• Beranda
  • Artikel
  • Umum
  • 34 Pertanyaan & Jawaban Wawancara Splunk Teratas Untuk Pemula & Berpengalaman [2022]

34 Pertanyaan & Jawaban Wawancara Splunk Teratas Untuk Pemula & Berpengalaman [2022]

Diterbitkan: 2021-01-07

Splunk adalah salah satu solusi manajemen dan analisis beban teratas di bidang Operasi TI. Alat ini adalah salah satu alat devops teratas di pasar yang selalu diminati, dan begitu juga para ahli Splunk. Dan pengetahuan tentang splunk merupakan salah satu syarat penting untuk menjadi seorang devops engineer. Tentu saja, ketika datang ke pekerjaan Splunk di sektor TI, persaingannya cukup ketat dan menantang. Jadi, jika Anda ingin mendapatkan pekerjaan khusus di Splunk, Anda harus siap untuk mengikuti wawancara Splunk.

Jangan khawatir, karena kami telah membuat posting terperinci dengan pertanyaan wawancara Splunk teratas yang tidak hanya akan membantu mempertajam pengetahuan Splunk Anda tetapi juga mengantongi pekerjaan yang telah Anda incar!

Peserta didik menerima kenaikan Gaji rata-rata 58% dengan tertinggi hingga 400%.

Tanpa basa-basi lagi, mari kita pecahkan 33 pertanyaan wawancara Splunk teratas!

Pertanyaan & Jawaban Wawancara Splunk Teratas

1. Definisikan Splunk

Splunk adalah platform perangkat lunak yang memungkinkan pengguna untuk menganalisis data yang dihasilkan mesin (dari perangkat keras, jaringan, server, perangkat IoT, dll.). Splunk banyak digunakan untuk mencari, memvisualisasikan, memantau, dan melaporkan data perusahaan. Ini memproses dan menganalisis data mesin dan mengubahnya menjadi kecerdasan operasional yang kuat dengan menawarkan wawasan waktu nyata ke dalam data melalui visualisasi yang akurat.

Splunk digunakan untuk menganalisis data mesin karena:

  • Ini menawarkan wawasan bisnis – Splunk memahami pola yang tersembunyi di dalam data dan mengubahnya menjadi wawasan bisnis waktu nyata yang dapat digunakan untuk membuat keputusan bisnis yang terinformasi.
  • Ini memberikan visibilitas operasional – Splunk memanfaatkan data alat berat untuk mendapatkan visibilitas ujung-ke-ujung ke dalam operasi perusahaan dan kemudian memecahnya di seluruh infrastruktur.
  • Ini memfasilitasi pemantauan proaktif – Splunk menggunakan data mesin untuk memantau sistem secara real-time untuk mengidentifikasi masalah dan kerentanan sistem (pelanggaran dan serangan eksternal/internal).

2. Sebutkan nomor port yang umum digunakan oleh Splunk.

Nomor port umum untuk Splunk adalah:

  • Port Web Splunk: 8000
  • Pelabuhan Manajemen Splunk: 8089
  • Port jaringan Splunk: 514
  • Port Replikasi Indeks Splunk: 8080
  • Port Pengindeksan Splunk: 9997
  • Toko KV: 8191

3. Sebutkan komponen-komponen arsitektur Splunk.

Arsitektur Splunk terbuat dari komponen-komponen berikut:

  • Search Head – Ini menyediakan GUI untuk pencarian
  • Pengindeks - Ini mengindeks data mesin
  • Forwarder – Ini meneruskan log ke Pengindeks

Server penyebaran – Ini mengelola komponen Splunk di lingkungan terdistribusi dan mendistribusikan aplikasi konfigurasi.

4. Apa saja jenis-jenis dasbor Splunk?

Ada tiga jenis dasbor Splunk yang berbeda:

  • Dasbor waktu nyata
  • Dasbor berbasis formulir dinamis
  • Dasbor untuk laporan terjadwal

5. Sebutkan jenis mode pencarian yang didukung di Splunk.

Splunk mendukung tiga jenis dasbor, yaitu:

  • Mode cepat
  • Modus pintar
  • Modus verbose

6. Sebutkan jenis-jenis Splunk Forwarder.

Ada dua jenis Splunk Forwarder:

  • Universal Forwarder (UF) – Ini adalah agen Splunk ringan yang diinstal pada sistem non-Splunk untuk mengumpulkan data secara lokal. UF tidak dapat mengurai atau mengindeks data.
  • Heavyweight Forwarder (HWF) – Ini adalah agen Splunk kelas berat dengan fungsionalitas tingkat lanjut, termasuk kemampuan penguraian dan pengindeksan. Digunakan untuk menyaring data.

7. Apa keuntungan memasukkan data ke dalam instans Splunk melalui Splunk Forwarders?

Jika Anda memasukkan data ke dalam instans Splunk melalui Splunk Forwarders, Anda dapat memperoleh tiga manfaat signifikan – koneksi TCP, pembatasan bandwidth, dan koneksi SSL terenkripsi untuk mentransfer data dari Forwarder ke Pengindeks. Arsitektur Splunk sedemikian rupa sehingga data yang diteruskan ke Pengindeks memiliki keseimbangan beban secara default.

Jadi, bahkan jika satu Pengindeks turun karena alasan tertentu, data dapat merutekan ulang sendiri melalui instans Pengindeks lain dengan cepat. Selanjutnya, Splunk Forwarders menyimpan peristiwa secara lokal sebelum meneruskannya, sehingga membuat cadangan data sementara.

8. Apa yang dimaksud dengan "Indeks Ringkasan" di Splunk?

Di Splunk, Indeks Ringkasan mengacu pada indeks Splunk default yang menyimpan data yang dihasilkan dari pencarian terjadwal dari waktu ke waktu. Pada dasarnya, ini adalah indeks yang digunakan Splunk Enterprise jika pengguna tidak menentukan atau menunjukkan yang lain.

Keuntungan paling signifikan dari Indeks Ringkasan adalah memungkinkan Anda untuk mempertahankan analitik dan laporan bahkan setelah data Anda berumur.

9. Apa tujuan Splunk DB Connect?

Splunk DB Connect adalah plugin database SQL generik yang dirancang untuk Splunk. Ini memungkinkan pengguna untuk mengintegrasikan informasi database dengan kueri dan laporan Splunk dengan mulus.

10. Apa fungsi dari Splunk Indexer?

Seperti namanya, Splunk Indexer membuat dan mengelola indeks. Ini memiliki dua fungsi inti - untuk mengindeks data mentah ke dalam indeks dan untuk mencari dan mengelola data yang diindeks.

11. Sebutkan beberapa perintah pencarian Splunk yang penting.

Beberapa perintah pencarian penting di Splunk adalah:

  • Abstrak
  • Erex
  • total tambahan
  • Akum
  • Mengisi
  • mengetik
  • Ganti nama
  • anomali

Baca juga: Splunk v Elk: Mana yang Harus Kamu Pilih?

12. Apa saja file konfigurasi terpenting di Splunk?

File konfigurasi yang paling penting di Splunk adalah:

  • props.conf
  • indexes.conf
  • input.conf
  • transforms.conf
  • server.conf

13. Apa pentingnya Master Lisensi di Splunk? Apa yang terjadi jika Master Lisensi tidak dapat dijangkau?

Di Splunk, Master Lisensi memastikan bahwa jumlah data yang tepat akan diindeks. Karena lisensi Splunk didasarkan pada volume data yang mencapai platform dalam jendela 24 jam, Master Lisensi memastikan bahwa lingkungan Splunk Anda tetap berada dalam batasan volume yang dibeli.

Jika Master Lisensi tidak dapat dijangkau, pengguna tidak dapat mencari data. Namun, ini tidak akan memengaruhi data yang mengalir ke Pengindeks – data akan terus mengalir dalam penerapan Splunk, dan Pengindeks akan mengindeks data. Namun bagian atas Search Head akan menampilkan pesan peringatan bahwa pengguna telah melebihi volume pengindeksan. Dalam hal ini, mereka harus mengurangi jumlah data yang mengalir atau harus membeli kapasitas tambahan dari lisensi Splunk.

14. Jelaskan 'pelanggaran lisensi' dalam perspektif Splunk.

Setiap kali Anda melebihi batas data, kesalahan 'pelanggaran lisensi' akan muncul di dasbor. Peringatan ini akan tetap ada selama 14 hari. Untuk lisensi Splunk komersial, pengguna dapat memiliki lima peringatan dalam jendela 30 hari sebelum hasil pencarian dan laporan Pengindeks tidak akan dipicu. Namun, untuk versi gratis, pengguna hanya mendapatkan tiga jumlah peringatan.

15. Apa ekspresi umum untuk mengekstrak alamat IP dari log?

Meskipun Anda dapat mengekstrak alamat IP dari log dengan banyak cara, ekspresi regulernya adalah:

rex field=_raw “(?<ip_address>\d+\.\d+\.\d+\.\d+)”

ATAU

rex field=_raw “(?<ip_address>([0-9]{1,3}[\.]){3}[0-9]{1,3})”

16. Bagaimana Anda dapat memecahkan masalah kinerja Splunk?

Untuk memecahkan masalah kinerja Splunk, lakukan langkah-langkah berikut:

  • Periksa splunkd.log untuk menemukan kesalahan
  • Periksa masalah kinerja server (penggunaan CPU/memori, disk i/o, dll.)
  • Periksa jumlah pencarian tersimpan yang sedang berjalan saat ini dan juga konsumsi sumber daya sistemnya.
  • Instal aplikasi SOS (Splunk on Splunk) dan lihat apakah dasbor menampilkan peringatan atau kesalahan.
  • Instal Firebug (ekstensi Firefox) dan aktifkan di sistem Anda. Setelah itu, Anda harus masuk ke Splunk menggunakan Firefox, buka panel Firebug, dan buka panel 'Net' untuk mengaktifkannya). Panel Net menampilkan permintaan dan tanggapan HTTP, bersama dengan waktu yang dihabiskan di masing-masing. Ini akan memungkinkan Anda untuk melihat permintaan mana yang memperlambat Splunk dan memengaruhi kinerja secara keseluruhan.

17. Apa itu Bucket? Jelaskan Siklus Hidup Splunk Bucket.

Bucket adalah direktori yang menyimpan data yang diindeks di Splunk. Jadi, ini adalah direktori fisik yang mencatat peristiwa periode tertentu. Sebuah ember mengalami beberapa tahap transformasi dari waktu ke waktu. Mereka:

  • Hot – Hot bucket terdiri dari data yang baru diindeks, dan karenanya, terbuka untuk penulisan dan penambahan baru. Sebuah indeks dapat memiliki satu atau lebih hot bucket.
  • Hangat – Bucket hangat berisi data yang dikeluarkan dari ember panas.
  • Dingin – Ember dingin memiliki data yang dikeluarkan dari ember hangat.
  • Beku – Ember beku berisi data yang diluncurkan dari ember dingin. Pengindeks Splunk menghapus data yang dibekukan secara default. Namun, ada opsi untuk mengarsipkannya. Hal penting untuk diingat di sini adalah bahwa data yang dibekukan tidak dapat dicari.

18. Apa kegunaan properti Time Zone di Splunk?

Di Splunk, Zona Waktu sangat penting untuk mencari acara dari perspektif keamanan atau penipuan. Splunk menetapkan Zona Waktu default untuk Anda dari pengaturan browser Anda. Browser selanjutnya mengambil Zona Waktu saat ini dari mesin yang Anda gunakan. Jadi, jika Anda mencari acara apa pun dengan Zona Waktu yang salah, Anda tidak akan menemukan sesuatu yang relevan untuk pencarian itu.

Zona Waktu menjadi sangat penting ketika Anda mencari dan menghubungkan data yang mengalir dari berbagai sumber .

19. Tentukan Jenis Sumber di Splunk.

Di Splunk, Sourcetype mengacu pada bidang default yang digunakan untuk mengidentifikasi struktur data dari acara yang masuk. Sourcetype harus diatur pada tingkat forwarder untuk ekstraksi pengindeks untuk membantu mengidentifikasi format data yang berbeda. Ini menentukan bagaimana Splunk Enterprise memformat data selama proses pengindeksan. Karena itu, Anda harus memastikan untuk menetapkan Sourcetype yang benar ke data Anda. Untuk mempermudah pencarian data, Anda harus memberikan stempel waktu yang akurat, dan jeda peristiwa ke data yang diindeks (data peristiwa).

20. Jelaskan perbedaan antara perintah Stats dan Eventstats.

Di Splunk, perintah Stats digunakan untuk menghasilkan statistik ringkasan dari semua bidang yang ada di hasil pencarian dan menyimpannya sebagai nilai di bidang yang baru dibuat. Meskipun perintah Eventstats sangat mirip dengan perintah Stats, ia menambahkan hasil agregasi sebaris ke setiap acara (jika hanya agregasi yang berkaitan dengan acara tertentu). Jadi, sementara kedua perintah menghitung statistik yang diminta, perintah Eventstats menggabungkan statistik ke dalam data mentah asli.

21. Bedakan antara Aplikasi Splunk dan Add-on.

Splunk Apps mengacu pada kumpulan lengkap laporan, dasbor, peringatan, ekstraksi lapangan, dan pencarian. Namun, Splunk Add-on hanya berisi konfigurasi bawaan – mereka tidak memiliki dasbor atau laporan.

22. Apa perintah untuk menghentikan dan memulai layanan Splunk?

Perintah untuk memulai layanan Splunk adalah: ./splunk start

Perintah untuk menghentikan layanan Splunk adalah: ./splunk stop

23. Bagaimana cara menghapus riwayat pencarian Splunk?

Untuk menghapus riwayat pencarian Splunk, Anda perlu menghapus file berikut dari server Splunk:

$splunk_home/var/log/splunk/searches.log

24. Apa itu Btool di Splunk?

Btool di Splunk adalah alat baris perintah yang digunakan untuk memecahkan masalah file konfigurasi. Ini juga membantu memeriksa nilai apa yang digunakan oleh instalasi Splunk Enterprise pengguna di lingkungan yang ada.

25. Apa perlunya Splunk Alert? Tentukan jenis opsi yang Anda dapatkan saat mengatur Splunk Alerts.

Splunk Alerts membantu memberi tahu pengguna tentang kondisi yang salah dalam sistem mereka. Misalnya, pengguna dapat mengatur Peringatan agar pemberitahuan email dikirim ke admin jika ada lebih dari tiga upaya login yang gagal dalam waktu 24 jam.

Berbagai opsi yang Anda dapatkan saat menyiapkan Lansiran meliputi:

  • Anda dapat membuat webhook. Ini akan memungkinkan Anda untuk menulis ke HipChat atau GitHub – Anda dapat menulis email ke sekelompok mesin yang berisi subjek, prioritas, dan isi email Anda.
  • Anda dapat menambahkan hasil dalam format CSV atau pdf atau sejajar dengan isi pesan untuk membantu penerima memahami lokasi dan kondisi peringatan yang telah dipicu dan tindakan apa yang telah diambil untuk hal yang sama.
  • Anda dapat membuat tiket dan peringatan throttle berdasarkan kondisi tertentu seperti nama mesin atau alamat IP. Peringatan ini dapat dikontrol dari jendela peringatan.

26. Apa itu Fishbucket dan apa Indeksnya?

Fishbucket adalah direktori indeks yang terletak di lokasi default, yaitu:

/opt/splunk/var/lib/splunk

Fishbucket menyertakan seek pointer dan CRC untuk file yang diindeks. Untuk mengakses Fishbucket, Anda dapat menggunakan GUI untuk mencari:

index=_thefishbucket

27. Bagaimana cara mengetahui kapan Splunk telah menyelesaikan pengindeksan file log?

Anda dapat mengetahui apakah Splunk telah menyelesaikan pengindeksan file log dengan dua cara:

  1. Dengan memantau data dari log metrik Splunk secara real-time:

index=”_internal” source=”*metrics.log” group=”per_sourcetype_thruput” ​​series=”&lt;jenis_sumber_anda&gt;” |

eval MB=kb/1024 | jumlah grafik (MB)

  1. Dengan memantau semua metrik yang dibagi menurut jenis sumber:

index="_internal" source="*metrics.log" group="per_sourcetype_thruput" | eval MB=kb/1024 | grafik jumlah (MB) rata-rata (eps) di atas seri

28. Apakah Direktori Pengiriman itu?

Dispatch Directory menyertakan direktori untuk pencarian individual yang sedang berjalan atau telah selesai. Konfigurasi untuk Dispatch Directory adalah sebagai berikut:

$SPLUNK_HOME/var/run/splunk/dispatch

Mari kita asumsikan, ada direktori bernama 1434308943.358. Direktori ini akan berisi file CSV dari semua hasil pencarian, search.log yang berisi detail tentang eksekusi pencarian, dan informasi relevan lainnya. Dengan menggunakan konfigurasi default, Anda dapat menghapus direktori ini dalam waktu 10 menit setelah pencarian selesai. Jika Anda menyimpan hasil pencarian, mereka akan dihapus setelah tujuh hari.

29. Bagaimana Anda dapat menambahkan log akses folder dari mesin Windows ke Splunk?

Untuk menambahkan log akses folder dari mesin Windows ke Splunk, Anda harus mengikuti langkah-langkah di bawah ini:

  • Buka Kebijakan Grup dan aktifkan Audit Akses Objek di mesin Windows tempat folder berada.
  • Sekarang Anda harus mengaktifkan audit pada folder tertentu yang ingin Anda pantau log aksesnya.
  • Instal Splunk Universal Forwarder pada mesin Windows.
  • Konfigurasikan Universal Forwarder untuk mengirim log keamanan ke Splunk Indexer.

30. Bagaimana Splunk menghindari pengindeksan duplikat log?

Pengindeks Splunk melacak semua peristiwa yang diindeks dalam direktori – direktori Fishbuckets yang berisi penunjuk pencarian dan CRC untuk semua file yang sedang diindeks saat ini. Jadi, jika ada seek pointer atau CRC yang sudah dibaca, splunkd akan menunjukkannya.

31. Apa prioritas file konfigurasi di Splunk?

Prioritas file konfigurasi di Splunk adalah sebagai berikut:

  • Direktori Lokal Sistem (prioritas tertinggi)
  • Direktori Lokal Aplikasi
  • Direktori Default Aplikasi
  • Direktori Default Sistem (prioritas terendah)

32. Tentukan "Faktor Pencarian" dan "Faktor Replikasi."

Baik Search Factor (SF) dan Replication Factor (RF) adalah terminologi pengelompokan di Splunk. Sementara SF (dengan nilai default 2) menentukan jumlah salinan data yang dapat dicari yang dikelola oleh cluster Pengindeks, RF mewakili jumlah salinan data yang dikelola oleh cluster Pengindeks. Hal penting yang perlu diingat adalah SF harus selalu lebih kecil atau sama dengan faktor replikasi. Juga, cluster Search Head hanya memiliki Search Factor, sedangkan cluster Pengindeks memiliki SF dan RF.

33. Mengapa perintah Bedakan antara perintah Di Splunk, perintah pencarian digunakan saat Anda ingin menerima bidang tertentu dari file eksternal (misalnya, skrip berbasis Python, atau file CSV) untuk mendapatkan nilai suatu peristiwa. Ini membantu mempersempit hasil pencarian dengan mereferensikan bidang dalam file CSV eksternal yang cocok dengan bidang dalam data peristiwa.

Perintah inputlookup digunakan ketika Anda ingin mengambil input. Misalnya, perintah dapat mengambil harga produk atau nama produk sebagai input dan kemudian mencocokkannya dengan bidang internal seperti ID produk. Sebaliknya, perintah outputlookup digunakan untuk menghasilkan output dari daftar bidang yang ada.

34. Bedakan antara Splunk SDK dan Splunk Framework.

Splunk SDK terutama dirancang untuk membantu pengguna mengembangkan aplikasi dari awal. Mereka tidak memerlukan Splunk Web atau komponen lain dari Splunk App Framework untuk berfungsi. Splunk SDK dilisensikan secara terpisah dari Splunk. Berbeda dengan ini, Splunk App Framework terletak di dalam Splunk Web Server. Ini memungkinkan pengguna untuk menyesuaikan UI Web Splunk yang menyertai produk. Meskipun memungkinkan Anda mengembangkan aplikasi Splunk, Anda harus melakukannya dengan menggunakan Server Web Splunk.

Pelajari Kursus Pengembangan Perangkat Lunak online dari Universitas top dunia. Dapatkan Program PG Eksekutif, Program Sertifikat Tingkat Lanjut, atau Program Magister untuk mempercepat karier Anda.

Kesimpulan

Kami berharap pertanyaan wawancara Splunk ini membantu Anda masuk ke arus dan mempersiapkan wawancara Splunk Anda!

Jika Anda ingin tahu lebih banyak tentang splunk dan alat DevOps lainnya, lihat Program PG Eksekutif IIIT-B & upGrad di Program Pengembangan Perangkat Lunak Stack Penuh.

Persiapkan Karir Masa Depan

Daftar Sekarang untuk Program PG Eksekutif dalam Pengembangan Tumpukan Penuh