Die 34 wichtigsten Splunk-Interviewfragen und -antworten für Anfänger und Erfahrene [2022]

Veröffentlicht: 2021-01-07

Splunk ist eine der führenden Lastmanagement- und Analyselösungen im Bereich IT Operations. Das Tool ist eines der Top-Devops-Tools auf dem Markt, das immer sehr gefragt ist, ebenso wie Splunk-Experten. Und Splunk-Kenntnisse sind eine der wichtigsten Voraussetzungen, um ein DevOps-Ingenieur zu werden. Wenn es um Splunk-Jobs in der IT-Branche geht, ist die Konkurrenz natürlich ziemlich hart und herausfordernd. Wenn Sie also einen Nischenjob bei Splunk ergattern möchten, müssen Sie bereit sein, das Splunk-Interview mit Bravour zu bestehen.

Machen Sie sich keine Sorgen, denn wir haben einen ausführlichen Beitrag mit den wichtigsten Splunk-Interviewfragen erstellt, die Ihnen nicht nur helfen werden, Ihr Splunk-Wissen zu schärfen, sondern auch den Job, den Sie sich schon immer gewünscht haben!

Die Lernenden erhalten eine durchschnittliche Gehaltserhöhung von 58 %, wobei die höchste bis zu 400 % beträgt.

Lassen Sie uns ohne weiteres Umschweife die 33 wichtigsten Splunk-Interviewfragen knacken!

Die wichtigsten Fragen und Antworten zu Splunk-Interviews

1. Definieren Sie Splunk

Splunk ist eine Softwareplattform, mit der Benutzer maschinengenerierte Daten (von Hardwaregeräten, Netzwerken, Servern, IoT-Geräten usw.) analysieren können. Splunk wird häufig zum Suchen, Visualisieren, Überwachen und Melden von Unternehmensdaten verwendet. Es verarbeitet und analysiert Maschinendaten und wandelt sie in leistungsstarke operative Intelligenz um, indem es durch genaue Visualisierungen Echtzeit-Einblicke in die Daten bietet.

Splunk wird zur Analyse von Maschinendaten verwendet, weil:

  • Es bietet Geschäftseinblicke – Splunk versteht die in den Daten verborgenen Muster und wandelt sie in Geschäftseinblicke in Echtzeit um, die für fundierte Geschäftsentscheidungen verwendet werden können.
  • Es bietet betriebliche Transparenz – Splunk nutzt Maschinendaten, um eine End-to-End-Sichtbarkeit der Unternehmensabläufe zu erhalten, und schlüsselt sie dann auf die gesamte Infrastruktur auf.
  • Es erleichtert die proaktive Überwachung – Splunk verwendet Maschinendaten, um Systeme in Echtzeit zu überwachen, um Systemprobleme und Schwachstellen (externe/interne Verstöße und Angriffe) zu identifizieren.

2. Nennen Sie die von Splunk verwendeten allgemeinen Portnummern.

Die üblichen Portnummern für Splunk sind:

  • Splunk-Web-Port: 8000
  • Splunk-Verwaltungsport: 8089
  • Splunk-Netzwerkport: 514
  • Splunk-Index-Replikationsport: 8080
  • Splunk-Indizierungsport: 9997
  • KV-Speicher: 8191

3. Benennen Sie die Komponenten der Splunk-Architektur.

Die Splunk-Architektur besteht aus den folgenden Komponenten:

  • Suchkopf – Es bietet eine GUI für die Suche
  • Indexer – Indexiert die Maschinendaten
  • Forwarder – Leitet Protokolle an den Indexer weiter

Bereitstellungsserver – Er verwaltet die Splunk-Komponenten in einer verteilten Umgebung und verteilt Konfigurations-Apps.

4. Welche Arten von Splunk-Dashboards gibt es?

Es gibt drei verschiedene Arten von Splunk-Dashboards:

  • Echtzeit-Dashboards
  • Dynamische formularbasierte Dashboards
  • Dashboards für geplante Berichte

5. Nennen Sie die Typen von Suchmodi, die in Splunk unterstützt werden.

Splunk unterstützt drei Arten von Dashboards, nämlich:

  • Schneller Modus
  • Smart-Modus
  • Ausführlicher Modus

6. Nennen Sie die verschiedenen Arten von Splunk-Weiterleitungen.

Es gibt zwei Arten von Splunk-Weiterleitungen:

  • Universal Forwarder (UF) – Es ist ein leichter Splunk-Agent, der auf einem Nicht-Splunk-System installiert wird, um Daten lokal zu sammeln. UF kann keine Daten analysieren oder indizieren.
  • Heavyweight Forwarder (HWF) – Es ist ein schwergewichtiger Splunk-Agent mit erweiterten Funktionen, einschließlich Parsing- und Indizierungsfunktionen. Es wird zum Filtern von Daten verwendet.

7. Welche Vorteile hat es, Daten über Splunk Forwarders in eine Splunk-Instanz einzuspeisen?

Wenn Sie die Daten über Splunk Forwarders in eine Splunk-Instanz einspeisen, profitieren Sie von drei wesentlichen Vorteilen – TCP-Verbindung, Bandbreitendrosselung und einer verschlüsselten SSL-Verbindung, um Daten von einem Forwarder zu einem Indexer zu übertragen. Die Architektur von Splunk ist so ausgelegt, dass die an den Indexer weitergeleiteten Daten standardmäßig einen Lastenausgleich aufweisen.

Selbst wenn also ein Indexer aus irgendeinem Grund ausfällt, können sich die Daten schnell selbst über eine andere Indexer-Instanz umleiten. Darüber hinaus speichern Splunk-Forwarder die Ereignisse lokal, bevor sie sie weiterleiten, und erstellen so eine temporäre Sicherung der Daten.

8. Was ist der „Zusammenfassungsindex“ in Splunk?

In Splunk bezieht sich der Zusammenfassungsindex auf den standardmäßigen Splunk-Index, der Daten speichert, die sich aus geplanten Suchen im Laufe der Zeit ergeben. Im Wesentlichen ist es der Index, den Splunk Enterprise verwendet, wenn ein Benutzer keinen anderen angibt oder angibt.

Der wichtigste Vorteil des Zusammenfassungsindex besteht darin, dass Sie die Analysen und Berichte auch nach dem Alter Ihrer Daten beibehalten können.

9. Was ist der Zweck von Splunk DB Connect?

Splunk DB Connect ist ein generisches SQL-Datenbank-Plugin, das für Splunk entwickelt wurde. Es ermöglicht Benutzern, Datenbankinformationen nahtlos in Splunk-Abfragen und -Berichte zu integrieren.

10. Welche Funktion hat der Splunk Indexer?

Wie der Name schon sagt, erstellt und verwaltet der Splunk Indexer Indizes. Es hat zwei Kernfunktionen – Rohdaten in einen Index zu indizieren und die indizierten Daten zu suchen und zu verwalten.

11. Nennen Sie einige wichtige Splunk-Suchbefehle.

Einige der wichtigen Suchbefehle in Splunk sind:

  • Abstrakt
  • Erex
  • Summen
  • Akkum
  • Abfüllen
  • Schreibmaschine
  • Umbenennen
  • Anomalien

Lesen Sie auch: Splunk vs. Elk: Welches sollten Sie wählen?

12. Was sind einige der wichtigsten Konfigurationsdateien in Splunk?

Die wichtigsten Konfigurationsdateien in Splunk sind:

  • props.conf
  • indexes.conf
  • Eingänge.conf
  • transforms.conf
  • server.conf

13. Welche Bedeutung hat der License Master in Splunk? Was passiert, wenn der License Master nicht erreichbar ist?

In Splunk stellt der License Master sicher, dass die richtige Datenmenge indiziert wird. Da die Splunk-Lizenz auf dem Datenvolumen basiert, das die Plattform innerhalb eines 24-Stunden-Fensters erreicht, stellt der License Master sicher, dass Ihre Splunk-Umgebung innerhalb der Beschränkungen des erworbenen Volumens bleibt.

Wenn der License Master einmal nicht erreichbar ist, kann ein Benutzer die Daten nicht durchsuchen. Dies wirkt sich jedoch nicht auf die Daten aus, die in den Indexer fließen – Daten fließen weiterhin in die Splunk-Bereitstellung, und die Indexer indizieren die Daten. Oben im Suchkopf wird jedoch eine Warnmeldung angezeigt, dass der Benutzer das Indizierungsvolumen überschritten hat. In diesem Fall müssen sie entweder die einfließende Datenmenge reduzieren oder zusätzliche Kapazität der Splunk-Lizenz erwerben.

14. Erklären Sie „Lizenzverletzung“ aus der Splunk-Perspektive.

Jedes Mal, wenn Sie das Datenlimit überschreiten, wird der Fehler „Lizenzverletzung“ auf dem Dashboard angezeigt. Diese Warnung bleibt 14 Tage bestehen. Für eine kommerzielle Splunk-Lizenz können Benutzer fünf Warnungen in einem 30-Tage-Fenster erhalten, bevor die Suchergebnisse und Berichte von Indexer nicht ausgelöst werden. Für die kostenlose Version erhalten Benutzer jedoch nur drei Warnungen.

15. Was ist der allgemeine Ausdruck für das Extrahieren von IP-Adressen aus Protokollen?

Obwohl Sie die IP-Adresse auf viele Arten aus Protokollen extrahieren können, wäre der reguläre Ausdruck dafür:

rex field=_raw „(?<IP-Adresse>\d+\.\d+\.\d+\.\d+)“

ODER

rex field=_raw „(?<ip_address>([0-9]{1,3}[\.]){3}[0-9]{1,3})“

16. Wie können Sie Splunk-Leistungsprobleme beheben?

Führen Sie die folgenden Schritte aus, um Splunk-Leistungsprobleme zu beheben:

  • Überprüfen Sie splunkd.log, um Fehler zu finden
  • Überprüfen Sie Probleme mit der Serverleistung (CPU-/Speicherauslastung, Festplatten-E/A usw.)
  • Überprüfen Sie die Anzahl der gespeicherten Suchen, die derzeit ausgeführt werden, sowie deren Systemressourcenverbrauch.
  • Installieren Sie die SOS-App (Splunk on Splunk) und prüfen Sie, ob das Dashboard Warnungen oder Fehler anzeigt.
  • Installieren Sie Firebug (eine Firefox-Erweiterung) und aktivieren Sie es in Ihrem System. Danach müssen Sie sich mit Firefox bei Splunk anmelden, die Panels von Firebug öffnen und zum Panel „Net“ gehen, um es zu aktivieren). Das Net-Panel zeigt die HTTP-Anforderungen und -Antworten zusammen mit der dafür aufgewendeten Zeit an. Auf diese Weise können Sie sehen, welche Anfragen Splunk verlangsamen und die Gesamtleistung beeinträchtigen.

17. Was sind Eimer? Erklären Sie den Splunk-Bucket-Lebenszyklus.

Buckets sind Verzeichnisse, die die indizierten Daten in Splunk speichern. Es ist also ein physisches Verzeichnis, das die Ereignisse eines bestimmten Zeitraums aufzeichnet. Ein Bucket durchläuft im Laufe der Zeit mehrere Transformationsstufen. Sie sind:

  • Hot – Ein Hot Bucket besteht aus den neu indizierten Daten und ist daher offen für das Schreiben und neue Ergänzungen. Ein Index kann einen oder mehrere Hot Buckets haben.
  • Warm – Ein warmer Bucket enthält die Daten, die aus einem heißen Bucket ausgerollt werden.
  • Cold – Ein Cold-Bucket enthält Daten, die aus einem Warm-Bucket ausgerollt werden.
  • Gefroren – Ein gefrorener Bucket enthält die Daten, die aus einem kalten Bucket ausgerollt werden. Der Splunk Indexer löscht die eingefrorenen Daten standardmäßig. Es gibt jedoch eine Option zum Archivieren. Eine wichtige Sache, die Sie hier beachten sollten, ist, dass eingefrorene Daten nicht durchsucht werden können.

18. Welchem ​​Zweck dient die Eigenschaft Zeitzone in Splunk?

In Splunk ist die Zeitzone entscheidend für die Suche nach Ereignissen aus Sicherheits- oder Betrugsperspektive. Splunk legt die Standardzeitzone für Sie anhand Ihrer Browsereinstellungen fest. Der Browser übernimmt außerdem die aktuelle Zeitzone von dem Computer, den Sie verwenden. Wenn Sie also nach einem Ereignis mit der falschen Zeitzone suchen, werden Sie nichts Relevantes für diese Suche finden.

Die Zeitzone wird extrem wichtig, wenn Sie Daten suchen und korrelieren, die aus verschiedenen und mehreren Quellen hereinkommen .

19. Sourcetype in Splunk definieren.

In Splunk bezieht sich Sourcetype auf das Standardfeld, das verwendet wird, um die Datenstruktur eines eingehenden Ereignisses zu identifizieren. Der Quelltyp sollte auf Weiterleitungsebene für die Indexerextraktion festgelegt werden, um die Identifizierung unterschiedlicher Datenformate zu erleichtern. Es bestimmt, wie Splunk Enterprise die Daten während des Indizierungsprozesses formatiert. In diesem Fall müssen Sie sicherstellen, dass Sie Ihren Daten den richtigen Quelltyp zuweisen. Um die Datensuche noch einfacher zu machen, sollten Sie den indizierten Daten (den Ereignisdaten) genaue Zeitstempel und Ereignisunterbrechungen zuweisen.

20. Erklären Sie den Unterschied zwischen den Befehlen Stats und Eventstats.

In Splunk wird der Stats-Befehl verwendet, um die zusammenfassenden Statistiken aller vorhandenen Felder in den Suchergebnissen zu generieren und sie als Werte in neu erstellten Feldern zu speichern. Obwohl der Eventstats-Befehl dem Stats-Befehl ziemlich ähnlich ist, fügt er die Aggregationsergebnisse inline zu jedem Ereignis hinzu (wenn nur die Aggregation für dieses bestimmte Ereignis relevant ist). Während also beide Befehle die angeforderten Statistiken berechnen, aggregiert der Eventstats-Befehl die Statistiken in die ursprünglichen Rohdaten.

21. Unterscheiden Sie zwischen Splunk App und Add-on.

Splunk-Apps beziehen sich auf die vollständige Sammlung von Berichten, Dashboards, Warnungen, Feldextraktionen und Lookups. Splunk-Add-ons enthalten jedoch nur integrierte Konfigurationen – sie haben keine Dashboards oder Berichte.

22. Wie lautet der Befehl zum Stoppen und Starten des Splunk-Dienstes?

Der Befehl zum Starten des Splunk-Dienstes lautet: ./splunk start

Der Befehl zum Beenden des Splunk-Dienstes lautet: ./splunk stop

23. Wie können Sie den Splunk-Suchverlauf löschen?

Um den Splunk-Suchverlauf zu löschen, müssen Sie die folgende Datei vom Splunk-Server löschen:

$splunk_home/var/log/splunk/searches.log

24. Was ist Btool in Splunk?

Btool in Splunk ist ein Befehlszeilentool, das zur Behebung von Problemen mit Konfigurationsdateien verwendet wird. Es hilft auch zu überprüfen, welche Werte von der Splunk Enterprise-Installation eines Benutzers in der vorhandenen Umgebung verwendet werden.

25. Wozu wird Splunk Alert benötigt? Geben Sie die Art der Optionen an, die Sie beim Einrichten von Splunk-Warnungen erhalten.

Splunk Alerts helfen dabei, Benutzer über fehlerhafte Zustände in ihren Systemen zu informieren. Beispielsweise kann ein Benutzer Warnungen für E-Mail-Benachrichtigungen einrichten, die an den Administrator gesendet werden, falls innerhalb von 24 Stunden mehr als drei fehlgeschlagene Anmeldeversuche erfolgen.

Zu den verschiedenen Optionen, die Sie beim Einrichten von Benachrichtigungen erhalten, gehören:

  • Sie können einen Webhook erstellen. Auf diese Weise können Sie an HipChat oder GitHub schreiben – Sie können eine E-Mail an eine Gruppe von Computern schreiben, die Ihren Betreff, Ihre Prioritäten und den Text Ihrer E-Mail enthält.
  • Sie können Ergebnisse im CSV- oder PDF-Format oder inline mit dem Nachrichtentext hinzufügen, um dem Empfänger zu helfen, den Ort und die Bedingungen der ausgelösten Warnung zu verstehen und welche Maßnahmen dafür ergriffen wurden.
  • Sie können Tickets erstellen und Warnungen basierend auf bestimmten Bedingungen wie dem Computernamen oder der IP-Adresse drosseln. Diese Warnungen können über das Warnungsfenster gesteuert werden.

26. Was ist ein Fishbucket und was ist der Index dafür?

Fishbucket ist ein Indexverzeichnis, das sich am Standardspeicherort befindet, d. h.:

/opt/splunk/var/lib/splunk

Fishbucket enthält Suchzeiger und CRCs für die indizierten Dateien. Um auf den Fishbucket zuzugreifen, können Sie die GUI für die Suche verwenden:

index=_thefishbucket

27. Woher wissen Sie, wann Splunk die Indizierung einer Protokolldatei abgeschlossen hat?

Sie können auf zwei Arten herausfinden, ob Splunk die Indizierung einer Protokolldatei abgeschlossen hat oder nicht:

  1. Durch Überwachung der Daten aus dem Metrikprotokoll von Splunk in Echtzeit:

index=“_internal“ source=“*metrics.log“ group=“per_sourcetype_thruput“ series=“&lt;your_sourcetype_here&gt;“ |

eval MB=kb/1024 | Diagrammsumme (MB)

  1. Durch Überwachung aller Metriken, aufgeteilt nach Quelltyp:

index=“_internal“ source=“*metrics.log“ group=“per_sourcetype_thruput“ | eval MB=kb/1024 | Diagrammsumme (MB) durchschn. (eps) über Serien

28. Was ist das Versandverzeichnis?

Das Dispatch-Verzeichnis enthält ein Verzeichnis für einzelne Suchvorgänge, die entweder ausgeführt oder abgeschlossen wurden. Die Konfiguration für das Dispatch-Verzeichnis ist wie folgt:

$SPLUNK_HOME/var/run/splunk/dispatch

Nehmen wir an, es gibt ein Verzeichnis namens 1434308943.358. Dieses Verzeichnis enthält eine CSV-Datei mit allen Suchergebnissen, ein search.log mit den Details zur Suchausführung und andere relevante Informationen. Wenn Sie die Standardkonfiguration verwenden, können Sie dieses Verzeichnis innerhalb von 10 Minuten nach Abschluss der Suche löschen. Wenn Sie die Suchergebnisse speichern, werden diese nach sieben Tagen gelöscht.

29. Wie können Sie Ordnerzugriffsprotokolle von einem Windows-Rechner zu Splunk hinzufügen?

Um Ordnerzugriffsprotokolle von einem Windows-Computer zu Splunk hinzuzufügen, müssen Sie die unten aufgeführten Schritte ausführen:

  • Gehen Sie zur Gruppenrichtlinie und aktivieren Sie die Objektzugriffsüberwachung auf dem Windows-Computer, auf dem sich der Ordner befindet.
  • Jetzt müssen Sie die Überwachung für den bestimmten Ordner aktivieren, für den Sie Zugriffsprotokolle überwachen möchten.
  • Installieren Sie Splunk Universal Forwarder auf dem Windows-Rechner.
  • Konfigurieren Sie den Universal Forwarder so, dass Sicherheitsprotokolle an den Splunk Indexer gesendet werden.

30. Wie vermeidet Splunk die doppelte Indizierung von Protokollen?

Der Splunk Indexer verfolgt alle indizierten Ereignisse in einem Verzeichnis – dem Fishbuckets-Verzeichnis, das Suchzeiger und CRCs für alle derzeit indizierten Dateien enthält. Wenn es also einen Suchzeiger oder CRC gibt, der bereits gelesen wurde, weist splunkd darauf hin.

31. Welchen Vorrang haben Konfigurationsdateien in Splunk?

Der Vorrang von Konfigurationsdateien in Splunk ist wie folgt:

  • Lokales Systemverzeichnis (höchste Priorität)
  • Lokale App-Verzeichnisse
  • App-Standardverzeichnisse
  • System-Standardverzeichnis (niedrigste Priorität)

32. Definieren Sie „Suchfaktor“ und „Replikationsfaktor“.

Sowohl Search Factor (SF) als auch Replication Factor (RF) sind Clustering-Terminologien in Splunk. Während der SF (mit einem Standardwert von 2) die Anzahl der durchsuchbaren Kopien von Daten bestimmt, die vom Indexer-Cluster verwaltet werden, stellt der RF die Anzahl der Kopien von Daten dar, die vom Indexer-Cluster verwaltet werden. Es ist wichtig, sich daran zu erinnern, dass SF immer kleiner oder gleich dem Replikationsfaktor sein muss. Außerdem hat der Search Head-Cluster nur einen Suchfaktor, während ein Indexer-Cluster sowohl SF als auch RF hat.

33. Warum wird der Unterscheiden Sie zwischen In Splunk werden Lookup-Befehle verwendet, wenn Sie bestimmte Felder aus einer externen Datei (z. B. einem Python-basierten Skript oder einer CSV-Datei) erhalten möchten, um einen Wert eines Ereignisses zu erhalten. Es hilft, die Suchergebnisse einzugrenzen, indem auf die Felder in einer externen CSV-Datei verwiesen wird, die mit Feldern in den Ereignisdaten übereinstimmt.

Der inputlookup-Befehl wird verwendet, wenn Sie eine Eingabe vornehmen möchten. Der Befehl kann beispielsweise den Produktpreis oder den Produktnamen als Eingabe verwenden und ihn dann mit einem internen Feld wie einer Produkt-ID abgleichen. Im Gegensatz dazu wird der Befehl outputlookup verwendet, um eine Ausgabe aus einer vorhandenen Feldliste zu erzeugen.

34. Unterscheiden Sie zwischen Splunk SDK und Splunk Framework.

Splunk SDKs sind in erster Linie darauf ausgelegt, Benutzern dabei zu helfen, Anwendungen von Grund auf neu zu entwickeln. Sie benötigen weder Splunk Web noch andere Komponenten aus dem Splunk App Framework, um zu funktionieren. Splunk SDKs werden separat von Splunk lizenziert. Im Gegensatz dazu liegt das Splunk App Framework innerhalb des Splunk Web Servers. Es ermöglicht Benutzern, die dem Produkt beiliegende Splunk Web-Benutzeroberfläche anzupassen. Obwohl Sie damit Splunk-Apps entwickeln können, müssen Sie dazu den Splunk-Webserver verwenden.

Lernen Sie Softwareentwicklungskurse online von den besten Universitäten der Welt. Verdienen Sie Executive PG-Programme, Advanced Certificate-Programme oder Master-Programme, um Ihre Karriere zu beschleunigen.

Fazit

Wir hoffen, dass diese Splunk-Interviewfragen Ihnen dabei helfen, in Schwung zu kommen und sich auf Ihr Splunk-Interview vorzubereiten!

Wenn Sie mehr über Splunk und andere DevOps-Tools erfahren möchten, sehen Sie sich das Executive PG Program von IIIT-B & upGrad im Full Stack Software Development Program an.

Bereiten Sie sich auf eine Karriere der Zukunft vor

Bewerben Sie sich jetzt für das Executive PG-Programm in der Full-Stack-Entwicklung