"Implémentation de Splunk 7" - le premier livre sur Splunk en russe

Bonjour, Habr!

Aujourd'hui, nous voulons parler du premier livre Splunk en russe! La mise en œuvre de Splunk 7 par James D.Miller a été publiée en décembre 2018 par DMK Press avec le soutien de notre société.

Sous la coupe, vous trouverez une description du livre, un petit fragment, ainsi qu'un lien vers le dessin du livre, que nous organisons pour nos abonnés.

Splunk est une plate-forme de collecte, de stockage, de traitement et d'analyse opérationnelle des données machine, c'est-à-dire des données de tous les environnements physiques, virtuels et cloud de l'infrastructure informatique d'une organisation. Splunk offre la possibilité d'étudier en détail les données de la machine et transforme les journaux système en informations précieuses. Il est utilisé pour dépanner l'infrastructure informatique, surveiller les violations de sécurité, prévenir les attaques, obtenir des informations pour l'analyse commerciale, optimiser le flux de travail de l'entreprise et augmenter la productivité, et travailler avec une grande variété de gros volumes de données industrielles et de données IoT. Splunk est utilisé dans un large éventail d'industries, des soins de santé aux services financiers et à la fabrication industrielle.

L'introduction de Splunk 7, de A à Z, décrit comment travailler dans Splunk. Les explications sont accompagnées de captures d'écran, d'illustrations, d'exemples de requêtes de recherche et de fragments de code. Après avoir lu le livre, vous vous familiariserez avec le langage intégré des requêtes de recherche et apprendrez comment obtenir des tableaux, des diagrammes et d'autres analyses à partir des données de la machine à un niveau de base et avancé. Découvrez comment optimiser la vitesse des requêtes de recherche sur de grands ensembles de données et comment créer des modèles de données. De plus, le livre fournit des informations assez détaillées sur la configuration du système et les fichiers de configuration de base, ainsi que sur les fonctionnalités du déploiement distribué, qui est plus courant pendant le fonctionnement productif de Splunk. Une section est également apparue dans cette publication qui décrit des outils spéciaux pour l'apprentissage automatique dans Splunk et montre comment les utiliser pour créer différents modèles d'apprentissage automatique.

Ce livre sera utile à la fois aux débutants n'ayant pas d'expérience préalable en Splunk et aux utilisateurs avancés. En outre, le livre intéressera tous ceux qui sont en quelque sorte connectés aux données, par exemple, les analystes de données ou les analystes commerciaux qui peuvent se familiariser avec de nouvelles façons de gérer les mégadonnées et les administrateurs informatiques qui peuvent comprendre comment organiser la gestion des journaux et la surveillance du système dans votre organisation.

Fragment du livre

Chercher

Nous sommes donc arrivés à la recherche. C'est là que toute la puissance de Splunk est concentrée.
Comme premier exemple, essayons de rechercher (insensible à la casse) le mot erreur . Cliquez dans le champ de recherche, saisissez le mot erreur, puis appuyez sur la touche Entrée ou cliquez sur l'icône de la loupe à droite du champ, comme illustré à la Fig. 1.19.


Fig. 1.19 Champ de recherche Recherche

Après avoir démarré la procédure de recherche, une page avec les résultats s'ouvrira (qui a peu changé dans la version 7.0), comme le montre la Fig. 1.20.


Fig. 1.20 Page des résultats de recherche

Veuillez noter que nous avons lancé une recherche sur les données de tous les temps (par défaut); Pour modifier l'intervalle de temps pour la recherche, vous pouvez utiliser le widget de temps.

Cependant, étant donné que nous expérimentons des données générées de manière aléatoire, toutes les demandes n'agiront pas comme prévu, et vous devrez peut-être les modifier.
Vous trouverez une description des étapes de chargement des ensembles de données dans la section précédente, «Générateur de données».

Vous pouvez découvrir comment modifier l'intervalle de temps pour une recherche dans la section «Utilisation du widget de temps».

Actions

Considérez les éléments de cette page. Sous la ligne de recherche, Rechercher (Rechercher) affiche un compteur d'événements, des icônes d'action et des menus (Fig. 1.21).


Fig. 1.21 Informations sous le champ de recherche

Voici les informations affichées sous le champ de recherche (de gauche à droite).

• Le nombre d'événements trouvés lors de la recherche. Techniquement, ce nombre peut ne pas correspondre au nombre de résultats lus sur le disque, selon les paramètres de recherche. De plus, si des commandes sont utilisées dans la demande, ce nombre peut différer du nombre d'événements dans la liste ci-dessous.
• Menu Travail : ouvre la fenêtre de l'inspecteur de recherche, qui fournit des informations très détaillées sur la requête.
• Bouton Pause : met en pause la recherche d'événements en cours, mais ne supprime pas les résultats. Cela peut être utile lorsque vous devez consulter les résultats déjà obtenus pour déterminer si vous souhaitez poursuivre la recherche, ce qui peut prendre un certain temps.
• Bouton «Arrêter» : arrête l'exécution de la demande, mais enregistre les résultats déjà obtenus sur la page. Cela peut être utile lorsque suffisamment d'informations ont été obtenues et que vous pouvez les rechercher.
• Bouton «Partager» : étend l'intervalle de temps de la recherche à sept jours et ouvre l'accès aux résultats de lecture à tous les utilisateurs.
• Bouton «Imprimer» : formate la page pour l'impression et lance la fonction d'impression dans le navigateur.
• Bouton "Exporter" : exporte les résultats, offrant d'indiquer le nombre de résultats exportés et le format - CSV, texte brut, XML ou JSON (JavaScript Object Notation - un formulaire d'enregistrement des objets JavaScript).
• Menu du mode intelligent : contrôle le mode de recherche. Vous pouvez utiliser ce menu pour accélérer la recherche en limitant la quantité de données retournées et le nombre de champs que Splunk extraira des données ( Fast mod e). Vous pouvez également sélectionner le mode détaillé pour obtenir le maximum d'informations sur l'événement. Dans le mode Smart , utilisé par défaut, le comportement de recherche est déterminé par son type.

Chronologie

Passons maintenant à la chronologie affichée sous la barre avec des boutons d'action (Fig. 1.22).


Fig. 1.22 Chronologie

L'échelle de temps vous permet non seulement d'évaluer rapidement la distribution des événements dans un intervalle donné, mais c'est également un outil précieux pour vous aider à choisir l'intervalle approprié. Si vous survolez la chronologie, une info-bulle apparaît avec le nombre d'événements dans cet intervalle. Un clic sur l'échelle sélectionne les événements pour un intervalle de temps spécifique.

Si vous appuyez sur le bouton gauche de la souris et faites glisser le pointeur, plusieurs périodes seront mises en surbrillance, comme le montre la Fig. 1.23.


Fig. 1.23 Sélection de plusieurs segments de temps

Une fois l'intervalle sélectionné, vous pouvez cliquer sur le lien Zoom pour sélectionner pour modifier l'intervalle et répéter la recherche de cet intervalle. En répétant ce processus, vous pouvez accéder à des événements spécifiques.

Désélectionner (Retour sélection) renvoie à nouveau l'affichage de tous les événements dans l'intervalle de temps défini dans le widget de temps.

Zoom arrière (Zoom arrière) augmente l'intervalle de temps affiché dans la fenêtre.

Vous pouvez vous familiariser avec du matériel supplémentaire et participer au dessin de l'un des 5 exemplaires du livre ici .

Vous pouvez acheter un livre sur le site Web de l'éditeur .