"Implementing Splunk 7" - das erste Buch über Splunk in russischer Sprache

Hallo Habr!

Heute wollen wir über das erste Splunk-Buch auf Russisch sprechen! Die Einführung von Splunk 7 durch James D. Miller wurde im Dezember 2018 von DMK Press mit Unterstützung unseres Unternehmens veröffentlicht.

Unter dem Ausschnitt finden Sie eine Beschreibung des Buches, ein kleines Fragment sowie einen Link zur Zeichnung des Buches, die wir für unsere Abonnenten arrangieren.

Splunk ist eine Plattform zum Sammeln, Speichern, Verarbeiten und Betriebsanalysen von Maschinendaten, dh Daten aus allen physischen, virtuellen und Cloud-Umgebungen der IT-Infrastruktur des Unternehmens. Splunk bietet die Möglichkeit, Maschinendaten im Detail zu untersuchen und Systemprotokolle in wertvolle Informationen umzuwandeln. Es wird verwendet, um Probleme mit der IT-Infrastruktur zu beheben, Sicherheitsverletzungen zu überwachen, Angriffe zu verhindern, Informationen für Geschäftsanalysen abzurufen, den Workflow des Unternehmens zu optimieren und die Produktivität zu steigern sowie mit einer Vielzahl großer Mengen von Industriedaten und IoT-Daten zu arbeiten. Splunk wird in einer Vielzahl von Branchen eingesetzt, vom Gesundheitswesen über Finanzdienstleistungen bis hin zur industriellen Fertigung.

Die Einführung von Splunk 7 von A bis Z beschreibt die Arbeit in Splunk. Erklärungen werden von Screenshots, Abbildungen, Beispielen für Suchanfragen und Codefragmenten begleitet. Nachdem Sie das Buch gelesen haben, werden Sie mit der integrierten Sprache von Suchanfragen vertraut gemacht und lernen, wie Sie Tabellen, Diagramme und andere Analysen aus Maschinendaten sowohl auf Basis- als auch auf fortgeschrittener Ebene abrufen können. Erfahren Sie, wie Sie die Geschwindigkeit von Suchanfragen für große Datenmengen optimieren und Datenmodelle erstellen. Darüber hinaus enthält das Buch ziemlich detaillierte Informationen zur Systemkonfiguration und zu den grundlegenden Konfigurationsdateien sowie zu den Funktionen der verteilten Bereitstellung, die während des produktiven Betriebs von Splunk häufiger auftreten. In dieser Veröffentlichung ist auch ein Abschnitt erschienen, der spezielle Tools für das maschinelle Lernen in Splunk beschreibt und zeigt, wie mit ihnen verschiedene Modelle des maschinellen Lernens erstellt werden.

Dieses Buch ist sowohl für Anfänger, die noch keine Erfahrung mit Splunk hatten, als auch für fortgeschrittene Benutzer nützlich. Das Buch ist auch für alle interessant, die in irgendeiner Weise mit Daten verbunden sind, z. B. Datenanalysten oder Geschäftsanalysten, die sich mit neuen Methoden zur Verwaltung von Big Data vertraut machen können, und IT-Administratoren, die verstehen, wie Protokollverwaltung und Systemüberwachung organisiert werden Ihre Organisation.

Fragment aus dem Buch

Suche

Also machten wir uns an die Suche. Hier konzentriert sich die ganze Kraft von Splunk.
Versuchen wir als erstes Beispiel, nach dem Wortfehler zu suchen (ohne Berücksichtigung der Groß- und Kleinschreibung). Klicken Sie in das Suchfeld, geben Sie den Wortfehler ein und drücken Sie die Eingabetaste oder klicken Sie auf das Lupensymbol rechts neben dem Feld, wie in Abb. 1 dargestellt. 1.19.


Abb. 1.19 Suchfeld Suche

Nach dem Start des Suchvorgangs wird eine Seite mit den Ergebnissen geöffnet (die sich in Version 7.0 kaum geändert hat), wie in Abb. 1 dargestellt. 1,20.


Abb. 1.20 Suchergebnisseite

Bitte beachten Sie, dass wir eine Suche nach Allzeitdaten gestartet haben (Standard). Um das Zeitintervall für die Suche zu ändern, können Sie das Zeit-Widget verwenden.

Aufgrund der Tatsache, dass wir mit zufällig generierten Daten experimentieren, werden jedoch nicht alle Anforderungen wie erwartet ausgeführt, und Sie müssen sie möglicherweise ändern.
Eine Beschreibung der Schritte zum Laden von Datensätzen finden Sie im vorherigen Abschnitt „Datengenerator“.

Informationen zum Ändern des Zeitintervalls für eine Suche finden Sie im Abschnitt „Verwenden des Zeit-Widgets“.

Aktionen

Betrachten Sie die Elemente auf dieser Seite. Unter der Suchzeile Suchen (Suchen) werden ein Ereigniszähler, Aktionssymbole und Menüs angezeigt (Abb. 1.21).


Abb. 1.21 Informationen unter dem Suchfeld

Hier ist, welche Informationen unter dem Suchfeld angezeigt werden (von links nach rechts).

• Die Anzahl der Ereignisse, die während der Suche gefunden wurden. Technisch gesehen entspricht diese Anzahl möglicherweise nicht der Anzahl der von der Festplatte gelesenen Ergebnisse, abhängig von den Suchparametern. Wenn in der Anforderung Befehle verwendet werden, kann diese Anzahl außerdem von der Anzahl der Ereignisse in der folgenden Liste abweichen.
• Jobmenü : Öffnet das Suchinspektorfenster, das sehr detaillierte Informationen zur Abfrage enthält.
• Schaltfläche "Pause" : Unterbricht die Suche nach aktuellen Ereignissen, löscht jedoch nicht die Ergebnisse. Dies kann nützlich sein, wenn Sie bereits erhaltene Ergebnisse überprüfen müssen, um festzustellen, ob die Suche fortgesetzt werden soll. Dies kann lange dauern.
• Schaltfläche „Stopp“ : Stoppt die Ausführung der Anforderung, speichert jedoch die bereits auf der Seite erhaltenen Ergebnisse. Dies kann nützlich sein, wenn genügend Informationen vorliegen und Sie diese recherchieren können.
• Schaltfläche „Teilen“ : Verlängert das Zeitintervall der Suche auf sieben Tage und öffnet allen Benutzern den Zugriff auf die Ergebnisse zum Lesen.
• Schaltfläche „Drucken“ : Formatiert die Seite zum Drucken und startet die Druckfunktion im Browser.
• Schaltfläche "Exportieren" : Exportiert die Ergebnisse und gibt die Anzahl der exportierten Ergebnisse und das Format an - CSV, Klartext, XML oder JSON (JavaScript Object Notation - ein Formular zum Aufzeichnen von JavaScript-Objekten).
• Smart-Modus-Menü : Steuert den Suchmodus. Sie können dieses Menü verwenden, um die Suche zu beschleunigen, indem Sie die zurückgegebene Datenmenge und die Anzahl der Felder begrenzen, die Splunk aus den Daten extrahiert ( Fast- Modus). Sie können auch den ausführlichen Modus auswählen, um die maximale Menge an Ereignisinformationen abzurufen . Im Smart-Modus , der standardmäßig verwendet wird, wird das Suchverhalten durch seinen Typ bestimmt.

Zeitleiste

Fahren wir nun mit der Zeitleiste fort, die mit den Aktionstasten unter der Leiste angezeigt wird (Abb. 1.22).


Abb. 1.22 Zeitleiste

Die Zeitskala ermöglicht es Ihnen nicht nur, die Verteilung von Ereignissen in einem bestimmten Intervall schnell zu beurteilen, sondern ist auch ein wertvolles Hilfsmittel bei der Auswahl des geeigneten Intervalls. Wenn Sie mit der Maus über die Zeitleiste fahren, wird ein Tooltip mit der Anzahl der Ereignisse in diesem Intervall angezeigt. Ein Klick auf die Skala wählt Ereignisse für ein bestimmtes Zeitintervall aus.

Wenn Sie die linke Maustaste drücken und den Zeiger ziehen, werden mehrere Zeiträume hervorgehoben, wie in Abb. 2 dargestellt. 1.23.


Abb. 1.23 Mehrere Zeitsegmente auswählen

Wenn das Intervall ausgewählt ist, können Sie auf den Link Zur Auswahl zoomen klicken, um das Intervall zu ändern und die Suche nach diesem Intervall zu wiederholen. Durch Wiederholen dieses Vorgangs können Sie zu bestimmten Ereignissen gelangen.

Durch Deaktivieren (Auswahl zurückgeben) wird erneut die Anzeige aller Ereignisse in dem im Zeit-Widget festgelegten Zeitintervall zurückgegeben.

Verkleinern (Verkleinern) erhöht das im Fenster angezeigte Zeitintervall.

Hier können Sie sich mit zusätzlichen Materialien vertraut machen und an der Zeichnung eines der 5 Exemplare des Buches teilnehmen.

Sie können ein Buch auf der Website des Herausgebers kaufen.