบซึ่งคุณควรระบุและจำไว้

ขั้นตอนที่ 4

เซิร์ฟเวอร์ Splunk เริ่มต้นและระบุ URL ที่สามารถเข้าถึงอินเทอร์เฟซ Splunk ได้

ขั้นตอนที่ 5

ตอนนี้คุณสามารถเข้าถึง Splunk URL และป้อน ID ผู้ดูแลระบบและรหัสผ่านที่สร้างในขั้นตอนที่ 3

เวอร์ชัน Windows

เวอร์ชัน windows มีให้เป็นตัวติดตั้ง msi ดังที่แสดงในภาพด้านล่าง -

การดับเบิลคลิกที่ตัวติดตั้ง msi จะติดตั้งเวอร์ชัน Windows ในขั้นตอนต่อไป ขั้นตอนสำคัญสองขั้นตอนที่เราต้องเลือกให้ถูกต้องเพื่อการติดตั้งที่ประสบความสำเร็จมีดังนี้

ขั้นตอนที่ 1

ในขณะที่เรากำลังติดตั้งบนระบบโลคัลให้เลือกตัวเลือกระบบโลคัลตามที่ระบุด้านล่าง -

ขั้นตอนที่ 2

ป้อนรหัสผ่านสำหรับผู้ดูแลระบบและจดจำรหัสผ่านเนื่องจากจะใช้ในการกำหนดค่าในอนาคต

ขั้นตอนที่ 3

ในขั้นตอนสุดท้ายเราจะเห็นว่า Splunk ได้รับการติดตั้งเรียบร้อยแล้วและสามารถเปิดใช้งานได้จากเว็บเบราว์เซอร์

ขั้นตอนที่ 4

จากนั้นเปิดเบราว์เซอร์และป้อน URL ที่กำหนด http://localhost:8000และล็อกอินเข้าสู่ Splunk โดยใช้ ID ผู้ใช้และรหัสผ่านของผู้ดูแลระบบ

อินเทอร์เฟซเว็บ Splunk ประกอบด้วยเครื่องมือทั้งหมดที่คุณต้องการในการค้นหารายงานและวิเคราะห์ข้อมูลที่นำเข้า เว็บอินเทอร์เฟซเดียวกันมีคุณลักษณะสำหรับการดูแลผู้ใช้และบทบาทของผู้ใช้ นอกจากนี้ยังมีลิงค์สำหรับการนำเข้าข้อมูลและแอพที่สร้างขึ้นใน Splunk

ภาพด้านล่างแสดงหน้าจอเริ่มต้นหลังจากที่คุณเข้าสู่ Splunk ด้วยข้อมูลประจำตัวของผู้ดูแลระบบ

ลิงค์ผู้ดูแลระบบ

ดรอปดาวน์ผู้ดูแลระบบให้ตัวเลือกในการตั้งค่าและแก้ไขรายละเอียดของผู้ดูแลระบบ เราสามารถรีเซ็ต ID อีเมลผู้ดูแลระบบและรหัสผ่านโดยใช้หน้าจอด้านล่าง -

นอกจากนี้จากลิงก์ผู้ดูแลระบบเรายังสามารถไปที่ตัวเลือกการตั้งค่าที่เราสามารถตั้งค่าเขตเวลาและแอปพลิเคชันหลักที่หน้า Landing Page จะเปิดขึ้นหลังจากการเข้าสู่ระบบของคุณ ปัจจุบันเปิดในโฮมเพจดังที่แสดงด้านล่าง -

ลิงค์การตั้งค่า

นี่คือลิงค์ที่แสดงคุณสมบัติหลักทั้งหมดที่มีอยู่ใน Splunk ตัวอย่างเช่นคุณสามารถเพิ่มไฟล์การค้นหาและข้อกำหนดการค้นหาโดยเลือกลิงก์การค้นหา

เราจะพูดถึงการตั้งค่าที่สำคัญของลิงก์เหล่านี้ในบทต่อ ๆ ไป

ลิงก์การค้นหาและการรายงาน

ลิงก์การค้นหาและการรายงานจะนำเราไปยังคุณลักษณะที่เราสามารถค้นหาชุดข้อมูลที่พร้อมใช้งานสำหรับการค้นหารายงานและการแจ้งเตือนที่สร้างขึ้นสำหรับการค้นหาเหล่านี้ แสดงไว้อย่างชัดเจนในภาพหน้าจอด้านล่าง -

การนำเข้าข้อมูลใน Splunk เกิดขึ้นผ่านไฟล์ Add Dataคุณลักษณะซึ่งเป็นส่วนหนึ่งของแอปการค้นหาและการรายงาน หลังจากเข้าสู่ระบบหน้าจอหลักของอินเทอร์เฟซ Splunk จะแสดงไฟล์Add Data ไอคอนดังที่แสดงด้านล่าง

เมื่อคลิกปุ่มนี้เราจะนำเสนอหน้าจอเพื่อเลือกแหล่งที่มาและรูปแบบของข้อมูลที่เราวางแผนที่จะส่งไปยัง Splunk เพื่อทำการวิเคราะห์

การรวบรวมข้อมูล

เราสามารถรับข้อมูลสำหรับการวิเคราะห์ได้จากเว็บไซต์ทางการของ Splunk บันทึกไฟล์นี้และแตกไฟล์ในไดรฟ์ในเครื่องของคุณ ในการเปิดโฟลเดอร์คุณจะพบไฟล์สามไฟล์ที่มีรูปแบบต่างกัน เป็นข้อมูลบันทึกที่สร้างโดยเว็บแอปบางตัว นอกจากนี้เรายังสามารถรวบรวมชุดข้อมูลอีกชุดหนึ่งที่จัดทำโดย Splunk ซึ่งมีอยู่ในเว็บเพจทางการของ Splunk

เราจะใช้ข้อมูลจากทั้งสองชุดนี้เพื่อทำความเข้าใจการทำงานของคุณสมบัติต่างๆของ Splunk

กำลังอัปโหลดข้อมูล

ต่อไปเราเลือกไฟล์ secure.log จากโฟลเดอร์ mailsvซึ่งเราเก็บไว้ในระบบท้องถิ่นของเราตามที่กล่าวไว้ในย่อหน้าก่อนหน้านี้ หลังจากเลือกไฟล์แล้วเราจะไปยังขั้นตอนต่อไปโดยใช้ปุ่มถัดไปสีเขียวที่มุมขวาบน

การเลือกประเภทแหล่งที่มา

Splunk มีคุณสมบัติในตัวเพื่อตรวจจับประเภทของข้อมูลที่นำเข้า นอกจากนี้ยังให้ผู้ใช้มีตัวเลือกในการเลือกประเภทข้อมูลที่แตกต่างจากที่ Splunk เลือก เมื่อคลิกที่ประเภทแหล่งที่มาแบบเลื่อนลงเราจะเห็นประเภทข้อมูลต่างๆที่ Splunk สามารถนำเข้าและเปิดใช้งานเพื่อค้นหา

ในตัวอย่างปัจจุบันที่ระบุด้านล่างเราเลือกประเภทแหล่งที่มาเริ่มต้น

การตั้งค่าอินพุต

ในขั้นตอนของการนำเข้าข้อมูลนี้เรากำหนดค่าชื่อโฮสต์ที่จะนำเข้าข้อมูล ต่อไปนี้เป็นตัวเลือกให้เลือกสำหรับชื่อโฮสต์ -

ค่าคงที่

เป็นชื่อโฮสต์แบบสมบูรณ์ที่มีแหล่งข้อมูลอยู่

regex บนเส้นทาง

เมื่อคุณต้องการแยกชื่อโฮสต์ด้วยนิพจน์ทั่วไป จากนั้นป้อน regex สำหรับโฮสต์ที่คุณต้องการแยกในฟิลด์นิพจน์ทั่วไป

ส่วนในเส้นทาง

เมื่อคุณต้องการแยกชื่อโฮสต์จากเซ็กเมนต์ในเส้นทางของแหล่งข้อมูลของคุณให้ป้อนหมายเลขเซ็กเมนต์ในฟิลด์หมายเลขเซ็กเมนต์ ตัวอย่างเช่นหากเส้นทางไปยังแหล่งที่มาคือ / var / log / และคุณต้องการให้เซ็กเมนต์ที่สาม (ชื่อเซิร์ฟเวอร์โฮสต์) เป็นค่าโฮสต์ให้ป้อน "3"

ต่อไปเราจะเลือกประเภทดัชนีที่จะสร้างบนข้อมูลอินพุตสำหรับการค้นหา เราเลือกกลยุทธ์ดัชนีเริ่มต้น ดัชนีสรุปสร้างเฉพาะข้อมูลสรุปผ่านการรวมและสร้างดัชนีในขณะที่ดัชนีประวัติมีไว้สำหรับจัดเก็บประวัติการค้นหา ปรากฎชัดเจนในภาพด้านล่าง -

ตรวจสอบการตั้งค่า

หลังจากคลิกที่ปุ่มถัดไปเราจะเห็นสรุปการตั้งค่าที่เราเลือก เราตรวจสอบและเลือกถัดไปเพื่อสิ้นสุดการอัปโหลดข้อมูล

เมื่อเสร็จสิ้นการโหลดหน้าจอด้านล่างจะปรากฏขึ้นซึ่งแสดงการส่งผ่านข้อมูลที่สำเร็จและการดำเนินการที่เป็นไปได้เพิ่มเติมที่เราสามารถดำเนินการกับข้อมูลได้

ข้อมูลขาเข้าทั้งหมดไปยัง Splunk จะถูกตัดสินก่อนโดยหน่วยประมวลผลข้อมูลในตัวและจำแนกตามประเภทข้อมูลบางประเภทและบางประเภท ตัวอย่างเช่นหากเป็นบันทึกจากเว็บเซิร์ฟเวอร์ apache Splunk จะสามารถรับรู้และสร้างฟิลด์ที่เหมาะสมจากข้อมูลที่อ่านได้

คุณลักษณะนี้ใน Splunk เรียกว่าการตรวจจับประเภทซอร์สและใช้ประเภทซอร์สในตัวซึ่งเรียกว่าประเภทซอร์สแบบ "ล่วงหน้า" เพื่อให้บรรลุ

สิ่งนี้ทำให้การวิเคราะห์ง่ายขึ้นเนื่องจากผู้ใช้ไม่จำเป็นต้องจำแนกประเภทข้อมูลด้วยตนเองและกำหนดประเภทข้อมูลใด ๆ ให้กับเขตข้อมูลของข้อมูลขาเข้า

ประเภทแหล่งที่มาที่รองรับ

ประเภทซอร์สที่รองรับใน Splunk สามารถดูได้โดยการอัปโหลดไฟล์ผ่านไฟล์ Add Dataจากนั้นเลือกรายการแบบเลื่อนลงสำหรับ Source Type ในภาพด้านล่างเราได้อัปโหลดไฟล์ CSV จากนั้นตรวจสอบตัวเลือกทั้งหมดที่มี

ประเภทแหล่งที่มาประเภทย่อย

แม้แต่ในหมวดหมู่เหล่านั้นเรายังสามารถคลิกเพิ่มเติมเพื่อดูหมวดหมู่ย่อยทั้งหมดที่ได้รับการสนับสนุน ดังนั้นเมื่อคุณเลือกหมวดหมู่ฐานข้อมูลคุณจะพบฐานข้อมูลประเภทต่างๆและไฟล์ที่รองรับซึ่ง Splunk สามารถจดจำได้

ประเภทแหล่งที่มาก่อนการฝึกอบรม

ตารางด้านล่างแสดงรายการแหล่งที่มาที่ผ่านการฝึกอบรมที่สำคัญบางประเภทที่ Splunk รู้จัก -

ชื่อประเภทแหล่งที่มา ธรรมชาติ
access_combined บันทึกเว็บเซิร์ฟเวอร์ http รูปแบบรวมของ NCSA (สามารถสร้างโดย apache หรือเว็บเซิร์ฟเวอร์อื่น ๆ )
access_combined_wcookie บันทึกเว็บเซิร์ฟเวอร์ http รูปแบบรวมของ NCSA (สามารถสร้างได้โดย apache หรือเว็บเซิร์ฟเวอร์อื่น ๆ ) โดยเพิ่มช่องคุกกี้ไว้ที่ส่วนท้าย
apache_error บันทึกข้อผิดพลาดมาตรฐานของเว็บเซิร์ฟเวอร์ Apache
linux_messages_syslog มาตรฐาน linux syslog (/ var / log / ข้อความบนแพลตฟอร์มส่วนใหญ่)
log4j เอาต์พุตมาตรฐาน Log4j ที่สร้างโดยเซิร์ฟเวอร์ J2EE โดยใช้ log4j
mysqld_error บันทึกข้อผิดพลาด mysql มาตรฐาน

Splunk มีฟังก์ชันการค้นหาที่มีประสิทธิภาพซึ่งช่วยให้คุณสามารถค้นหาชุดข้อมูลทั้งหมดที่ส่งเข้ามาได้ คุณสมบัตินี้เข้าถึงได้ผ่านแอพที่มีชื่อว่าSearch & Reporting ซึ่งจะเห็นได้ในแถบด้านซ้ายหลังจากล็อกอินเข้าสู่เว็บอินเทอร์เฟซ

เมื่อคลิกที่ไฟล์ search & Reporting เราจะนำเสนอด้วยช่องค้นหาซึ่งเราสามารถเริ่มค้นหาข้อมูลบันทึกที่เราอัปโหลดในบทที่แล้ว

เราพิมพ์ชื่อโฮสต์ในรูปแบบดังที่แสดงด้านล่างและคลิกที่ไอคอนค้นหาที่อยู่มุมขวาสุด สิ่งนี้ทำให้เราได้ผลลัพธ์ที่เน้นข้อความค้นหา

การรวมคำค้นหา

เราสามารถรวมคำที่ใช้ในการค้นหาโดยเขียนทีละคำ แต่ใส่สตริงการค้นหาของผู้ใช้ไว้ใต้เครื่องหมายคำพูดคู่

ใช้ Wild Card

เราสามารถใช้สัญลักษณ์แทนในตัวเลือกการค้นหาของเราร่วมกับไฟล์ AND/ORผู้ประกอบการ ในการค้นหาด้านล่างเราจะได้ผลลัพธ์ที่ไฟล์บันทึกมีคำว่าล้มเหลวล้มเหลวล้มเหลว ฯลฯ พร้อมกับรหัสผ่านคำในบรรทัดเดียวกัน

การปรับแต่งผลการค้นหา

เราสามารถปรับแต่งผลการค้นหาเพิ่มเติมได้โดยเลือกสตริงและเพิ่มลงในการค้นหา ในตัวอย่างด้านล่างเราคลิกที่สตริง3351 และเลือกตัวเลือก Add to Search.

หลังจาก 3351ถูกเพิ่มลงในคำค้นหาเราได้ผลลัพธ์ด้านล่างซึ่งแสดงเฉพาะบรรทัดเหล่านั้นจากบันทึกที่มี 3351 อยู่ในนั้น ทำเครื่องหมายด้วยว่าเส้นเวลาของผลการค้นหามีการเปลี่ยนแปลงอย่างไรเมื่อเราปรับแต่งการค้นหา

เมื่อ Splunk อ่านข้อมูลเครื่องที่อัปโหลดจะตีความข้อมูลและแบ่งออกเป็นหลายฟิลด์ซึ่งแสดงถึงข้อเท็จจริงเชิงตรรกะเดียวเกี่ยวกับบันทึกข้อมูลทั้งหมด

ตัวอย่างเช่นข้อมูลบันทึกเดียวอาจมีชื่อเซิร์ฟเวอร์การประทับเวลาของเหตุการณ์ประเภทของเหตุการณ์ที่บันทึกไม่ว่าจะพยายามเข้าสู่ระบบหรือการตอบกลับ http เป็นต้นแม้ว่าในกรณีของข้อมูลที่ไม่มีโครงสร้าง Splunk จะพยายามแบ่งฟิลด์ออกเป็นค่าคีย์ จับคู่หรือแยกออกตามประเภทข้อมูลที่มีตัวเลขและสตริงเป็นต้น

ต่อจากข้อมูลที่อัปโหลดในบทก่อนหน้านี้เราสามารถดูฟิลด์จากไฟล์ secure.logโดยคลิกที่ลิงค์แสดงฟิลด์ซึ่งจะเปิดขึ้นในหน้าจอต่อไปนี้ เราสามารถสังเกตได้ว่าช่องที่ Splunk สร้างขึ้นจากไฟล์บันทึกนี้

การเลือกฟิลด์

เราสามารถเลือกฟิลด์ที่จะแสดงได้โดยการเลือกหรือยกเลิกการเลือกฟิลด์จากรายการฟิลด์ทั้งหมด คลิกที่all fieldsเปิดหน้าต่างแสดงรายการเขตข้อมูลทั้งหมด ฟิลด์เหล่านี้บางฟิลด์มีเครื่องหมายถูกเพื่อแสดงว่าได้เลือกไว้แล้ว เราสามารถใช้กล่องกาเครื่องหมายเพื่อเลือกฟิลด์ของเราสำหรับการแสดงผล

นอกจากชื่อของฟิลด์แล้วยังแสดงจำนวนของค่าที่แตกต่างกันในฟิลด์นี้ประเภทข้อมูลและเปอร์เซ็นต์ของเหตุการณ์ที่ฟิลด์นี้มีอยู่

สรุปฟิลด์

สถิติที่ละเอียดมากสำหรับทุกฟิลด์ที่เลือกจะพร้อมใช้งานโดยคลิกที่ชื่อของฟิลด์ จะแสดงค่าที่แตกต่างกันทั้งหมดสำหรับฟิลด์จำนวนและเปอร์เซ็นต์

การใช้ฟิลด์ในการค้นหา

นอกจากนี้ยังสามารถแทรกชื่อเขตข้อมูลลงในช่องค้นหาพร้อมกับค่าเฉพาะสำหรับการค้นหา ในตัวอย่างด้านล่างเราตั้งเป้าที่จะค้นหาข้อมูลทั้งหมดสำหรับวันที่ 15 ต.ค. สำหรับโฮสต์ที่มีชื่อว่าmailsecure_log. เราได้รับผลลัพธ์สำหรับวันที่ระบุนี้

อินเทอร์เฟซเว็บ Splunk แสดงไทม์ไลน์ซึ่งระบุการกระจายของเหตุการณ์ในช่วงเวลาหนึ่ง มีช่วงเวลาที่กำหนดไว้ล่วงหน้าซึ่งคุณสามารถเลือกช่วงเวลาที่ต้องการหรือคุณสามารถกำหนดช่วงเวลาเองได้ตามความต้องการของคุณ

หน้าจอด้านล่างแสดงตัวเลือกไทม์ไลน์ที่ตั้งไว้ล่วงหน้าต่างๆ การเลือกตัวเลือกใด ๆ เหล่านี้จะดึงข้อมูลเฉพาะช่วงเวลานั้น ๆ ซึ่งคุณสามารถวิเคราะห์เพิ่มเติมได้โดยใช้ตัวเลือกไทม์ไลน์ที่กำหนดเองที่มีให้

ตัวอย่างเช่นการเลือกตัวเลือกเดือนก่อนหน้าจะทำให้เราได้ผลลัพธ์สำหรับเดือนก่อนหน้าเท่านั้นดังที่คุณสามารถดูการแพร่กระจายของกราฟไทม์ไลน์ด้านล่าง

การเลือกชุดย่อยเวลา

ด้วยการคลิกและลากข้ามแถบในไทม์ไลน์เราสามารถเลือกส่วนย่อยของผลลัพธ์ที่มีอยู่แล้วได้ สิ่งนี้ไม่ทำให้เกิดการเรียกใช้แบบสอบถามอีกครั้ง เพียงกรองระเบียนออกจากชุดผลลัพธ์ที่มีอยู่

ภาพด้านล่างแสดงการเลือกส่วนย่อยจากชุดผลลัพธ์ -

เร็วที่สุดและล่าสุด

คุณสามารถใช้สองคำสั่งแรกสุดและล่าสุดในแถบค้นหาเพื่อระบุช่วงเวลาที่คุณกรองผลลัพธ์ออกไป คล้ายกับการเลือกส่วนย่อยของเวลา แต่จะใช้คำสั่งมากกว่าตัวเลือกในการคลิกที่แถบเส้นเวลาที่เฉพาะเจาะจง ดังนั้นจึงให้การควบคุมที่ละเอียดขึ้นสำหรับช่วงข้อมูลที่คุณสามารถเลือกสำหรับการวิเคราะห์ของคุณ

ในภาพด้านบนเราระบุช่วงเวลาระหว่าง 7 วันถึง 15 วันที่แล้ว ดังนั้นข้อมูลระหว่างสองวันนี้จะปรากฏขึ้น

กิจกรรมใกล้เคียง

นอกจากนี้เรายังสามารถค้นหากิจกรรมใกล้เคียงในช่วงเวลาหนึ่ง ๆ ได้โดยระบุว่าเราต้องการให้เหตุการณ์นั้นถูกกรองออกไปใกล้แค่ไหน เรามีตัวเลือกในการเลือกขนาดของช่วงเวลาเช่น - วินาทีนาทีวันและสัปดาห์เป็นต้น

เมื่อคุณเรียกใช้คำค้นหาผลลัพธ์จะถูกจัดเก็บเป็นงานในเซิร์ฟเวอร์ Splunk แม้ว่างานนี้สร้างขึ้นโดยผู้ใช้เฉพาะรายหนึ่ง แต่ก็สามารถแชร์กับผู้ใช้รายอื่นเพื่อให้พวกเขาสามารถเริ่มใช้ชุดผลลัพธ์นี้ได้โดยไม่จำเป็นต้องสร้างแบบสอบถามขึ้นมาอีก ผลลัพธ์ยังสามารถส่งออกและบันทึกเป็นไฟล์ที่สามารถแชร์กับผู้ใช้ที่ไม่ได้ใช้ Splunk

การแบ่งปันผลการค้นหา

เมื่อการสืบค้นทำงานสำเร็จเราจะเห็นลูกศรชี้ขึ้นเล็ก ๆ ตรงกลางด้านขวาของหน้าเว็บ การคลิกที่ไอคอนนี้จะให้ URL ที่สามารถเข้าถึงแบบสอบถามและผลลัพธ์ได้ จำเป็นต้องให้สิทธิ์แก่ผู้ใช้ที่จะใช้ลิงก์นี้ อนุญาตผ่านอินเทอร์เฟซการดูแลระบบ Splunk

การค้นหาผลลัพธ์ที่บันทึกไว้

งานที่บันทึกเพื่อใช้โดยผู้ใช้ทั้งหมดที่มีสิทธิ์ที่เหมาะสมสามารถดูได้โดยการค้นหาลิงก์งานใต้เมนูกิจกรรมในแถบด้านขวาบนของอินเทอร์เฟซ Splunk ในภาพด้านล่างเราคลิกที่ลิงค์ที่ไฮไลต์ชื่องานเพื่อค้นหางานที่บันทึกไว้

หลังจากคลิกลิงก์ด้านบนเราจะได้รับรายชื่องานที่บันทึกไว้ทั้งหมดดังที่แสดงด้านล่าง เขาต้องทราบว่ามีโพสต์วันหมดอายุที่งานที่บันทึกไว้จะถูกลบออกจาก Splunk โดยอัตโนมัติ คุณสามารถปรับเปลี่ยนวันที่นี้ได้โดยเลือกงานและคลิกที่แก้ไขที่เลือกจากนั้นเลือกขยายวันหมดอายุ

การส่งออกผลการค้นหา

นอกจากนี้เรายังสามารถส่งออกผลลัพธ์ของการค้นหาไปยังไฟล์ รูปแบบที่แตกต่างกันสามรูปแบบสำหรับการส่งออก ได้แก่ CSV, XML และ JSON การคลิกที่ปุ่มส่งออกหลังจากเลือกรูปแบบจะดาวน์โหลดไฟล์จากเบราว์เซอร์ภายในเครื่องไปยังระบบภายในเครื่อง นี่คือคำอธิบายในภาพด้านล่าง -

Splunk Search Processing Language (SPL) เป็นภาษาที่มีคำสั่งฟังก์ชันอาร์กิวเมนต์และอื่น ๆ มากมายซึ่งเขียนขึ้นเพื่อให้ได้ผลลัพธ์ที่ต้องการจากชุดข้อมูล ตัวอย่างเช่นเมื่อคุณได้รับชุดผลลัพธ์สำหรับข้อความค้นหาคุณอาจต้องการกรองคำที่เฉพาะเจาะจงเพิ่มเติมจากชุดผลลัพธ์ สำหรับสิ่งนี้คุณต้องเพิ่มคำสั่งเพิ่มเติมในคำสั่งที่มีอยู่ สิ่งนี้ทำได้โดยการเรียนรู้การใช้ SPL

ส่วนประกอบของ SPL

SPL มีส่วนประกอบดังต่อไปนี้

  • Search Terms - นี่คือคำหลักหรือวลีที่คุณกำลังมองหา

  • Commands - การดำเนินการที่คุณต้องการดำเนินการกับชุดผลลัพธ์เช่นจัดรูปแบบผลลัพธ์หรือนับ

  • Functions- การคำนวณที่คุณจะนำไปใช้กับผลลัพธ์คืออะไร เช่น Sum, Average เป็นต้น

  • Clauses - วิธีจัดกลุ่มหรือเปลี่ยนชื่อฟิลด์ในชุดผลลัพธ์

ให้เราพูดถึงส่วนประกอบทั้งหมดด้วยความช่วยเหลือของภาพในส่วนด้านล่าง -

คำค้นหา

นี่คือคำที่คุณพูดถึงในแถบค้นหาเพื่อรับบันทึกเฉพาะจากชุดข้อมูลที่ตรงตามเกณฑ์การค้นหา ในตัวอย่างด้านล่างเรากำลังค้นหาระเบียนที่มีคำที่ไฮไลต์สองคำ

คำสั่ง

คุณสามารถใช้คำสั่งในตัวจำนวนมากที่ SPL จัดเตรียมไว้เพื่อลดความซับซ้อนของกระบวนการวิเคราะห์ข้อมูลในชุดผลลัพธ์ ในตัวอย่างด้านล่างเราใช้คำสั่ง head เพื่อกรองเฉพาะผลลัพธ์ 3 อันดับแรกจากการดำเนินการค้นหา

ฟังก์ชั่น

นอกจากคำสั่งแล้ว Splunk ยังมีฟังก์ชันในตัวอีกมากมายซึ่งสามารถรับอินพุตจากฟิลด์ที่กำลังวิเคราะห์และให้ผลลัพธ์หลังจากใช้การคำนวณในฟิลด์นั้น ในตัวอย่างด้านล่างเราใช้ไฟล์Stats avg() ฟังก์ชันที่คำนวณค่าเฉลี่ยของฟิลด์ตัวเลขที่ใช้เป็นอินพุต

ข้อ

เมื่อเราต้องการรับผลลัพธ์ที่จัดกลุ่มตามฟิลด์เฉพาะบางฟิลด์หรือเราต้องการเปลี่ยนชื่อฟิลด์ในเอาต์พุตเราใช้ไฟล์ group byอนุประโยคและ as clause ตามลำดับ ในตัวอย่างด้านล่างเราได้รับขนาดโดยเฉลี่ยของแต่ละไฟล์ที่มีอยู่ในไฟล์web_applicationบันทึก อย่างที่คุณเห็นผลลัพธ์จะแสดงชื่อของแต่ละไฟล์รวมทั้งไบต์เฉลี่ยสำหรับแต่ละไฟล์