Geekly articles weekly

"Implementando o Splunk 7" - o primeiro livro do Splunk em russo

Olá Habr!

Hoje queremos falar sobre o primeiro livro do Splunk em russo! A implementação do Splunk 7 por James D. Miller foi lançada em dezembro de 2018 pela DMK Press com o apoio de nossa empresa.

Abaixo do recorte, você encontrará uma descrição do livro, um pequeno fragmento, bem como um link para o desenho do livro, que organizamos para nossos assinantes.

O Splunk é uma plataforma para coleta, armazenamento, processamento e análise operacional de dados da máquina, ou seja, dados de todos os ambientes físicos, virtuais e em nuvem da infraestrutura de TI de uma organização. O Splunk oferece uma oportunidade de estudar os dados da máquina em detalhes e transforma os logs do sistema em informações valiosas. Ele é usado para solucionar problemas de infraestrutura de TI, monitorar violações de segurança, impedir ataques, obter informações para análise de negócios, otimizar o fluxo de trabalho da empresa e aumentar a produtividade, além de trabalhar com uma grande variedade de grandes volumes de dados industriais e de IoT. O Splunk é usado em uma ampla gama de indústrias, de serviços de saúde a serviços financeiros e fabricação industrial.

A introdução do Splunk 7, de A a Z, descreve como trabalhar no Splunk. As explicações são acompanhadas por capturas de tela, ilustrações, exemplos de consultas de pesquisa e fragmentos de código. Depois de ler o livro, você se familiarizará com o idioma interno das consultas de pesquisa e aprenderá como obter tabelas, diagramas e outras análises a partir dos dados da máquina, tanto no nível básico quanto no avançado. Aprenda como otimizar a velocidade das consultas de pesquisa em grandes conjuntos de dados e como criar modelos de dados. Além disso, o livro fornece informações bastante detalhadas sobre a configuração do sistema e os arquivos de configuração básica, bem como sobre os recursos da implantação distribuída, o que é mais comum durante a operação produtiva do Splunk. Uma seção também apareceu nesta publicação que descreve ferramentas especiais para aprendizado de máquina no Splunk e mostra como usá-las para criar vários modelos de aprendizado de máquina.

Este livro será útil para iniciantes que não tinham experiência anterior no Splunk e usuários avançados. Além disso, o livro será de interesse para todos os que estão de alguma forma conectados aos dados, por exemplo, analistas de dados ou analistas de negócios que possam se familiarizar com novas maneiras de gerenciar big data e administradores de TI que possam entender como organizar o gerenciamento de logs e o monitoramento do sistema. sua organização.

Fragmento do livro


Pesquisar


Então, chegamos à pesquisa. É aqui que todo o poder do Splunk está concentrado.
Como primeiro exemplo, vamos tentar procurar (sem distinção entre maiúsculas e minúsculas) a palavra erro . Clique no campo de pesquisa, digite a palavra erro e pressione a tecla Enter ou clique no ícone da lupa à direita do campo, como mostra a Fig. 1.19


Fig. 1.19 Campo de pesquisa Pesquisa

Após iniciar o procedimento de pesquisa, uma página com os resultados será aberta (o que mudou pouco na versão 7.0), conforme mostrado na Fig. 1.20


Fig. 1.20 Página de resultados da pesquisa

Observe que lançamos uma pesquisa sobre dados de todos os tempos (padrão); Para alterar o intervalo de tempo da pesquisa, você pode usar o widget de tempo.

No entanto, devido ao fato de estarmos experimentando dados gerados aleatoriamente, nem todas as solicitações funcionarão conforme o esperado, e talvez seja necessário alterá-las.
Você encontrará uma descrição das etapas para carregar conjuntos de dados na seção anterior, “Gerador de dados”.

Você pode descobrir como alterar o intervalo de tempo para uma pesquisa na seção "Usando o widget de tempo".

Acções


Considere os elementos nesta página. Sob a linha de busca, Search (Search) exibe um contador de eventos, ícones de ação e menus (Fig. 1.21).


Fig. 1.21 Informações no campo Pesquisar

Aqui estão as informações exibidas na caixa de pesquisa (da esquerda para a direita).

  • O número de eventos encontrados durante a pesquisa. Tecnicamente, esse número pode não corresponder ao número de resultados lidos no disco, dependendo dos parâmetros de pesquisa. Além disso, se forem utilizados comandos na solicitação, esse número poderá ser diferente do número de eventos na lista abaixo.
  • Menu Trabalho : abre a janela do inspetor de trabalhos de pesquisa, que fornece informações muito detalhadas sobre a consulta.
  • Botão Pausar : pausa a pesquisa de eventos atual, mas não exclui os resultados. Isso pode ser útil quando você precisar examinar os resultados já obtidos para determinar se deve continuar a pesquisa, o que pode levar muito tempo.
  • Botão "Stop" : interrompe a execução da solicitação, mas salva os resultados já obtidos na página. Isso pode ser útil quando informações suficientes foram obtidas e você pode prosseguir com a pesquisa.
  • Botão "Compartilhar" : estende o intervalo de tempo da pesquisa para sete dias e abre o acesso aos resultados para leitura para todos os usuários.
  • Botão "Imprimir" : formata a página para impressão e inicia a função de impressão no navegador.
  • Botão "Exportar" : exporta os resultados, oferecendo a indicação do número de resultados exportados e do formato - CSV, texto sem formatação, XML ou JSON (JavaScript Object Notation - um formulário para registrar objetos JavaScript).
  • Menu do modo inteligente : controla o modo de pesquisa. Você pode usar este menu para acelerar a pesquisa limitando a quantidade de dados retornados e o número de campos que o Splunk extrairá dos dados ( Mod rápido ). Você também pode selecionar o modo detalhado para obter a quantidade máxima de informações do evento. No modo Inteligente , usado por padrão, o comportamento da pesquisa é determinado por seu tipo.

Linha do tempo


Agora vamos para a linha do tempo exibida abaixo da barra com botões de ação (Fig. 1.22).


Fig. 1.22 Linha do tempo

A escala de tempo não apenas permite avaliar rapidamente a distribuição de eventos em um determinado intervalo, mas também é uma ferramenta valiosa para ajudá-lo a escolher o intervalo apropriado. Se você passar o mouse sobre a linha do tempo, uma dica de ferramenta será exibida com o número de eventos nesse intervalo. Um clique na escala seleciona eventos para um intervalo de tempo específico.

Se você pressionar o botão esquerdo do mouse e arrastar o ponteiro, vários períodos serão destacados, conforme mostrado na Fig. 1.23


Fig. 1.23 Selecionando vários segmentos de tempo

Com o intervalo selecionado, você pode clicar no link Zoom para selecionar para alterar o intervalo e repetir a pesquisa para esse intervalo. Repetindo esse processo, você pode obter eventos específicos.

Desmarcar (Retornar seleção) retorna novamente a exibição de todos os eventos no intervalo de tempo definido no widget de tempo.

Menos zoom (Menos zoom) aumenta o intervalo de tempo exibido na janela.

Você pode se familiarizar com materiais adicionais e participar do desenho de uma das 5 cópias do livro aqui .

Você pode comprar um livro no site do editor .

Source: https://habr.com/ru/post/pt437956/

More articles:


All Articles