Top 34 des questions et réponses d'entretien avec Splunk pour les débutants et les expérimentés [2022]

Publié: 2021-01-07

Splunk est l'une des meilleures solutions de gestion et d'analyse de charge dans le domaine des opérations informatiques. L'outil est l'un des meilleurs outils devops du marché, toujours très demandé, tout comme les experts de Splunk. Et la connaissance de splunk est l'une des conditions importantes pour devenir ingénieur devops. Naturellement, en ce qui concerne les emplois Splunk dans le secteur informatique, la concurrence est assez rude et difficile. Donc, si vous souhaitez décrocher un emploi de niche chez Splunk, vous devez être prêt à réussir l' entretien Splunk.

Ne vous inquiétez pas, car nous avons créé un article détaillé avec les principales questions d'entretien Splunk qui vous aideront non seulement à affiner vos connaissances sur Splunk, mais aussi à décrocher le travail que vous convoitez !

Les apprenants reçoivent une augmentation salariale moyenne de 58 %, la plus élevée allant jusqu'à 400 %.

Sans plus tarder, passons aux 33 principales questions d'entretien avec Splunk !

Principales questions et réponses des entretiens avec Splunk

1. Définir Splunk

Splunk est une plate-forme logicielle qui permet aux utilisateurs d'analyser les données générées par la machine (à partir d'appareils matériels, de réseaux, de serveurs, d'appareils IoT, etc.). Splunk est largement utilisé pour rechercher, visualiser, surveiller et générer des rapports sur les données d'entreprise. Il traite et analyse les données de la machine et les convertit en une intelligence opérationnelle puissante en offrant des informations en temps réel sur les données grâce à des visualisations précises.

Splunk est utilisé pour analyser les données machine car :

  • Il offre des informations commerciales - Splunk comprend les modèles cachés dans les données et les transforme en informations commerciales en temps réel qui peuvent être utilisées pour prendre des décisions commerciales éclairées.
  • Il offre une visibilité opérationnelle - Splunk exploite les données de la machine pour obtenir une visibilité de bout en bout sur les opérations de l'entreprise, puis la répartit sur l'ensemble de l'infrastructure.
  • Il facilite la surveillance proactive - Splunk utilise les données de la machine pour surveiller les systèmes en temps réel afin d'identifier les problèmes et les vulnérabilités du système (violations et attaques externes/internes).

2. Nommez les numéros de port communs utilisés par Splunk.

Les numéros de port courants pour Splunk sont :

  • Port Web Splunk : 8000
  • Port de gestion Splunk : 8089
  • Port réseau Splunk : 514
  • Port de réplication d'index Splunk : 8080
  • Port d'indexation Splunk : 9997
  • Magasin KV : 8191

3. Nommez les composants de l'architecture Splunk.

L'architecture Splunk est composée des composants suivants :

  • Tête de recherche - Il fournit une interface graphique pour la recherche
  • Indexeur - Il indexe les données de la machine
  • Forwarder - Il transfère les journaux à l'indexeur

Serveur de déploiement - Il gère les composants Splunk dans un environnement distribué et distribue des applications de configuration.

4. Quels sont les différents types de tableaux de bord Splunk ?

Il existe trois types différents de tableaux de bord Splunk :

  • Tableaux de bord en temps réel
  • Tableaux de bord dynamiques basés sur des formulaires
  • Tableaux de bord pour les rapports planifiés

5. Nommez les types de modes de recherche pris en charge dans Splunk.

Splunk prend en charge trois types de tableaux de bord, à savoir :

  • Mode rapide
  • Mode intelligent
  • Mode détaillé

6. Nommez les différents types de redirecteurs Splunk.

Il existe deux types de redirecteurs Splunk :

  • Universal Forwarder (UF) - Il s'agit d'un agent Splunk léger installé sur un système non Splunk pour collecter des données localement. UF ne peut pas analyser ou indexer les données.
  • Heavyweight Forwarder (HWF) - Il s'agit d'un agent Splunk lourd avec des fonctionnalités avancées, y compris des capacités d'analyse et d'indexation. Il est utilisé pour filtrer les données.

7. Quels sont les avantages d'alimenter une instance Splunk en données via les redirecteurs Splunk ?

Si vous alimentez les données dans une instance Splunk via des redirecteurs Splunk, vous pouvez profiter de trois avantages importants : connexion TCP, limitation de la bande passante et une connexion SSL cryptée pour transférer les données d'un redirecteur vers un indexeur. L'architecture de Splunk est telle que les données transmises à l'indexeur sont équilibrées par défaut.

Ainsi, même si un indexeur tombe en panne pour une raison quelconque, les données peuvent se réacheminer rapidement via une autre instance d'indexeur. De plus, les redirecteurs Splunk mettent les événements en cache localement avant de les transférer, créant ainsi une sauvegarde temporaire des données.

8. Qu'est-ce que « l'index récapitulatif » dans Splunk ?

Dans Splunk, l'index récapitulatif fait référence à l'index Splunk par défaut qui stocke les données résultant des recherches planifiées au fil du temps. Il s'agit essentiellement de l'index utilisé par Splunk Enterprise si un utilisateur n'en spécifie pas ou n'en indique pas un autre.

L'avantage le plus important de l'index récapitulatif est qu'il vous permet de conserver les analyses et les rapports même après que vos données ont vieilli.

9. Quel est le but de Splunk DB Connect ?

Splunk DB Connect est un plugin de base de données SQL générique conçu pour Splunk. Il permet aux utilisateurs d'intégrer de manière transparente les informations de la base de données aux requêtes et aux rapports Splunk.

10. Quelle est la fonction de l'indexeur Splunk ?

Comme son nom l'indique, Splunk Indexer crée et gère des index. Il a deux fonctions principales : indexer les données brutes dans un index et rechercher et gérer les données indexées.

11. Nommez quelques commandes de recherche Splunk importantes.

Certaines des commandes de recherche importantes dans Splunk sont :

  • Abstrait
  • Erex
  • Ajouter des totaux
  • Accumuler
  • Remplissez
  • Typer
  • Renommer
  • Anomalies

A lire aussi : Splunk v Elk : Lequel choisir ?

12. Quels sont les fichiers de configuration les plus importants de Splunk ?

Les fichiers de configuration les plus cruciaux dans Splunk sont :

  • props.conf
  • index.conf
  • entrées.conf
  • transforme.conf
  • serveur.conf

13. Quelle est l'importance du Master de licence dans Splunk ? Que se passe-t-il si le maître de licence est inaccessible ?

Dans Splunk, le License Master garantit que la bonne quantité de données est indexée. Étant donné que la licence Splunk est basée sur le volume de données qui atteint la plate-forme dans une fenêtre de 24 heures, le maître de licence garantit que votre environnement Splunk reste dans les limites du volume acheté.

Si jamais le maître de licence est inaccessible, un utilisateur ne peut pas rechercher les données. Cependant, cela n'affectera pas les données circulant dans l'indexeur - les données continueront de circuler dans le déploiement Splunk et les indexeurs indexeront les données. Mais le haut de la tête de recherche affichera un message d'avertissement indiquant que l'utilisateur a dépassé le volume d'indexation. Dans ce cas, ils doivent soit réduire la quantité de données entrantes, soit acheter une capacité supplémentaire de la licence Splunk.

14. Expliquez la « violation de licence » dans la perspective Splunk.

Chaque fois que vous dépassez la limite de données, l'erreur "violation de licence" s'affichera sur le tableau de bord. Cet avertissement restera pendant 14 jours. Pour une licence Splunk commerciale, les utilisateurs peuvent avoir cinq avertissements dans une fenêtre de 30 jours avant lesquels les résultats de recherche et les rapports d'Indexer ne se déclencheront pas. Cependant, pour la version gratuite, les utilisateurs ne reçoivent que trois nombres d'avertissements.

15. Quelle est l'expression générale pour extraire l'adresse IP des journaux ?

Bien que vous puissiez extraire l'adresse IP des journaux de plusieurs manières, l'expression habituelle serait :

champ rex=_raw "(?<adresse_ip>\d+\.\d+\.\d+\.\d+)"

OU

champ rex=_raw "(?<adresse_ip>([0-9]{1,3}[\.]){3}[0-9]{1,3})"

16. Comment résoudre les problèmes de performances de Splunk ?

Pour résoudre les problèmes de performances de Splunk, procédez comme suit :

  • Vérifiez splunkd.log pour trouver les erreurs
  • Vérifiez les problèmes de performances du serveur (utilisation CPU/mémoire, E/S disque, etc.)
  • Vérifiez le nombre de recherches enregistrées en cours d'exécution ainsi que leur consommation de ressources système.
  • Installez l'application SOS (Splunk sur Splunk) et voyez si le tableau de bord affiche des avertissements ou des erreurs.
  • Installez Firebug (une extension Firefox) et activez-le dans votre système. Après cela, vous devez vous connecter à Splunk à l'aide de Firefox, ouvrir les panneaux de Firebug et accéder au panneau "Net" pour l'activer). Le panneau Net affiche les requêtes et les réponses HTTP, ainsi que le temps passé dans chacune. Cela vous permettra de voir quelles requêtes ralentissent Splunk et affectent les performances globales.

17. Que sont les seaux ? Expliquer le cycle de vie du bucket Splunk.

Les compartiments sont des répertoires qui stockent les données indexées dans Splunk. Il s'agit donc d'un répertoire physique qui relate les événements d'une période précise. Un seau subit plusieurs étapes de transformation au fil du temps. Elles sont:

  • Chaud - Un seau chaud comprend les données nouvellement indexées et, par conséquent, il est ouvert à l'écriture et aux nouveaux ajouts. Un index peut avoir un ou plusieurs hot buckets.
  • Chaud – Un compartiment chaud contient les données qui sont déployées à partir d'un compartiment chaud.
  • Froid – Un compartiment froid contient des données qui sont déployées à partir d'un compartiment chaud.
  • Gelé – Un seau gelé contient les données déployées à partir d'un seau froid. L'indexeur Splunk supprime les données gelées par défaut. Cependant, il existe une option pour l'archiver. Une chose importante à retenir ici est que les données gelées ne sont pas consultables.

18. À quoi sert la propriété Fuseau horaire dans Splunk ?

Dans Splunk, le fuseau horaire est crucial pour rechercher des événements du point de vue de la sécurité ou de la fraude. Splunk définit le fuseau horaire par défaut pour vous à partir des paramètres de votre navigateur. Le navigateur récupère en outre le fuseau horaire actuel de la machine que vous utilisez. Ainsi, si vous recherchez un événement avec le mauvais fuseau horaire, vous ne trouverez rien de pertinent pour cette recherche.

Le fuseau horaire devient extrêmement important lorsque vous recherchez et corrélez des données provenant de sources différentes et multiples .

19. Définissez le type de source dans Splunk.

Dans Splunk, Sourcetype fait référence au champ par défaut utilisé pour identifier la structure de données d'un événement entrant. Le type de source doit être défini au niveau du redirecteur pour l'extraction de l'indexeur afin d'aider à identifier différents formats de données. Il détermine comment Splunk Enterprise formate les données pendant le processus d'indexation. Cela étant, vous devez vous assurer d'attribuer le bon type de source à vos données. Pour rendre la recherche de données encore plus facile, vous devez fournir des horodatages précis et des interruptions d'événement aux données indexées (les données d'événement).

20. Expliquez la différence entre les commandes Stats et Eventstats.

Dans Splunk, la commande Stats est utilisée pour générer les statistiques récapitulatives de tous les champs existants dans les résultats de la recherche et les enregistrer en tant que valeurs dans les champs nouvellement créés. Bien que la commande Eventstats soit assez similaire à la commande Stats, elle ajoute les résultats de l'agrégation en ligne à chaque événement (si seulement l'agrégation est pertinente pour cet événement particulier). Ainsi, alors que les deux commandes calculent les statistiques demandées, la commande Eventstats agrège les statistiques dans les données brutes d'origine.

21. Faites la différence entre l'application Splunk et le module complémentaire.

Les applications Splunk font référence à la collection complète de rapports, tableaux de bord, alertes, extractions de champs et recherches. Cependant, les modules complémentaires Splunk ne contiennent que des configurations intégrées - ils n'ont pas de tableaux de bord ni de rapports.

22. Quelle est la commande pour arrêter et démarrer le service Splunk ?

La commande pour démarrer le service Splunk est : ./splunk start

La commande pour arrêter le service Splunk est : ./splunk stop

23. Comment pouvez-vous effacer l'historique de recherche Splunk ?

Pour effacer l'historique de recherche Splunk, vous devez supprimer le fichier suivant du serveur Splunk :

$splunk_home/var/log/splunk/searches.log

24. Qu'est-ce que Btool dans Splunk ?

Btool dans Splunk est un outil de ligne de commande utilisé pour résoudre les problèmes de fichiers de configuration. Cela permet également de vérifier quelles valeurs sont utilisées par l'installation Splunk Enterprise d'un utilisateur dans l'environnement existant.

25. Pourquoi Splunk Alert est-il nécessaire ? Spécifiez le type d'options que vous obtenez lors de la configuration des alertes Splunk.

Les alertes Splunk aident à informer les utilisateurs de toute condition erronée dans leurs systèmes. Par exemple, un utilisateur peut configurer des alertes pour qu'une notification par e-mail soit envoyée à l'administrateur au cas où il y aurait plus de trois tentatives de connexion infructueuses dans les 24 heures.

Les différentes options que vous obtenez lors de la configuration des alertes incluent :

  • Vous pouvez créer un webhook. Cela vous permettra d'écrire sur HipChat ou GitHub - vous pouvez écrire un e-mail à un groupe de machines contenant votre sujet, vos priorités et le corps de votre e-mail.
  • Vous pouvez ajouter des résultats au format CSV ou pdf ou en ligne avec le corps du message pour aider le destinataire à comprendre l'emplacement et les conditions de l'alerte qui a été déclenchée et les actions qui ont été prises pour cela.
  • Vous pouvez créer des tickets et des alertes de limitation en fonction de conditions spécifiques telles que le nom de la machine ou l'adresse IP. Ces alertes peuvent être contrôlées à partir de la fenêtre d'alerte.

26. Qu'est-ce qu'un Fishbucket et quel est son Index ?

Fishbucket est un répertoire d'index reposant à l'emplacement par défaut, c'est-à-dire :

/opt/splunk/var/lib/splunk

Fishbucket inclut des pointeurs de recherche et des CRC pour les fichiers indexés. Pour accéder au Fishbucket, vous pouvez utiliser l'interface graphique pour rechercher :

index=_thefishbucket

27. Comment savoir quand Splunk a terminé l'indexation d'un fichier journal ?

Vous pouvez déterminer si Splunk a terminé ou non l'indexation d'un fichier journal de deux manières :

  1. En surveillant les données du journal des métriques de Splunk en temps réel :

index=”_internal” source=”*metrics.log” group=”per_sourcetype_thruput” ​​series=”&lt;your_sourcetype_here&gt;” |

eval Mo=ko/1024 | somme du graphique (Mo)

  1. En surveillant toutes les métriques réparties par type de source :

index=”_internal” source=”*metrics.log” group=”per_sourcetype_thruput” ​​| eval Mo=ko/1024 | somme du graphique (Mo) moyenne (eps) sur la série

28. Qu'est-ce que le répertoire de répartition ?

Le répertoire de répartition comprend un répertoire pour les recherches individuelles en cours ou terminées. La configuration du répertoire de répartition est la suivante :

$SPLUNK_HOME/var/run/splunk/dispatch

Supposons qu'il existe un répertoire nommé 1434308943.358. Ce répertoire contiendra un fichier CSV de tous les résultats de la recherche, un search.log contenant les détails sur l'exécution de la recherche et d'autres informations pertinentes. En utilisant la configuration par défaut, vous pouvez supprimer ce répertoire dans les 10 minutes suivant la fin de la recherche. Si vous enregistrez les résultats de la recherche, ils seront supprimés au bout de sept jours.

29. Comment pouvez-vous ajouter les journaux d'accès aux dossiers d'une machine Windows à Splunk ?

Pour ajouter les journaux d'accès aux dossiers d'une machine Windows à Splunk, vous devez suivre les étapes ci-dessous :

  • Accédez à la stratégie de groupe et activez l'audit d'accès aux objets sur la machine Windows sur laquelle se trouve le dossier.
  • Vous devez maintenant activer l'audit sur le dossier spécifique pour lequel vous souhaitez surveiller les journaux d'accès.
  • Installez Splunk Universal Forwarder sur la machine Windows.
  • Configurez Universal Forwarder pour envoyer les journaux de sécurité à Splunk Indexer.

30. Comment Splunk évite-t-il l'indexation en double des journaux ?

L'indexeur Splunk garde une trace de tous les événements indexés dans un répertoire - le répertoire Fishbuckets qui contient des pointeurs de recherche et des CRC pour tous les fichiers actuellement indexés. Donc, s'il y a un pointeur de recherche ou un CRC qui a déjà été lu, splunkd le signalera.

31. Quelle est la priorité des fichiers de configuration dans Splunk ?

La priorité des fichiers de configuration dans Splunk est la suivante :

  • Répertoire local du système (priorité la plus élevée)
  • Annuaires locaux de l'application
  • Répertoires par défaut de l'application
  • Répertoire par défaut du système (priorité la plus basse)

32. Définissez "Facteur de recherche" et "Facteur de réplication".

Le facteur de recherche (SF) et le facteur de réplication (RF) regroupent des terminologies dans Splunk. Alors que le SF (avec une valeur par défaut de 2) détermine le nombre de copies de données consultables conservées par le cluster Indexer, le RF représente le nombre de copies de données conservées par le cluster Indexer. Une chose importante à retenir est que SF doit toujours être inférieur ou égal au facteur de réplication. De plus, le cluster Search Head n'a qu'un facteur de recherche, alors qu'un cluster Indexer a à la fois SF et RF.

33. Pourquoi la commande de Faites la différence entre les commandes Dans Splunk, les commandes de recherche sont utilisées lorsque vous souhaitez recevoir des champs spécifiques d'un fichier externe (par exemple, un script basé sur Python ou un fichier CSV) pour obtenir la valeur d'un événement. Il permet d'affiner les résultats de la recherche en référençant les champs dans un fichier CSV externe qui correspond aux champs des données d'événement.

La commande inputlookup est utilisée lorsque vous souhaitez prendre une entrée. Par exemple, la commande peut prendre le prix du produit ou le nom du produit en entrée, puis le faire correspondre à un champ interne tel qu'un ID de produit. Au contraire, la commande outputlookup est utilisée pour produire une sortie à partir d'une liste de champs existante.

34. Différencier Splunk SDK et Splunk Framework.

Les SDK Splunk sont principalement conçus pour aider les utilisateurs à développer des applications à partir de zéro. Ils ne nécessitent pas Splunk Web ou tout autre composant de Splunk App Framework pour fonctionner. Les SDK Splunk sont sous licence distincte de Splunk. Contrairement à cela, le Splunk App Framework repose sur le serveur Web Splunk. Il permet aux utilisateurs de personnaliser l'interface utilisateur Web Splunk qui accompagne le produit. Bien qu'il vous permette de développer des applications Splunk, vous devez le faire en utilisant le serveur Web Splunk.

Apprenez des cours de développement de logiciels en ligne dans les meilleures universités du monde. Gagnez des programmes Executive PG, des programmes de certificat avancés ou des programmes de maîtrise pour accélérer votre carrière.

Conclusion

Nous espérons que ces questions d'entretien Splunk vous aideront à entrer dans le flux et à préparer votre entretien Splunk !

Si vous êtes curieux d'en savoir plus sur splunk et d'autres outils DevOps, consultez le programme Executive PG de IIIT-B & upGrad dans le programme de développement de logiciels Full Stack.

Préparez-vous à une carrière d'avenir

Postulez maintenant pour le programme Executive PG en développement Full Stack