Che cos'è Splunk

Splunk è indicato come prodotto o strumento, utilizzato per analizzare i dati in grandi volumi nel mondo degli affari. È uno strumento di ricerca molto potente e versatile che popola un registro in tempo reale e quindi facilita i problemi di monitoraggio e risoluzione dei problemi che si verificano nella nostra applicazione. I fondatori di Splunk sono Michael Baum, Rob Das ed Erik Swan. È stato sviluppato nel 2003, ma Splunk è più richiesto dopo la sua versione di Splunk 3.0 nel 2008-09.

Splunk funziona come indicizzazione dei dati, utilizza i dati per cercare e investigare, aggiungere conoscenza ai dati, impostare monitor e allertare, segnalare e analizzare, preparare dashboard. Splunk raccoglie i dati in modo sicuro e quindi aiuta a archiviare e indicizzare i dati in una posizione centralizzata con accesso basato sui ruoli. Quindi non importa quanto i nostri dati non siano strutturati o diversi, forse possiamo facilmente monitorare, segnalare e analizzare i nostri dati.

Concetti di Splunk:

Splunk aggiunge conoscenza ai tuoi dati con l'aiuto di oggetti della conoscenza (come Tag, Campi e Ricerche salvate, Rapporti, Cruscotti, Avvisi, ecc.). Questi oggetti della conoscenza possono essere condivisi e riutilizzati: Questi concetti degli oggetti della conoscenza sono spiegati di seguito:

Informazioni su Splunk Home:

Splunk Home è la finestra principale per le app e i dati accessibili da questo Splunk. Splunk Home include una barra di ricerca e tre pannelli: App, Dati e Guida.

  • Questa barra di ricerca dell'app viene utilizzata da un utente per eseguire la query di ricerca. La barra di ricerca dell'app e la barra di ricerca Splunk standard sono simili e includono un selettore di intervallo di tempo.
  • Il pannello Dati viene utilizzato da un utente per aggiungere nuovi dati e gestirli. Mostra da quanto tempo i dati sono stati indicizzati il ​​primo e l'ultimo evento di dati e il volume di dati.

Quando hai dati in Splunk, puoi vedere un breve riepilogo:

  • Fai clic su Aggiungi dati per ottenere nuovi dati in Splunk.
  • Fare clic su Gestisci input per visualizzare e modificare le definizioni di input esistenti.

Caricamento dei dati su Splunk:

Un utente può caricare un diverso tipo di dati come file di testo, file CSV, registri eventi, weblog qualsiasi dato macchina in Splunk. Dopo aver caricato i dati, Splunk indicizza immediatamente i dati e li rende disponibili per la ricerca. Un utente può eseguire qualsiasi tipo di ricerca su questi dati e può creare report, dashboard e grafici ecc.

Passaggio 1. Fare clic su Aggiungi dati, in Splunk Home.

Passaggio 2. Fare clic su file e directory.

Passaggio 3. Esistono due opzioni per visualizzare l'anteprima dei dati prima dell'indicizzazione e saltare l'anteprima. Se si desidera visualizzare l'anteprima dei dati prima dell'indicizzazione, selezionare i dati di anteprima e sfogliare il file, altrimenti selezionare salta anteprima e premere continua.

Passaggio 4. Selezionare Carica e indicizza un file e cercare il file di dati.

Passaggio 5. Altre impostazioni

  • In Host, imposta i valori di Set host su "regex on a path" e Regular expression su "1"
  • In Tipo di sorgente impostare il valore del set, il Tipo di sorgente è "Automatico".
  • Sotto il set di indici, il valore dell'impostazione dell'indice di destinazione su "predefinito".

Passaggio 6. Fare clic su Salva e Splunk visualizza un messaggio che i dati vengono indicizzati correttamente.

Per avviare la ricerca, fare clic su Avvia ricerca.

Cos'è il riepilogo dei dati di Splunk

Per visualizzare maggiori dettagli sui dati caricati, fare clic su Riepilogo dati.

Finestra di dialogo Riepilogo dati che visualizza tre schede: host, origini, tipi di origine.

L'host di un evento è in genere il nome host, l'indirizzo IP o il nome di dominio completo della macchina di rete.

La fonte di un evento è il percorso del file o della directory, la porta di rete o lo script.

Il tipo di evento di origine ti dice che tipo di dati sono, di solito in base alla loro formattazione.

Cerca / Ricerca avanzata:

Comandi più comunemente usati:

Alto / raro: questo comando restituisce i valori più alti e rari di un determinato campo nella barra di ricerca.

Per esempio:

Produzione:

Statistiche: il comando stats viene utilizzato per i calcoli statistici su un set di dati. È simile all'aggregazione SQL. C'è più di un comando per i calcoli statistici. I comandi stats, Chart e time chart eseguono gli stessi calcoli statistici sui dati, ma restituiscono risultati leggermente diversi.

Per esempio:

  1. SourceType =”csv” | stats dc (Origin)

Produzione:

  1. SourceType =”csv” | valori delle statistiche (UniqueCarrier) per mese

Produzione:

Di seguito sono riportate le funzioni statistiche che è possibile utilizzare con il comando stats.

Avg (X): restituisce la media dei valori del campo X.

Conteggio (X): restituisce il numero di occorrenze del campo X.

Dc (X): restituisce il conteggio di valori distinti del campo X.

Max (X): restituisce il valore massimo del campo X.

Min (X): restituisce il valore minimo del campo X.

Somma (X): restituisce la somma dei valori del campo X.

Valori (X): restituisce un elenco di tutti i valori distinti del campo X

Grafico: il comando grafico crea un output di dati tabulare adatto per la creazione di grafici. Si specifica la variabile dell'asse x usando over o by.

Ad esempio: sourcetype = "csv" | valori del grafico (UniqueCarrier) per mese

Produzione:

Grafico temporale: il comando diagramma temporale crea un grafico per un'aggregazione statistica applicata

in un campo contro il tempo come l'asse x.

Ad esempio: sourcetype = "csv" | valori del diagramma temporale (UniqueCarrier) per mese

Produzione:

Tabella: questo comando restituisce una tabella formata dai campi utilizzati nell'elenco degli argomenti di ricerca

Per esempio:

Dedup: la rimozione di dati ridondanti è il punto del comando di filtro di dedup.

Per esempio:

Effetti grafici:

Grafici / rapporti Siamo in grado di creare rapporti e grafici per una migliore visualizzazione e comprensione. Tutti i tipi di grafici possono essere disegnati. Ad esempio Torta, Linea, Barra e Area ecc.

Per esempio:

cruscotti:

I dashboard sono i tipi più comuni di visualizzazioni. Ogni dashboard contiene uno o più pannelli, ognuno dei quali può contenere visualizzazioni come grafici, tabelle, elenchi di eventi e mappe. Fondamentalmente, i dashboard sono una raccolta di ricerche e rapporti.

Per creare una dashboard, salvare un grafico / report come pannello dashboard.

Indica il titolo della dashboard, la descrizione e il titolo del pannello e salvalo.

La dashboard è stata creata correttamente. E per fare clic sul pannello di visualizzazione.

Produzione:

Conclusione: cos'è Splunk

Splunk è la piattaforma utilizzata per le operazioni in tempo reale. Viene utilizzato per la gestione delle applicazioni, la sicurezza e la gestione delle prestazioni. È liberamente disponibile per l'uso e facilmente accessibile. Aiuta a visualizzare i dati con l'aiuto di grafici e diagrammi. Può essere facile da imparare per i principianti. È anche uno dei principali prodotti o strumenti per gli sviluppatori DevOps e Agile.

Articoli consigliati:

Questa è stata una guida che cos'è Splunk. Qui abbiamo discusso alcuni concetti di base di Splunk, i passaggi per il caricamento dei dati in Splunk, ecc. Puoi anche leggere il seguente articolo per saperne di più -

  1. Domande e risposte di intervista di Splunk
  2. Differenze Splunk vs Spark
  3. Hadoop vs Splunk: scopri le 7 differenze principali

Categoria:

Big Data