初心者および経験者向けのトップ34Splunkインタビューの質問と回答[2022]

公開: 2021-01-07

Splunkは、IT運用の分野でトップの負荷管理および分析ソリューションの1つです。 このツールは、常に需要が高い市場でトップのDevOpsツールの1つであり、Splunkのエキスパートも同様です。 そして、Splunkの知識は、DevOpsエンジニアになるための重要な要件の1つです。 当然のことながら、ITセクターでのSplunkの仕事に関しては、競争はかなり厳しく、挑戦的です。 したがって、Splunkでニッチな仕事をしたい場合は、 Splunkの面接に対応する準備ができている必要があります。

心配しないでください。Splunkの面接に関する上位の質問を含む詳細な投稿を作成しました。これは、Splunkの知識を磨くだけでなく、これまでの仕事をまとめるのにも役立ちます。

学習者は平均58%の昇給を受け、最高は400%まで引き上げられます。

面倒なことはせずに、Splunkの面接の上位33の質問に取り掛かりましょう。

Splunkインタビューの上位の質問と回答

1.Splunkを定義する

Splunkは、ユーザーが(ハードウェアデバイス、ネットワーク、サーバー、IoTデバイスなどから)マシンで生成されたデータを分析できるようにするソフトウェアプラットフォームです。 Splunkは、エンタープライズデータの検索、視覚化、監視、およびレポート作成に広く使用されています。 マシンデータを処理および分析し、正確な視覚化を通じてデータへのリアルタイムの洞察を提供することにより、強力な運用インテリジェンスに変換します。

Splunkは、次の理由でマシンデータの分析に使用されます。

  • ビジネスインサイトを提供します– Splunkはデータ内に隠されたパターンを理解し、情報に基づいたビジネス上の意思決定に使用できるリアルタイムのビジネスインサイトに変換します。
  • 運用の可視性を提供– Splunkは、マシンデータを活用して企業の運用をエンドツーエンドで可視化し、インフラストラクチャ全体に分解します。
  • プロアクティブな監視を容易にします– Splunkは、マシンデータを使用してシステムをリアルタイムで監視し、システムの問題と脆弱性(外部/内部の侵害と攻撃)を特定します。

2.Splunkが使用する共通ポート番号に名前を付けます。

Splunkの一般的なポート番号は次のとおりです。

  • Splunk Webポート:8000
  • Splunk管理ポート:8089
  • Splunkネットワークポート:514
  • Splunkインデックスレプリケーションポート:8080
  • Splunkインデックスポート:9997
  • KVストア:8191

3.Splunkアーキテクチャのコンポーネントに名前を付けます。

Splunkアーキテクチャは、次のコンポーネントで構成されています。

  • サーチヘッド–検索用のGUIを提供します
  • インデクサー–マシンデータにインデックスを付けます
  • フォワーダー–ログをインデクサーに転送します

デプロイメントサーバー–分散環境でSplunkコンポーネントを管理し、構成アプリを配布します。

4. Splunkダッシュボードの種類は何ですか?

Splunkダッシュボードには次の3種類があります。

  • リアルタイムダッシュボード
  • 動的なフォームベースのダッシュボード
  • スケジュールされたレポートのダッシュボード

5.Splunkでサポートされている検索モードのタイプに名前を付けます。

Splunkは、次の3種類のダッシュボードをサポートしています。

  • 高速モード
  • スマートモード
  • 冗長モード

6.さまざまな種類のSplunkフォワーダーに名前を付けます。

Splunkフォワーダーには2つのタイプがあります。

  • Universal Forwarder(UF) –これは非Splunkシステムにインストールされた軽量のSplunkエージェントであり、ローカルでデータを収集します。 UFはデータを解析または索引付けできません。
  • ヘビーウェイトフォワーダー(HWF) –解析やインデックス作成機能などの高度な機能を備えたヘビーウェイトSplunkエージェントです。 データのフィルタリングに使用されます。

7. Splunkフォワーダーを介してSplunkインスタンスにデータをフィードする利点は何ですか?

Splunkフォワーダーを介してデータをSplunkインスタンスにフィードすると、TCP接続、帯域幅調整、フォワーダーからインデクサーにデータを転送するための暗号化されたSSL接続という3つの大きなメリットを享受できます。 Splunkのアーキテクチャは、インデクサーに転送されるデータがデフォルトで負荷分散されるようになっています。

そのため、何らかの理由で1つのインデクサーがダウンした場合でも、データは別のインデクサーインスタンスを介してすばやく再ルーティングできます。 さらに、Splunkフォワーダーはイベントを転送する前にローカルにキャッシュするため、データの一時バックアップが作成されます。

8. Splunkの「サマリーインデックス」とは何ですか?

Splunkでは、Summary Indexは、スケジュールされた検索の結果を時間の経過とともに保存するデフォルトのSplunkインデックスを指します。 基本的に、これは、ユーザーが別のインデックスを指定または指定しない場合にSplunkEnterpriseが使用するインデックスです。

サマリーインデックスの最も重要な利点は、データが古くなった後でも分析とレポートを保持できることです。

9. Splunk DB Connectの目的は何ですか?

Splunk DB Connectは、Splunk用に設計された汎用SQLデータベースプラグインです。 これにより、ユーザーはデータベース情報をSplunkのクエリおよびレポートとシームレスに統合できます。

10. Splunkインデクサーの機能は何ですか?

名前が示すように、Splunkインデクサーはインデックスを作成および管理します。 生データをインデックスにインデックス付けする機能と、インデックス付けされたデータを検索および管理する機能の2つのコア機能があります。

11.いくつかの重要なSplunk検索コ​​マンドに名前を付けます。

Splunkの重要な検索コマンドのいくつかは次のとおりです。

  • 概要
  • エレックス
  • 合計を追加
  • アキュム
  • フィルダウン
  • タイパー
  • 名前を変更
  • 異常

また読む: Splunk v Elk:どちらを選ぶべきですか?

12. Splunkで最も重要な構成ファイルにはどのようなものがありますか?

Splunkで最も重要な構成ファイルは次のとおりです。

  • props.conf
  • indexs.conf
  • input.conf
  • transforms.conf
  • server.conf

13. Splunkのライセンスマスターの重要性は何ですか? ライセンスマスターに到達できない場合はどうなりますか?

Splunkでは、ライセンスマスターが適切な量のデータのインデックスを作成します。 Splunkライセンスは、24時間以内にプラットフォームに到達するデータボリュームに基づいているため、ライセンスマスターは、Splunk環境が購入したボリュームの制約内にとどまるようにします。

ライセンスマスターに到達できない場合、ユーザーはデータを検索できません。 ただし、これはインデクサーに流入するデータには影響しません。データはSplunkデプロイメントで引き続き流入し、インデクサーはデータにインデックスを付けます。 ただし、サーチヘッドの上部には、ユーザーがインデックスボリュームを超えたことを示す警告メッセージが表示されます。 この場合、流入するデータの量を減らすか、Splunkライセンスの追加容量を購入する必要があります。

14.Splunkの観点から「ライセンス違反」を説明します。

データ制限を超えると、ダッシュボードに「ライセンス違反」エラーが表示されます。 この警告は14日間続きます。 商用Splunkライセンスの場合、ユーザーは30日間のウィンドウで5つの警告を受け取ることができます。その前に、インデクサーの検索結果とレポートはトリガーされません。 ただし、無料バージョンの場合、ユーザーは3つの警告カウントしか受け取りません。

15.ログからIPアドレスを抽出するための一般的な表現は何ですか?

ログからIPアドレスをさまざまな方法で抽出できますが、通常の表現は次のようになります。

rex field = _raw“(?<ip_address> \ d+\。\d+\。\d+\。\d+)”

また

rex field = _raw“(?<ip_address>([0-9] {1,3} [\。]){3} [0-9] {1,3})”

16. Splunkのパフォーマンスの問題をどのようにトラブルシューティングできますか?

Splunkのパフォーマンスの問題をトラブルシューティングするには、次の手順を実行します。

  • splunkd.logをチェックして、エラーを見つけてください
  • サーバーのパフォーマンスの問題(CPU /メモリ使用量、ディスクI / Oなど)を確認します
  • 現在実行されている保存済み検索の数と、それらのシステムリソース消費量を確認してください。
  • SOS(Splunk on Splunk)アプリをインストールし、ダッシュボードに警告またはエラーが表示されるかどうかを確認します。
  • Firebug(Firefox拡張機能)をインストールして、システムで有効にします。 その後、Firefoxを使用してSplunkにログインし、Firebugのパネルを開き、「ネット」パネルに移動して有効にする必要があります)。 ネットパネルには、HTTPリクエストとレスポンスが、それぞれに費やされた時間とともに表示されます。 これにより、どのリクエストがSplunkの速度を低下させ、全体的なパフォーマンスに影響を与えているかを確認できます。

17.バケットとは何ですか? Splunkバケットのライフサイクルについて説明します。

バケットは、インデックス付きデータをSplunkに保存するディレクトリです。 つまり、特定の期間のイベントを記録する物理ディレクトリです。 バケットは、時間の経過とともに変換のいくつかの段階を経ます。 彼らです:

  • ホット–ホットバケットは、新しくインデックス付けされたデータで構成されているため、書き込みや新規追加が可能です。 インデックスには、1つ以上のホットバケットを含めることができます。
  • ウォーム–ウォームバケットには、ホットバケットからロールアウトされたデータが含まれます。
  • コールド–コールドバケットには、ウォームバケットからロールアウトされたデータがあります。
  • 凍結–凍結バケットには、コールドバケットからロールアウトされたデータが含まれます。 Splunkインデクサーは、デフォルトでフリーズしたデータを削除します。 ただし、アーカイブするオプションがあります。 ここで覚えておくべき重要なことは、凍結されたデータは検索できないということです。

18.タイムゾーンプロパティはSplunkでどのような目的を果たしますか?

Splunkでは、セキュリティまたは詐欺の観点からイベントを検索するためにタイムゾーンが重要です。 Splunkは、ブラウザの設定からデフォルトのタイムゾーンを設定します。 ブラウザはさらに、使用しているマシンから現在のタイムゾーンを取得します。 したがって、タイムゾーンが間違っているイベントを検索しても、その検索に関連するものは見つかりません。

タイムゾーンは、さまざまな複数のソースから流入するデータを検索して相互に関連付ける場合に非常に重要になります

19.Splunkでソースタイプを定義します。

Splunkでは、Sourcetypeは、着信イベントのデータ構造を識別するために使用されるデフォルトのフィールドを指します。 さまざまなデータ形式を識別しやすくするために、インデクサー抽出のソースタイプをフォワーダーレベルで設定する必要があります。 これは、SplunkEnterpriseがインデックス作成プロセス中にデータをフォーマットする方法を決定します。 この場合、データに正しいソースタイプを割り当てる必要があります。 データ検索をさらに簡単にするには、インデックス付けされたデータ(イベントデータ)に正確なタイムスタンプとイベントブレークを提供する必要があります。

20.StatsコマンドとEventstatsコマンドの違いを説明します。

Splunkでは、Statsコマンドを使用して、検索結果の既存のすべてのフィールドの要約統計量を生成し、新しく作成されたフィールドに値として保存します。 EventstatsコマンドはStatsコマンドと非常によく似ていますが、集計結果を各イベントにインラインで追加します(集計がその特定のイベントに関連する場合のみ)。 したがって、両方のコマンドが要求された統計を計算している間、Eventstatsコマンドは統計を元の生データに集約します。

21.Splunkアプリとアドオンを区別します。

Splunk Appsは、レポート、ダッシュボード、アラート、フィールド抽出、およびルックアップの完全なコレクションを指します。 ただし、Splunkアドオンには組み込みの構成のみが含まれ、ダッシュボードやレポートは含まれていません。

22. Splunkサービスを停止および開始するコマンドは何ですか?

Splunkサービスを開始するコマンドは次のとおりです。./splunkstart

Splunkサービスを停止するコマンドは次のとおりです。./splunkstop

23. Splunkの検索履歴をクリアするにはどうすればよいですか?

Splunkの検索履歴をクリアするには、Splunkサーバーから次のファイルを削除する必要があります。

$ splunk_home / var / log / splunk / searchs.log

24. SplunkのBtoolとは何ですか?

SplunkのBtoolは、構成ファイルの問題のトラブルシューティングに使用されるコマンドラインツールです。 また、既存の環境でユーザーのSplunkEnterpriseインストールによって使用されている値を確認するのにも役立ちます。

25. Splunk Alertの必要性は何ですか? Splunkアラートの設定中に取得するオプションのタイプを指定します。

Splunk Alertsは、システムの誤った状態をユーザーに通知するのに役立ちます。 たとえば、ユーザーは、24時間以内に3回以上ログインに失敗した場合に、管理者に送信される電子メール通知のアラートを設定できます。

アラートの設定中に取得するさまざまなオプションは次のとおりです。

  • Webhookを作成できます。 これにより、HipChatまたはGitHubに書き込むことができます。件名、優先度、および電子メールの本文を含むマシンのグループに電子メールを書き込むことができます。
  • 結果をCSVまたはPDF形式で追加するか、メッセージの本文にインラインで追加して、受信者がトリガーされたアラートの場所と状態、およびそのために実行されたアクションを理解できるようにすることができます。
  • マシン名やIPアドレスなどの特定の条件に基づいて、チケットを作成し、アラートを調整できます。 これらのアラートは、アラートウィンドウから制御できます。

26. Fishbucketとは何ですか、またそのインデックスは何ですか?

Fishbucketは、デフォルトの場所にあるインデックスディレクトリです。

/ opt / splunk / var / lib / splunk

Fishbucketには、インデックス付きファイルのシークポインタとCRCが含まれています。 Fishbucketにアクセスするには、GUIを使用して検索できます。

index = _thefishbucket

27. Splunkがログファイルのインデックス作成を完了したことを知る方法は?

Splunkがログファイルのインデックス作成を完了したかどうかは、次の2つの方法で確認できます。

  1. Splunkのメトリクスログからのデータをリアルタイムで監視することにより、次のようになります。

index =” _ internal” source =” *metrics.log” group =” per_sourcetype_thruput”​​ series =”&lt; your_sourcetype_here&gt;” |

eval MB = kb / 1024 | チャート合計(MB)

  1. ソースタイプごとに分割されたすべてのメトリックを監視することにより、次のようになります。

index =” _ internal” source =” *metrics.log” group =” per_sourcetype_thruput”​​ | eval MB = kb / 1024 | チャートsum(MB)avg(eps)over series

28.ディスパッチディレクトリとは何ですか?

ディスパッチディレクトリには、実行中または完了した個々の検索用のディレクトリが含まれています。 ディスパッチディレクトリの構成は次のとおりです。

$ SPLUNK_HOME / var / run / splunk / dispatch

1434308943.358という名前のディレクトリがあると仮定します。 このディレクトリには、すべての検索結果のCSVファイル、検索実行に関する詳細を含むsearch.log、およびその他の関連情報が含まれます。 デフォルト設定を使用すると、検索が完了してから10分以内にこのディレクトリを削除できます。 検索結果を保存すると、7日後に削除されます。

29. WindowsマシンからSplunkにフォルダアクセスログを追加するにはどうすればよいですか?

WindowsマシンからSplunkにフォルダアクセスログを追加するには、以下の手順に従う必要があります。

  • グループポリシーに移動し、フォルダーが配置されているWindowsマシンでオブジェクトアクセス監査を有効にします。
  • 次に、アクセスログを監視する特定のフォルダで監査を有効にする必要があります。
  • SplunkUniversalForwarderをWindowsマシンにインストールします。
  • セキュリティログをSplunkインデクサーに送信するようにユニバーサルフォワーダーを設定します。

30. Splunkはどのようにしてログの重複インデックスを回避しますか?

Splunkインデクサーは、ディレクトリ内のすべてのインデックス付きイベントを追跡します。Fishbucketsディレクトリには、現在インデックスが作成されているすべてのファイルのシークポインターとCRCが含まれています。 したがって、すでに読み取られているシークポインタまたはCRCがある場合、splunkdはそれを指摘します。

31. Splunkでの設定ファイルの優先順位は何ですか?

Splunkの設定ファイルの優先順位は次のとおりです。

  • システムローカルディレクトリ(最高の優先度)
  • アプリのローカルディレクトリ
  • アプリのデフォルトディレクトリ
  • システムデフォルトディレクトリ(最低優先度)

32.「検索ファクター」と「レプリケーションファクター」を定義します。

Search Factor(SF)とReplication Factor(RF)はどちらも、Splunkのクラスタリング用語です。 SF(デフォルト値は2)は、インデクサークラスターによって維持されるデータの検索可能なコピーの数を決定しますが、RFは、インデクサークラスターによって維持されるデータのコピーの数を表します。 覚えておくべき重要なことは、SFは常に複製係数以下でなければならないということです。 また、サーチヘッドクラスターにはサーチファクターしかありませんが、インデクサークラスターにはSFとRFの両方があります。

33.inputlookupコマンドSplunkでは、外部ファイル(PythonベースのスクリプトやCSVファイルなど)から特定のフィールドを受信して​​イベントの値を取得する場合に、ルックアップコマンドが使用されます。 イベントデータのフィールドと一致する外部CSVファイルのフィールドを参照することにより、検索結果を絞り込むのに役立ちます。

inputlookupコマンドは、入力を取得する場合に使用されます。 たとえば、このコマンドは、製品の価格または製品名を入力として受け取り、それを製品IDなどの内部フィールドと照合できます。 逆に、outputlookupコマンドは、既存のフィールドリストから出力を生成するために使用されます。

34.SplunkSDKとSplunkFrameworkを区別します。

Splunk SDKは主に、ユーザーがアプリケーションを最初から開発できるように設計されています。 Splunk Webや、SplunkAppFrameworkのその他のコンポーネントが機能する必要はありません。 Splunk SDKは、Splunkとは別にライセンス供与されます。 これとは対照的に、SplunkAppFrameworkはSplunkWebサーバー内にあります。 これにより、ユーザーは製品に付属するSplunkWebUIをカスタマイズできます。 Splunkアプリを開発できますが、SplunkWebサーバーを使用して開発する必要があります。

世界のトップ大学からオンラインでソフトウェア開発コース学びましょう。 エグゼクティブPGプログラム、高度な証明書プログラム、または修士プログラムを取得して、キャリアを早急に進めましょう。

結論

これらのSplunkインタビューの質問が、Splunkインタビューの流れに入り、準備するのに役立つことを願っています。

splunkおよびその他のDevOpsツールについて詳しく知りたい場合は、フルスタックソフトウェア開発プログラムのIIIT-BおよびupGradのエグゼクティブPGプログラムを確認してください。

未来のキャリアに備える

フルスタック開発のエグゼクティブPGプログラムに今すぐ申し込む