أهم 34 مقابلة من أسئلة وأجوبة Splunk للمبتدئين وذوي الخبرة [2022]

نشرت: 2021-01-07

Splunk هو أحد حلول إدارة وتحليل الحمل العلوي في مجال عمليات تكنولوجيا المعلومات. تعد الأداة واحدة من أفضل أدوات المطورين في السوق دائمًا ما تكون مطلوبة بشدة ، وكذلك خبراء Splunk. وتعد معرفة سبلانك أحد المتطلبات المهمة لتصبح مهندسًا في devops. بطبيعة الحال ، عندما يتعلق الأمر بوظائف Splunk في قطاع تكنولوجيا المعلومات ، فإن المنافسة صعبة للغاية وصعبة. لذلك ، إذا كنت ترغب في الحصول على وظيفة متخصصة في Splunk ، فيجب أن تكون جاهزًا لإجراء مقابلة Splunk.

لا تقلق ، لأننا أنشأنا منشورًا تفصيليًا يحتوي على أهم أسئلة مقابلة Splunk والتي لن تساعد فقط في زيادة معرفتك بـ Splunk ولكن أيضًا حقيبة تلك الوظيفة التي كنت تتطلع إليها!

يحصل المتعلمون على متوسط ​​زيادة في الراتب بنسبة 58٪ مع ارتفاع أعلى يصل إلى 400٪.

دون مزيد من اللغط ، دعنا نتصدى لأهم 33 سؤالاً في مقابلة Splunk!

أهم أسئلة وأجوبة مقابلة Splunk

1. تعريف Splunk

Splunk هي عبارة عن منصة برمجية تتيح للمستخدمين تحليل البيانات التي تم إنشاؤها بواسطة الجهاز (من الأجهزة ، والشبكات ، والخوادم ، وأجهزة إنترنت الأشياء ، وما إلى ذلك). يستخدم Splunk على نطاق واسع للبحث عن بيانات المؤسسة وتصورها ومراقبتها والإبلاغ عنها. يعالج ويحلل بيانات الآلة ويحولها إلى ذكاء تشغيلي قوي من خلال تقديم رؤى في الوقت الحقيقي في البيانات من خلال تصورات دقيقة.

يستخدم Splunk لتحليل بيانات الجهاز للأسباب التالية:

  • يقدم رؤى تجارية - تتفهم Splunk الأنماط المخفية داخل البيانات وتحولها إلى رؤى أعمال في الوقت الفعلي يمكن استخدامها لاتخاذ قرارات عمل مستنيرة.
  • يوفر رؤية تشغيلية - تستفيد Splunk من بيانات الماكينة للحصول على رؤية شاملة لعمليات الشركة ثم تقسمها عبر البنية التحتية.
  • يسهل المراقبة الاستباقية - تستخدم Splunk بيانات الجهاز لمراقبة الأنظمة في الوقت الفعلي لتحديد مشكلات النظام ونقاط الضعف (الانتهاكات والهجمات الخارجية / الداخلية).

2. قم بتسمية أرقام المنافذ الشائعة التي تستخدمها Splunk.

أرقام المنافذ الشائعة لـ Splunk هي:

  • منفذ ويب Splunk: 8000
  • منفذ إدارة Splunk: 8089
  • منفذ شبكة سبلنك: 514
  • منفذ النسخ المتماثل لمؤشر Splunk: 8080
  • منفذ فهرسة Splunk: 9997
  • متجر KV: 8191

3. قم بتسمية مكونات الهندسة المعمارية Splunk.

يتكون هيكل Splunk من المكونات التالية:

  • Search Head - يوفر واجهة المستخدم الرسومية للبحث
  • المفهرس - يقوم بفهرسة بيانات الجهاز
  • معيد التوجيه - يقوم بإعادة توجيه السجلات إلى المفهرس

خادم النشر - يدير مكونات Splunk في بيئة موزعة ويوزع تطبيقات التكوين.

4. ما هي الأنواع المختلفة من لوحات معلومات Splunk؟

هناك ثلاثة أنواع مختلفة من لوحات معلومات Splunk:

  • لوحات تحكم في الوقت الفعلي
  • لوحات المعلومات الديناميكية المستندة إلى النموذج
  • لوحات تحكم للتقارير المجدولة

5. قم بتسمية أنواع أوضاع البحث المدعومة في Splunk.

يدعم Splunk ثلاثة أنواع من لوحات القيادة ، وهي:

  • وضع سريع
  • الوضع الذكي
  • وضع مفصل

6. قم بتسمية الأنواع المختلفة من وكلاء Splunk.

هناك نوعان من وكلاء Splunk:

  • Universal Forwarder (UF) - هو وكيل Splunk خفيف الوزن مثبت على نظام غير Splunk لجمع البيانات محليًا. لا يمكن لـ UF تحليل البيانات أو فهرستها.
  • وكيل الشحن الثقيل (HWF) - هو عامل سبلنك ثقيل الوزن مع وظائف متقدمة ، بما في ذلك إمكانات التحليل والفهرسة. يتم استخدامه لتصفية البيانات.

7. ما هي فوائد تغذية البيانات في مثيل Splunk من خلال Splunk Forwarders؟

إذا قمت بتغذية البيانات في مثيل Splunk عبر Splunk Forwarders ، فيمكنك جني ثلاث فوائد مهمة - اتصال TCP ، وتقييد النطاق الترددي ، واتصال SSL مشفر لنقل البيانات من معيد التوجيه إلى مفهرس. بنية Splunk هي أن البيانات التي يتم إعادة توجيهها إلى المفهرس تكون متوازنة بشكل افتراضي.

لذلك ، حتى إذا تعطل مفهرس واحد لسبب ما ، يمكن للبيانات إعادة توجيه نفسها عبر مثيل مفهرس آخر بسرعة. علاوة على ذلك ، يقوم Splunk Forwarders بتخزين الأحداث مؤقتًا محليًا قبل إعادة توجيهها ، وبالتالي إنشاء نسخة احتياطية مؤقتة من البيانات.

8. ما هو "مؤشر الملخص" في Splunk؟

في Splunk ، يشير فهرس الملخص إلى فهرس Splunk الافتراضي الذي يخزن البيانات الناتجة عن عمليات البحث المجدولة بمرور الوقت. بشكل أساسي ، هو الفهرس الذي تستخدمه Splunk Enterprise إذا لم يحدد المستخدم أو يشير إلى مستخدم آخر.

الميزة الأكثر أهمية لمؤشر الملخص هو أنه يسمح لك بالاحتفاظ بالتحليلات والتقارير حتى بعد تقادم بياناتك.

9. ما هو الغرض من Splunk DB Connect؟

Splunk DB Connect هو مكون إضافي عام لقاعدة بيانات SQL مصمم من أجل Splunk. إنه يمكّن المستخدمين من دمج معلومات قاعدة البيانات مع استعلامات وتقارير Splunk بسلاسة.

10. ما هي وظيفة مفهرس Splunk؟

كما يوحي الاسم ، يقوم "مفهرس Splunk" بإنشاء الفهارس وإدارتها. لها وظيفتان أساسيتان - لفهرسة البيانات الخام في فهرس والبحث في البيانات المفهرسة وإدارتها.

11. قم بتسمية بعض أوامر البحث المهمة في Splunk.

بعض أوامر البحث المهمة في Splunk هي:

  • الملخص
  • ايركس
  • إضافات
  • أكوم
  • تعبئة لأسفل
  • من النوع
  • إعادة تسمية
  • الشذوذ

اقرأ أيضًا: Splunk v Elk: أيهما تختار؟

12. ما هي بعض أهم ملفات التكوين في Splunk؟

ملفات التكوين الأكثر أهمية في Splunk هي:

  • الدعائم
  • الفهارس
  • المدخلات
  • تحويلات
  • server.conf

13. ما هي أهمية رخصة ماجستير في Splunk؟ ماذا يحدث إذا كان الترخيص الرئيسي غير قابل للوصول؟

في Splunk ، يضمن برنامج الترخيص الرئيسي فهرسة الكمية المناسبة من البيانات. نظرًا لأن ترخيص Splunk يعتمد على حجم البيانات الذي يصل إلى النظام الأساسي خلال نافذة 24 ساعة ، يضمن مدير الترخيص أن تظل بيئة Splunk الخاصة بك ضمن قيود الحجم المشتراة.

إذا كان الترخيص الرئيسي غير قابل للوصول ، فلا يمكن للمستخدم البحث في البيانات. ومع ذلك ، لن يؤثر هذا على البيانات المتدفقة إلى المفهرس - ستستمر البيانات في التدفق في نشر Splunk ، وسيقوم المفهرسون بفهرسة البيانات. لكن الجزء العلوي من "رأس البحث" سيعرض رسالة تحذير تفيد بأن المستخدم قد تجاوز حجم الفهرسة. في هذه الحالة ، يجب عليهم إما تقليل كمية البيانات المتدفقة أو يجب عليهم شراء سعة إضافية لترخيص Splunk.

14. اشرح "انتهاك الترخيص" من منظور Splunk.

في أي وقت تتجاوز حد البيانات ، سيظهر خطأ "انتهاك الترخيص" على لوحة المعلومات. سيبقى هذا التحذير لمدة 14 يومًا. بالنسبة إلى ترخيص Splunk التجاري ، يمكن للمستخدمين الحصول على خمسة تحذيرات في نافذة مدتها 30 يومًا لن تظهر قبلها نتائج البحث والتقارير الخاصة بالمفهرس. ومع ذلك ، بالنسبة للإصدار المجاني ، يحصل المستخدمون على ثلاثة تحذيرات فقط.

15. ما هو التعبير العام لاستخراج عنوان IP من السجلات؟

على الرغم من أنه يمكنك استخراج عنوان IP من السجلات بعدة طرق ، إلا أن الانتشار المعتاد له سيكون:

حقل rex = _raw "(؟ <ip_address> \ d + \. \ d + \. \ d + \. \ d +)"

أو

rex field = _raw "(؟ <ip_address> ([0-9] {1،3} [\.]) {3} [0-9] {1،3})"

16. كيف يمكنك استكشاف مشكلات أداء Splunk؟

لاستكشاف مشكلات أداء Splunk وإصلاحها ، قم بتنفيذ الخطوات التالية:

  • تحقق من splunkd.log للعثور على أي أخطاء
  • تحقق من مشكلات أداء الخادم (استخدام وحدة المعالجة المركزية / الذاكرة ، إدخال / إخراج القرص ، إلخ.)
  • تحقق من عدد عمليات البحث المحفوظة التي يتم تشغيلها حاليًا وكذلك استهلاك موارد النظام.
  • قم بتثبيت تطبيق SOS (Splunk on Splunk) ومعرفة ما إذا كانت لوحة القيادة تعرض أي تحذير أو أخطاء.
  • قم بتثبيت Firebug (امتداد Firefox) وقم بتمكينه في نظامك. بعد ذلك ، يجب عليك تسجيل الدخول إلى Splunk باستخدام Firefox ، وفتح لوحات Firebug ، والانتقال إلى لوحة "Net" لتمكينها). تعرض لوحة Net طلبات HTTP واستجاباتها ، جنبًا إلى جنب مع الوقت المستغرق في كل منها. سيسمح لك ذلك بمعرفة الطلبات التي تتباطأ في Splunk وتؤثر على الأداء العام.

17. ما هي الجرافات؟ اشرح دورة حياة دلو Splunk.

المجموعات عبارة عن أدلة تخزن البيانات المفهرسة في Splunk. لذلك ، فهو دليل مادي يؤرخ لأحداث فترة معينة. دلو يخضع لعدة مراحل من التحول بمرور الوقت. هم انهم:

  • Hot - دلو ساخن يتكون من البيانات المفهرسة حديثًا ، وبالتالي فهو مفتوح للكتابة والإضافات الجديدة. يمكن أن يحتوي الفهرس على دلاء ساخن أو أكثر.
  • دافئ - دلو دافئ يحتوي على البيانات التي يتم إخراجها من دلو ساخن.
  • بارد - دلو بارد يحتوي على بيانات يتم إخراجها من دلو دافئ.
  • مجمد - دلو مجمد يحتوي على البيانات التي تم إخراجها من دلو بارد. مفهرس Splunk يحذف البيانات المجمدة بشكل افتراضي. ومع ذلك ، هناك خيار لأرشفته. شيء مهم يجب تذكره هنا هو أن البيانات المجمدة غير قابلة للبحث.

18. ما الغرض الذي تخدمه خاصية Time Zone في Splunk؟

في Splunk ، تعد المنطقة الزمنية ضرورية للبحث عن الأحداث من منظور الأمان أو الاحتيال. يقوم Splunk بتعيين المنطقة الزمنية الافتراضية لك من إعدادات المستعرض الخاص بك. يقوم المتصفح كذلك باختيار المنطقة الزمنية الحالية من الجهاز الذي تستخدمه. لذلك ، إذا بحثت عن أي حدث بالمنطقة الزمنية الخاطئة ، فلن تجد أي شيء ذي صلة بهذا البحث.

تصبح المنطقة الزمنية مهمة للغاية عندما تبحث وتربط البيانات المتدفقة من مصادر مختلفة ومتعددة .

19. تحديد نوع المصدر في Splunk.

في Splunk ، يشير Sourcetype إلى الحقل الافتراضي المستخدم لتحديد بنية البيانات لحدث وارد. يجب تعيين نوع المصدر على مستوى معيد التوجيه لاستخراج المفهرس للمساعدة في تحديد تنسيقات البيانات المختلفة. يحدد كيفية تنسيق Splunk Enterprise للبيانات أثناء عملية الفهرسة. في هذه الحالة ، يجب عليك التأكد من تعيين نوع المصدر الصحيح لبياناتك. لتسهيل البحث عن البيانات ، يجب توفير طوابع زمنية دقيقة وفواصل الأحداث للبيانات المفهرسة (بيانات الحدث).

20. اشرح الفرق بين الأوامر Stats و Eventstats.

في Splunk ، يتم استخدام الأمر Stats لإنشاء إحصاءات موجزة لجميع الحقول الموجودة في نتائج البحث وحفظها كقيم في الحقول المنشأة حديثًا. على الرغم من أن أمر Eventstats يشبه إلى حد كبير أمر Stats ، فإنه يضيف نتائج التجميع المضمنة لكل حدث (إذا كان التجميع فقط ذا صلة بهذا الحدث المعين). لذلك ، بينما يحسب كلا الأمرين الإحصائيات المطلوبة ، يقوم أمر Eventstats بتجميع الإحصائيات في البيانات الأولية الأصلية.

21. ميّز بين تطبيق Splunk والوظيفة الإضافية.

تشير تطبيقات Splunk إلى المجموعة الكاملة من التقارير ولوحات المعلومات والتنبيهات واستخراج الحقول وعمليات البحث. ومع ذلك ، لا تحتوي الوظائف الإضافية لـ Splunk إلا على تكوينات مضمنة - ليس لديها لوحات معلومات أو تقارير.

22. ما هو الأمر لإيقاف وبدء خدمة Splunk؟

الأمر لبدء خدمة Splunk هو: ./splunk start

أمر إيقاف خدمة Splunk هو: ./splunk stop

23. كيف يمكنك مسح محفوظات بحث Splunk؟

لمسح سجل بحث Splunk ، تحتاج إلى حذف الملف التالي من خادم Splunk:

$ splunk_home / var / log / splunk / searches.log

24. ما هو Btool في Splunk؟

Btool in Splunk هي أداة سطر أوامر تُستخدم لاستكشاف مشكلات ملف التكوين وإصلاحها. كما أنه يساعد في التحقق من القيم التي يتم استخدامها بواسطة تثبيت Splunk Enterprise للمستخدم في البيئة الحالية.

25. ما هي الحاجة إلى تنبيه Splunk؟ حدد نوع الخيارات التي تحصل عليها أثناء إعداد تنبيهات Splunk.

تساعد تنبيهات Splunk على إخطار المستخدمين بأي حالة خاطئة في أنظمتهم. على سبيل المثال ، يمكن للمستخدم إعداد تنبيهات لإرسال إشعار بالبريد الإلكتروني إلى المسؤول في حالة وجود أكثر من ثلاث محاولات تسجيل دخول فاشلة في غضون 24 ساعة.

تشمل الخيارات المختلفة التي تحصل عليها أثناء إعداد التنبيهات ما يلي:

  • يمكنك إنشاء خطاف ويب. سيسمح لك ذلك بالكتابة إلى HipChat أو GitHub - يمكنك كتابة رسالة بريد إلكتروني إلى مجموعة من الأجهزة تحتوي على موضوعك وأولوياتك وجسم بريدك الإلكتروني.
  • يمكنك إضافة نتائج بتنسيق CSV أو pdf أو مضمنة مع نص الرسالة لمساعدة المستلم على فهم موقع وشروط التنبيه الذي تم تشغيله والإجراءات التي تم اتخاذها لنفسه.
  • يمكنك إنشاء تذاكر وتنبيهات دواسة الوقود بناءً على شروط معينة مثل اسم الجهاز أو عنوان IP. يمكن التحكم في هذه التنبيهات من نافذة التنبيه.

26. ما هو حوض السمك وما هو مؤشر له؟

Fishbucket هو دليل فهرس يستقر في الموقع الافتراضي ، وهو:

/ opt / splunk / var / lib / splunk

يتضمن Fishbucket مؤشرات البحث و CRCs للملفات المفهرسة. للوصول إلى Fishbucket ، يمكنك استخدام واجهة المستخدم الرسومية للبحث:

الفهرس = _thefishbucket

27. كيف تعرف متى تنتهي Splunk من فهرسة ملف السجل؟

يمكنك معرفة ما إذا كانت Splunk قد أكملت فهرسة ملف السجل بطريقتين:

  1. من خلال مراقبة البيانات من سجل مقاييس Splunk في الوقت الفعلي:

الفهرس = ”_ Internal” source = ”* metrics.log” group = ”per_sourcetype_thruput” ​​series = ”& lt ؛ your_sourcetype_here & gt؛” |

EVAL MB = كيلو بايت / 1024 | مجموع الرسم البياني (ميغا بايت)

  1. من خلال مراقبة جميع المقاييس مقسمة حسب نوع المصدر:

الفهرس = ”_ Internal” source = ”* metrics.log” group = ”per_sourcetype_thruput” ​​| EVAL MB = كيلو بايت / 1024 | مجموع الرسم البياني (MB) متوسط ​​(eps) على التوالي

28. ما هو دليل الإرسال؟

يشتمل دليل الإرسال على دليل لعمليات البحث الفردية التي يتم تشغيلها أو إكمالها. تكوين دليل الإرسال كما يلي:

$ SPLUNK_HOME / var / run / splunk / dispatch

لنفترض وجود دليل باسم 1434308943.358. سيحتوي هذا الدليل على ملف CSV لجميع نتائج البحث ، و search.log يحتوي على تفاصيل حول تنفيذ البحث ، وغيرها من المعلومات ذات الصلة. باستخدام التكوين الافتراضي ، يمكنك حذف هذا الدليل في غضون 10 دقائق بعد اكتمال البحث. إذا قمت بحفظ نتائج البحث ، فسيتم حذفها بعد سبعة أيام.

29. كيف يمكنك إضافة سجلات الوصول إلى المجلد من جهاز Windows إلى Splunk؟

لإضافة سجلات الوصول إلى المجلد من أجهزة Windows إلى Splunk ، يجب عليك اتباع الخطوات المذكورة أدناه:

  • انتقل إلى نهج المجموعة وقم بتمكين تدقيق الوصول إلى الكائنات على جهاز Windows حيث يوجد المجلد.
  • الآن عليك تمكين التدقيق في المجلد المحدد الذي تريد مراقبة سجلات الوصول الخاصة به.
  • قم بتثبيت Splunk Universal Forwarder على جهاز Windows.
  • تكوين معيد التوجيه العالمي لإرسال سجلات الأمان إلى مفهرس Splunk.

30. كيف تتجنب Splunk الفهرسة المكررة للسجلات؟

يتتبع Splunk Indexer جميع الأحداث المفهرسة في الدليل - دليل Fishbuckets الذي يحتوي على مؤشرات البحث و CRC لجميع الملفات التي يتم فهرستها حاليًا. لذلك ، إذا كان هناك أي مؤشر بحث أو CRC تمت قراءته بالفعل ، فسوف يشير splunkd إليه.

31. ما هي أسبقية ملفات التكوين في Splunk؟

أسبقية ملفات التكوين في Splunk هي كما يلي:

  • الدليل المحلي للنظام (الأولوية القصوى)
  • أدلة التطبيق المحلية
  • الدلائل الافتراضية للتطبيق
  • الدليل الافتراضي للنظام (أدنى أولوية)

32. تحديد "عامل البحث" و "عامل النسخ المتماثل".

يعمل كل من عامل البحث (SF) وعامل النسخ المتماثل (RF) على تجميع المصطلحات في Splunk. بينما يحدد SF (بقيمة افتراضية 2) عدد النسخ القابلة للبحث من البيانات التي تحتفظ بها مجموعة المفهرس ، يمثل RF عدد نسخ البيانات التي تحتفظ بها مجموعة المفهرس. شيء مهم يجب تذكره هو أن SF يجب أن يكون دائمًا أقل من عامل النسخ المتماثل أو مساويًا له. أيضًا ، تحتوي مجموعة Search Head على عامل بحث فقط ، بينما تحتوي مجموعة المفهرس على كل من SF و RF.

33. لماذا يتم استخدام أمر التفريق بين أوامر في Splunk ، تُستخدم أوامر البحث عندما تريد تلقي حقول محددة من ملف خارجي (على سبيل المثال ، نص مستند إلى Python ، أو ملف CSV) للحصول على قيمة حدث. يساعد في تضييق نتائج البحث من خلال الرجوع إلى الحقول في ملف CSV خارجي يطابق الحقول في بيانات الحدث.

يتم استخدام الأمر inputlookup عندما تريد أن تأخذ إدخالاً. على سبيل المثال ، يمكن أن يأخذ الأمر سعر المنتج أو اسم المنتج كمدخلات ثم يطابقه مع حقل داخلي مثل معرف المنتج. على العكس من ذلك ، يتم استخدام الأمر outputlookup لإنتاج مخرجات من قائمة الحقول الموجودة.

34. التفريق بين Splunk SDK و Splunk Framework.

تم تصميم Splunk SDKs بشكل أساسي لمساعدة المستخدمين على تطوير التطبيقات من البداية. لا تتطلب Splunk Web أو أي مكون آخر من Splunk App Framework لتعمل. يتم ترخيص مجموعات Splunk SDK بشكل منفصل من Splunk. على عكس ذلك ، يقع Splunk App Framework داخل خادم الويب Splunk. يسمح للمستخدمين بتخصيص واجهة مستخدم ويب Splunk المصاحبة للمنتج. على الرغم من أنه يتيح لك تطوير تطبيقات Splunk ، إلا أنه يتعين عليك القيام بذلك باستخدام خادم الويب Splunk.

تعلم دورات تطوير البرمجيات عبر الإنترنت من أفضل الجامعات في العالم. اربح برامج PG التنفيذية أو برامج الشهادات المتقدمة أو برامج الماجستير لتتبع حياتك المهنية بشكل سريع.

خاتمة

نأمل أن تساعدك أسئلة مقابلة Splunk هذه في التدفق والاستعداد لمقابلة Splunk!

إذا كنت مهتمًا بمعرفة المزيد عن splunk وأدوات DevOps الأخرى ، فراجع IIIT-B & upGrad's Executive PG Program in Full Stack Software Development Program.

استعد لمهنة المستقبل

تقدم الآن لبرنامج Executive PG في Full Stack Development