Las 34 mejores preguntas y respuestas de entrevistas de Splunk para principiantes y experimentados [2022]

Publicado: 2021-01-07

Splunk es una de las principales soluciones de gestión y análisis de carga en el campo de las operaciones de TI. La herramienta es una de las mejores herramientas devops en el mercado, siempre con una gran demanda, al igual que los expertos de Splunk. Y el conocimiento de splunk es uno de los requisitos importantes para convertirse en un ingeniero devops. Naturalmente, cuando se trata de trabajos de Splunk en el sector de TI, la competencia es bastante dura y desafiante. Entonces, si desea obtener un trabajo de nicho en Splunk, debe estar listo para obtener la entrevista de Splunk.

No se preocupe, ya que hemos creado una publicación detallada con las principales preguntas de la entrevista de Splunk que no solo lo ayudarán a mejorar su conocimiento de Splunk, ¡sino que también conseguirá ese trabajo que ha estado buscando!

Los estudiantes reciben un aumento salarial promedio del 58 %, siendo el más alto de hasta el 400 %.

Sin más preámbulos, ¡comencemos con las 33 preguntas principales de la entrevista de Splunk!

Las mejores preguntas y respuestas de entrevistas de Splunk

1. Definir Splunk

Splunk es una plataforma de software que permite a los usuarios analizar datos generados por máquinas (desde dispositivos de hardware, redes, servidores, dispositivos IoT, etc.). Splunk se usa ampliamente para buscar, visualizar, monitorear y generar informes de datos empresariales. Procesa y analiza los datos de las máquinas y los convierte en una poderosa inteligencia operativa al ofrecer información en tiempo real sobre los datos a través de visualizaciones precisas.

Splunk se utiliza para analizar datos de máquinas porque:

  • Ofrece información comercial: Splunk comprende los patrones ocultos dentro de los datos y los convierte en información comercial en tiempo real que se puede utilizar para tomar decisiones comerciales informadas.
  • Brinda visibilidad operativa: Splunk aprovecha los datos de la máquina para obtener una visibilidad de extremo a extremo de las operaciones de la empresa y luego los desglosa en toda la infraestructura.
  • Facilita el monitoreo proactivo: Splunk utiliza datos de máquinas para monitorear sistemas en tiempo real para identificar problemas y vulnerabilidades del sistema (infracciones y ataques externos/internos).

2. Nombre los números de puerto comunes utilizados por Splunk.

Los números de puerto comunes para Splunk son:

  • Puerto web Splunk: 8000
  • Puerto de gestión Splunk: 8089
  • Puerto de red Splunk: 514
  • Puerto de replicación del índice Splunk: 8080
  • Puerto de indexación de Splunk: 9997
  • Tienda KV: 8191

3. Nombre los componentes de la arquitectura Splunk.

La arquitectura de Splunk está compuesta por los siguientes componentes:

  • Cabezal de búsqueda: proporciona GUI para buscar
  • Indexer – Indexa los datos de la máquina
  • Reenviador: reenvía los registros al indexador

Servidor de implementación: administra los componentes de Splunk en un entorno distribuido y distribuye aplicaciones de configuración.

4. ¿Cuáles son los diferentes tipos de paneles de control de Splunk?

Hay tres tipos diferentes de paneles de Splunk:

  • Tableros en tiempo real
  • Tableros dinámicos basados ​​en formularios
  • Tableros para informes programados

5. Nombre los tipos de modos de búsqueda admitidos en Splunk.

Splunk admite tres tipos de tableros, a saber:

  • Modo rápido
  • modo inteligente
  • Modo detallado

6. Nombre los diferentes tipos de reenviadores Splunk.

Hay dos tipos de reenviadores Splunk:

  • Universal Forwarder (UF) : es un agente ligero de Splunk instalado en un sistema que no es de Splunk para recopilar datos localmente. UF no puede analizar o indexar datos.
  • Reenviador de peso pesado (HWF) : es un agente de Splunk de peso pesado con funcionalidades avanzadas, incluidas capacidades de análisis e indexación. Se utiliza para filtrar datos.

7. ¿Cuáles son los beneficios de introducir datos en una instancia de Splunk a través de Splunk Forwarders?

Si alimenta los datos a una instancia de Splunk a través de Splunk Forwarders, puede obtener tres beneficios significativos: conexión TCP, limitación del ancho de banda y una conexión SSL cifrada para transferir datos de un reenviador a un indexador. La arquitectura de Splunk es tal que los datos reenviados al indexador tienen una carga equilibrada de forma predeterminada.

Por lo tanto, incluso si un indexador falla por algún motivo, los datos pueden redirigirse rápidamente a través de otra instancia de indexador. Además, Splunk Forwarders almacena en caché los eventos localmente antes de reenviarlos, creando así una copia de seguridad temporal de los datos.

8. ¿Qué es el "Índice de resumen" en Splunk?

En Splunk, el índice de resumen se refiere al índice predeterminado de Splunk que almacena datos resultantes de búsquedas programadas a lo largo del tiempo. Esencialmente, es el índice que utiliza Splunk Enterprise si un usuario no especifica o indica otro.

La ventaja más significativa del índice de resumen es que le permite conservar los análisis y los informes incluso después de que sus datos hayan caducado.

9. ¿Cuál es el propósito de Splunk DB Connect?

Splunk DB Connect es un complemento de base de datos SQL genérico diseñado para Splunk. Permite a los usuarios integrar sin problemas la información de la base de datos con consultas e informes de Splunk.

10. ¿Cuál es la función de Splunk Indexer?

Como sugiere el nombre, Splunk Indexer crea y administra índices. Tiene dos funciones principales: indexar datos sin procesar en un índice y buscar y administrar los datos indexados.

11. Mencione algunos comandos importantes de búsqueda de Splunk.

Algunos de los comandos de búsqueda importantes en Splunk son:

  • Resumen
  • Erex
  • sumartotales
  • acumulado
  • Llenar hacia abajo
  • tipeador
  • Rebautizar
  • Anomalías

Lea también: Splunk v Elk: ¿Cuál elegir?

12. ¿Cuáles son algunos de los archivos de configuración más importantes de Splunk?

Los archivos de configuración más cruciales en Splunk son:

  • props.conf
  • índices.conf
  • entradas.conf
  • transforma.conf
  • servidor.conf

13. ¿Cuál es la importancia del License Master en Splunk? ¿Qué sucede si no se puede acceder al maestro de licencias?

En Splunk, License Master garantiza que se indexe la cantidad correcta de datos. Dado que la licencia de Splunk se basa en el volumen de datos que llega a la plataforma en un período de 24 horas, License Master garantiza que su entorno de Splunk se mantenga dentro de las limitaciones del volumen adquirido.

Si alguna vez no se puede acceder al Maestro de licencias, un usuario no puede buscar los datos. Sin embargo, esto no afectará los datos que fluyen hacia el indexador; los datos continuarán fluyendo en la implementación de Splunk y los indexadores indexarán los datos. Pero la parte superior del encabezado de búsqueda mostrará un mensaje de advertencia de que el usuario ha excedido el volumen de indexación. En este caso, deben reducir la cantidad de datos que fluyen o deben comprar capacidad adicional de la licencia de Splunk.

14. Explique la 'infracción de licencia' desde la perspectiva de Splunk.

Cada vez que exceda el límite de datos, aparecerá el error de "infracción de licencia" en el tablero. Esta advertencia se mantendrá durante 14 días. Para una licencia comercial de Splunk, los usuarios pueden tener cinco advertencias en un período de 30 días antes de que los resultados de búsqueda e informes de Indexer no se activen. Sin embargo, para la versión gratuita, los usuarios reciben solo tres recuentos de advertencia.

15. ¿Cuál es la expresión general para extraer la dirección IP de los registros?

Aunque puede extraer la dirección IP de los registros de muchas maneras, la experiencia habitual sería:

campo rex=_raw “(?<dirección_ip>\d+\.\d+\.\d+\.\d+)”

O

campo rex=_raw “(?<dirección_ip>([0-9]{1,3}[\.]){3}[0-9]{1,3})”

16. ¿Cómo puede solucionar los problemas de rendimiento de Splunk?

Para solucionar problemas de rendimiento de Splunk, realice los siguientes pasos:

  • Verifique splunkd.log para encontrar errores.
  • Comprobar problemas de rendimiento del servidor (uso de CPU/memoria, E/S de disco, etc.)
  • Verifique la cantidad de búsquedas guardadas que se están ejecutando actualmente y también su consumo de recursos del sistema.
  • Instale la aplicación SOS (Splunk on Splunk) y vea si el tablero muestra alguna advertencia o error.
  • Instale Firebug (una extensión de Firefox) y habilítelo en su sistema. Después de eso, debe iniciar sesión en Splunk usando Firefox, abrir los paneles de Firebug e ir al panel 'Red' para habilitarlo). El panel Red muestra las solicitudes y respuestas HTTP, junto con el tiempo empleado en cada una. Esto le permitirá ver qué solicitudes están ralentizando Splunk y afectando el rendimiento general.

17. ¿Qué son los cubos? Explicar el ciclo de vida del depósito de Splunk.

Los cubos son directorios que almacenan los datos indexados en Splunk. Entonces, es un directorio físico que narra los eventos de un período específico. Un balde pasa por varias etapas de transformación a lo largo del tiempo. Ellos son:

  • Caliente: un cubo caliente se compone de los datos indexados recientemente y, por lo tanto, está abierto para escritura y nuevas adiciones. Un índice puede tener uno o más cubos calientes.
  • Tibio: un depósito tibio contiene los datos que se implementan desde un depósito caliente.
  • Frío: un depósito frío tiene datos que se implementan desde un depósito tibio.
  • Congelado: un cubo congelado contiene los datos que se distribuyen desde un cubo frío. Splunk Indexer elimina los datos congelados de forma predeterminada. Sin embargo, hay una opción para archivarlo. Una cosa importante para recordar aquí es que los datos congelados no se pueden buscar.

18. ¿Para qué sirve la propiedad Time Zone en Splunk?

En Splunk, la zona horaria es crucial para buscar eventos desde una perspectiva de seguridad o fraude. Splunk establece la zona horaria predeterminada para usted desde la configuración de su navegador. El navegador recoge además la zona horaria actual de la máquina que está utilizando. Por lo tanto, si busca cualquier evento con la zona horaria incorrecta, no encontrará nada relevante para esa búsqueda.

La zona horaria se vuelve extremadamente importante cuando busca y correlaciona datos provenientes de diferentes y múltiples fuentes .

19. Defina Sourcetype en Splunk.

En Splunk, Sourcetype hace referencia al campo predeterminado que se utiliza para identificar la estructura de datos de un evento entrante. Sourcetype debe establecerse en el nivel de reenviador para la extracción del indexador para ayudar a identificar diferentes formatos de datos. Determina cómo Splunk Enterprise da formato a los datos durante el proceso de indexación. Siendo este el caso, debe asegurarse de asignar el tipo de fuente correcto a sus datos. Para facilitar aún más la búsqueda de datos, debe proporcionar marcas de tiempo precisas y pausas de eventos a los datos indexados (los datos de eventos).

20. Explique la diferencia entre los comandos Stats y Eventstats.

En Splunk, el comando Estadísticas se utiliza para generar estadísticas de resumen de todos los campos existentes en los resultados de búsqueda y guardarlos como valores en campos recién creados. Aunque el comando Eventstats es bastante similar al comando Stats, agrega los resultados de la agregación en línea a cada evento (si solo la agregación es pertinente para ese evento en particular). Entonces, mientras ambos comandos calculan las estadísticas solicitadas, el comando Eventstats agrega las estadísticas a los datos sin procesar originales.

21. Diferenciar entre la aplicación Splunk y el complemento.

Splunk Apps hace referencia a la colección completa de informes, paneles, alertas, extracciones de campos y búsquedas. Sin embargo, los complementos de Splunk solo contienen configuraciones integradas; no tienen paneles ni informes.

22. ¿Cuál es el comando para detener e iniciar el servicio Splunk?

El comando para iniciar el servicio Splunk es: ./splunk start

El comando para detener el servicio de Splunk es: ./splunk stop

23. ¿Cómo se puede borrar el historial de búsqueda de Splunk?

Para borrar el historial de búsqueda de Splunk, debe eliminar el siguiente archivo del servidor de Splunk:

$splunk_home/var/log/splunk/searches.log

24. ¿Qué es Btool en Splunk?

Btool en Splunk es una herramienta de línea de comandos que se utiliza para solucionar problemas de archivos de configuración. También ayuda a comprobar qué valores utiliza la instalación de Splunk Enterprise de un usuario en el entorno existente.

25. ¿Cuál es la necesidad de Splunk Alert? Especifique el tipo de opciones que obtiene al configurar las alertas de Splunk.

Splunk Alerts ayuda a notificar a los usuarios sobre cualquier condición errónea en sus sistemas. Por ejemplo, un usuario puede configurar alertas para que se envíen notificaciones por correo electrónico al administrador en caso de que haya más de tres intentos fallidos de inicio de sesión en 24 horas.

Las diferentes opciones que obtiene al configurar Alertas incluyen:

  • Puede crear un webhook. Esto le permitirá escribir a HipChat o GitHub: puede escribir un correo electrónico a un grupo de máquinas que contengan su asunto, prioridades y el cuerpo de su correo electrónico.
  • Puede agregar resultados en formato CSV o pdf o en línea con el cuerpo del mensaje para ayudar al destinatario a comprender la ubicación y las condiciones de la alerta que se ha activado y qué acciones se han tomado para la misma.
  • Puede crear tickets y alertas de aceleración en función de condiciones específicas, como el nombre de la máquina o la dirección IP. Estas alertas se pueden controlar desde la ventana de alerta.

26. ¿Qué es un Fishbucket y cuál es su índice?

Fishbucket es un directorio de índice que descansa en la ubicación predeterminada, es decir:

/opt/splunk/var/lib/splunk

Fishbucket incluye punteros de búsqueda y CRC para los archivos indexados. Para acceder a Fishbucket, puede usar la GUI para buscar:

index=_elcubodepescado

27. ¿Cómo saber cuándo Splunk ha terminado de indexar un archivo de registro?

Puede averiguar si Splunk completó o no la indexación de un archivo de registro de dos maneras:

  1. Al monitorear los datos del registro de métricas de Splunk en tiempo real:

index=”_internal” source=”*metrics.log” group=”per_sourcetype_thruput” ​​series=”&lt;your_sourcetype_here&gt;” |

valor MB=kb/1024 | suma del gráfico (MB)

  1. Al monitorear todas las métricas divididas por tipo de fuente:

index=”_internal” source=”*metrics.log” group=”per_sourcetype_thruput” ​​| valor MB=kb/1024 | suma del gráfico (MB) promedio (eps) sobre la serie

28. ¿Qué es el Directorio de Despacho?

El directorio de despacho incluye un directorio para búsquedas individuales que se están ejecutando o se han completado. La configuración del directorio de despacho es la siguiente:

$SPLUNK_HOME/var/ejecutar/splunk/dispatch

Supongamos que hay un directorio llamado 1434308943.358. Este directorio contendrá un archivo CSV de todos los resultados de la búsqueda, un registro de búsqueda que contiene los detalles sobre la ejecución de la búsqueda y otra información relevante. Al usar la configuración predeterminada, puede eliminar este directorio dentro de los 10 minutos posteriores a la finalización de la búsqueda. Si guarda los resultados de la búsqueda, se eliminarán después de siete días.

29. ¿Cómo puede agregar registros de acceso a carpetas desde una máquina con Windows a Splunk?

Para agregar registros de acceso a carpetas desde máquinas Windows a Splunk, debe seguir los pasos que se detallan a continuación:

  • Vaya a Política de grupo y habilite Auditoría de acceso a objetos en la máquina con Windows donde se encuentra la carpeta.
  • Ahora debe habilitar la auditoría en la carpeta específica para la que desea monitorear los registros de acceso.
  • Instale Splunk Universal Forwarder en la máquina con Windows.
  • Configure Universal Forwarder para enviar registros de seguridad a Splunk Indexer.

30. ¿Cómo evita Splunk la indexación duplicada de registros?

Splunk Indexer realiza un seguimiento de todos los eventos indexados en un directorio: el directorio Fishbuckets que contiene punteros de búsqueda y CRC para todos los archivos que se indexan actualmente. Por lo tanto, si hay algún puntero de búsqueda o CRC que ya se haya leído, splunkd lo señalará.

31. ¿Cuál es la prioridad de los archivos de configuración en Splunk?

La prioridad de los archivos de configuración en Splunk es la siguiente:

  • Directorio local del sistema (prioridad más alta)
  • Directorios locales de aplicaciones
  • Directorios predeterminados de la aplicación
  • Directorio predeterminado del sistema (prioridad más baja)

32. Defina “Factor de búsqueda” y “Factor de replicación”.

Tanto el factor de búsqueda (SF) como el factor de replicación (RF) son terminologías de agrupación en Splunk. Mientras que SF (con un valor predeterminado de 2) determina la cantidad de copias de datos que se pueden buscar que mantiene el clúster de Indexer, RF representa la cantidad de copias de datos que mantiene el clúster de Indexer. Una cosa importante para recordar es que SF siempre debe ser menor o igual que el factor de replicación. Además, el grupo de cabezales de búsqueda solo tiene un factor de búsqueda, mientras que un grupo de indizador tiene tanto SF como RF.

33. ¿Por qué se usa el comando de Diferenciar entre los comandos En Splunk, los comandos de búsqueda se utilizan cuando desea recibir campos específicos de un archivo externo (por ejemplo, un script basado en Python o un archivo CSV) para obtener el valor de un evento. Ayuda a reducir los resultados de la búsqueda al hacer referencia a los campos en un archivo CSV externo que coincide con los campos en los datos del evento.

El comando inputlookup se usa cuando desea tomar una entrada. Por ejemplo, el comando puede tomar el precio del producto o el nombre del producto como entrada y luego compararlo con un campo interno, como una ID de producto. Por el contrario, el comando outputlookup se usa para generar una salida a partir de una lista de campos existente.

34. Diferenciar entre Splunk SDK y Splunk Framework.

Los SDK de Splunk están diseñados principalmente para ayudar a los usuarios a desarrollar aplicaciones desde cero. No requieren Splunk Web ni ningún otro componente de Splunk App Framework para funcionar. Los SDK de Splunk tienen una licencia independiente de Splunk. A diferencia de esto, Splunk App Framework se encuentra dentro del servidor web de Splunk. Permite a los usuarios personalizar la interfaz de usuario web de Splunk que acompaña al producto. Aunque le permite desarrollar aplicaciones de Splunk, debe hacerlo utilizando el servidor web de Splunk.

Aprenda cursos de desarrollo de software en línea de las mejores universidades del mundo. Obtenga programas Executive PG, programas de certificados avanzados o programas de maestría para acelerar su carrera.

Conclusión

¡Esperamos que estas preguntas de la entrevista de Splunk lo ayuden a entrar en el flujo y prepararse para su entrevista de Splunk!

Si tiene curiosidad por saber más sobre splunk y otras herramientas de DevOps, consulte el Programa PG ejecutivo de IIIT-B y upGrad en el Programa de desarrollo de software de pila completa.

Prepárate para una carrera del futuro

Solicite ahora el programa Executive PG en Full Stack Development