Geekly articles weekly

"Implementando Splunk 7" - el primer libro sobre Splunk en ruso

Hola Habr!

¡Hoy queremos hablar sobre el primer libro de Splunk en ruso! La implementación de Splunk 7 por James D. Miller fue lanzada en diciembre de 2018 por DMK Press con el apoyo de nuestra empresa.

Debajo del corte, encontrará una descripción del libro, un pequeño fragmento, así como un enlace al dibujo del libro, que organizamos para nuestros suscriptores.

Splunk es una plataforma para recopilar, almacenar, procesar y analizar operacionalmente los datos de la máquina, es decir, los datos de todos los entornos físicos, virtuales y en la nube de la infraestructura de TI de una organización. Splunk brinda la oportunidad de estudiar los datos de la máquina en detalle y convierte los registros del sistema en información valiosa. Se utiliza para solucionar problemas de infraestructura de TI, monitorear violaciones de seguridad, prevenir ataques, obtener información para análisis de negocios, optimizar el flujo de trabajo de la empresa y aumentar la productividad, y trabajar con una variedad de grandes volúmenes de datos industriales y datos de IoT. Splunk se utiliza en una amplia gama de industrias, desde atención médica hasta servicios financieros y fabricación industrial.

La introducción de Splunk 7, de la A a la Z, describe cómo trabajar en Splunk. Las explicaciones van acompañadas de capturas de pantalla, ilustraciones, ejemplos de consultas de búsqueda y fragmentos de código. Después de leer el libro, se familiarizará con el lenguaje incorporado de las consultas de búsqueda y aprenderá cómo obtener tablas, diagramas y otros análisis de los datos de la máquina, tanto a nivel básico como avanzado. Aprenda a optimizar la velocidad de las consultas de búsqueda en grandes conjuntos de datos y cómo crear modelos de datos. Además, el libro proporciona información bastante detallada sobre la configuración del sistema y los archivos de configuración básicos, así como sobre las características de la implementación distribuida, que es más común durante la operación productiva de Splunk. En esta publicación también apareció una sección que describe herramientas especiales para el aprendizaje automático en Splunk y muestra cómo usarlas para crear varios modelos de aprendizaje automático.

Este libro será útil tanto para principiantes que no tenían experiencia previa en Splunk como para usuarios avanzados. Además, el libro será de interés para todos los que estén de alguna manera conectados con los datos, por ejemplo, analistas de datos o analistas de negocios que podrán familiarizarse con nuevas formas de administrar big data y administradores de TI que puedan entender cómo organizar la administración de registros y el monitoreo del sistema en su organización

Fragmento del libro


Buscar


Entonces llegamos a la búsqueda. Aquí es donde se concentra todo el poder de Splunk.
Como primer ejemplo, intentemos buscar (sin distinción entre mayúsculas y minúsculas) la palabra error . Haga clic en el campo de búsqueda, ingrese la palabra error y luego presione la tecla Intro o haga clic en el icono de la lupa a la derecha del campo, como se muestra en la Fig. 1.19


Fig. 1.19 Campo de búsqueda Buscar

Después de comenzar el procedimiento de búsqueda, se abrirá una página con los resultados (que ha cambiado poco en la versión 7.0), como se muestra en la Fig. 1.20.


Fig. 1.20 Página de resultados de búsqueda

Tenga en cuenta que iniciamos una búsqueda en los datos de todos los tiempos (predeterminado); Para cambiar el intervalo de tiempo para la búsqueda, puede usar el widget de tiempo.

Sin embargo, debido al hecho de que estamos experimentando con datos generados aleatoriamente, no todas las solicitudes actuarán como se espera, y es posible que deba cambiarlas.
Encontrará una descripción de los pasos para cargar conjuntos de datos en la sección anterior, "Generador de datos".

Puede averiguar cómo cambiar el intervalo de tiempo para una búsqueda en la sección "Uso del widget de tiempo".

Acciones


Considere los elementos en esta página. Debajo de la línea de búsqueda, Buscar (Buscar) muestra un contador de eventos, iconos de acción y menús (Fig. 1.21).


Fig. 1.21 Información bajo el campo de búsqueda

Aquí está la información que se muestra debajo del cuadro de búsqueda (de izquierda a derecha).

  • El número de eventos encontrados durante la búsqueda. Técnicamente, este número puede no corresponder con el número de resultados leídos del disco, dependiendo de los parámetros de búsqueda. Además, si se utilizan comandos en la solicitud, este número puede diferir del número de eventos en la lista a continuación.
  • Menú de trabajo : abre la ventana del inspector de trabajos de búsqueda, que proporciona información muy detallada sobre la consulta.
  • Botón de pausa: detiene la búsqueda del evento actual, pero no elimina los resultados. Esto puede ser útil cuando necesita mirar los resultados ya obtenidos para determinar si continúa la búsqueda, lo que puede llevar mucho tiempo.
  • Botón "Detener" : detiene la ejecución de la solicitud, pero guarda los resultados ya obtenidos en la página. Esto puede ser útil cuando se ha obtenido suficiente información y puede proceder a investigarlos.
  • Botón "Compartir" : extiende el intervalo de tiempo de la búsqueda a siete días y abre el acceso a los resultados para leerlos a todos los usuarios.
  • Botón "Imprimir" : formatea la página para imprimir e inicia la función de impresión en el navegador.
  • Botón "Exportar" : exporta los resultados, ofreciendo indicar el número de resultados exportados y el formato: CSV, texto plano, XML o JSON (notación de objetos JavaScript: un formulario para registrar objetos JavaScript).
  • Menú de modo inteligente : controla el modo de búsqueda. Puede usar este menú para acelerar la búsqueda limitando la cantidad de datos devueltos y la cantidad de campos que Splunk extraerá de los datos ( Mod e rápido ). También puede seleccionar el modo detallado para obtener la cantidad máxima de información del evento. En el modo inteligente , que se usa por defecto, el comportamiento de búsqueda está determinado por su tipo.

Cronograma


Ahora pasemos a la línea de tiempo que se muestra debajo de la barra con botones de acción (Fig. 1.22).


Fig. 1.22 Cronología

La escala de tiempo no solo le permite evaluar rápidamente la distribución de eventos en un intervalo dado, sino que también es una herramienta valiosa para ayudarlo a elegir el intervalo apropiado. Si pasa el cursor sobre la línea de tiempo, aparece una información sobre herramientas con el número de eventos en este intervalo. Un clic en la escala selecciona eventos para un intervalo de tiempo específico.

Si presiona el botón izquierdo del mouse y arrastra el puntero, se resaltarán varios períodos de tiempo, como se muestra en la Fig. 1.23


Fig. 1.23 Seleccionar múltiples segmentos de tiempo

Con el intervalo seleccionado, puede hacer clic en el enlace Zoom para seleccionar para cambiar el intervalo y repetir la búsqueda de ese intervalo. Al repetir este proceso, puede llegar a eventos específicos.

Deseleccionar (Devolver selección) vuelve a mostrar la visualización de todos los eventos en el intervalo de tiempo establecido en el widget de tiempo.

Alejar (Alejar) aumenta el intervalo de tiempo que se muestra en la ventana.

Puede familiarizarse con materiales adicionales y participar en el dibujo de una de las 5 copias del libro aquí .

Puedes comprar un libro en el sitio web del editor .

Source: https://habr.com/ru/post/437956/

More articles:


All Articles