• Homepage
  • Articoli
  • Generale
  • Le 34 migliori domande e risposte sull'intervista Splunk per principianti ed esperti [2022]

Le 34 migliori domande e risposte sull'intervista Splunk per principianti ed esperti [2022]

Pubblicato: 2021-01-07

Splunk è una delle migliori soluzioni di gestione e analisi del carico nel campo delle operazioni IT. Lo strumento è uno dei migliori strumenti devops sul mercato sempre molto richiesto, così come gli esperti Splunk. E la conoscenza dello splunk è uno dei requisiti importanti per diventare un ingegnere devops. Naturalmente, quando si tratta di lavori Splunk nel settore IT, la concorrenza è piuttosto dura e impegnativa. Quindi, se desideri ottenere un lavoro di nicchia in Splunk, devi essere pronto per il colloquio con Splunk.

Non preoccuparti, perché abbiamo creato un post dettagliato con le migliori domande del colloquio Splunk che non solo ti aiuteranno ad affinare le tue conoscenze su Splunk, ma anche a raccogliere quel lavoro che stavi cercando!

Gli studenti ricevono un aumento medio dello stipendio del 58% con il massimo fino al 400%.

Senza ulteriori indugi, diamo un'occhiata alle prime 33 domande dell'intervista Splunk!

Le migliori domande e risposte per le interviste Splunk

1. Definisci Splunk

Splunk è una piattaforma software che consente agli utenti di analizzare i dati generati dalla macchina (da dispositivi hardware, reti, server, dispositivi IoT, ecc.). Splunk è ampiamente utilizzato per la ricerca, la visualizzazione, il monitoraggio e il reporting dei dati aziendali. Elabora e analizza i dati della macchina e li converte in una potente intelligenza operativa offrendo informazioni in tempo reale sui dati attraverso visualizzazioni accurate.

Splunk viene utilizzato per l'analisi dei dati macchina perché:

  • Offre approfondimenti aziendali: Splunk comprende i modelli nascosti nei dati e li trasforma in approfondimenti aziendali in tempo reale che possono essere utilizzati per prendere decisioni aziendali informate.
  • Fornisce visibilità operativa: Splunk sfrutta i dati della macchina per ottenere visibilità end-to-end sulle operazioni aziendali e quindi suddividerla in tutta l'infrastruttura.
  • Facilita il monitoraggio proattivo: Splunk utilizza i dati della macchina per monitorare i sistemi in tempo reale per identificare problemi e vulnerabilità del sistema (violazioni e attacchi esterni/interni).

2. Denominare i numeri di porta comuni utilizzati da Splunk.

I numeri di porta comuni per Splunk sono:

  • Porta Web Splunk: 8000
  • Porta di gestione Splunk: 8089
  • Porta di rete Splunk: 514
  • Porta di replica dell'indice Splunk: 8080
  • Porta di indicizzazione Splunk: 9997
  • Negozio KV: 8191

3. Denominare i componenti dell'architettura Splunk.

L'architettura Splunk è composta dai seguenti componenti:

  • Testa di ricerca – Fornisce la GUI per la ricerca
  • Indexer – Indicizza i dati macchina
  • Forwarder: inoltra i registri all'indicizzatore

Server di distribuzione: gestisce i componenti Splunk in un ambiente distribuito e distribuisce le app di configurazione.

4. Quali sono i diversi tipi di dashboard Splunk?

Esistono tre diversi tipi di dashboard Splunk:

  • Dashboard in tempo reale
  • Dashboard dinamici basati su moduli
  • Dashboard per i rapporti programmati

5. Assegna un nome ai tipi di modalità di ricerca supportati in Splunk.

Splunk supporta tre tipi di dashboard, vale a dire:

  • Modalità veloce
  • Modalità intelligente
  • Modalità dettagliata

6. Assegna un nome ai diversi tipi di spedizionieri Splunk.

Esistono due tipi di spedizionieri Splunk:

  • Universal Forwarder (UF) – È un agente Splunk leggero installato su un sistema non Splunk per raccogliere dati localmente. UF non può analizzare o indicizzare i dati.
  • Heavyweight Forwarder (HWF) – È un agente Splunk dei pesi massimi con funzionalità avanzate, comprese capacità di analisi e indicizzazione. Viene utilizzato per filtrare i dati.

7. Quali sono i vantaggi di inserire dati in un'istanza Splunk tramite Splunk Forwarder?

Se inserisci i dati in un'istanza Splunk tramite Splunk Forwarder, puoi ottenere tre vantaggi significativi: connessione TCP, limitazione della larghezza di banda e una connessione SSL crittografata per trasferire i dati da un Forwarder a un Indexer. L'architettura di Splunk è tale che i dati inoltrati all'indicizzatore sono bilanciati per impostazione predefinita.

Quindi, anche se un indicizzatore si interrompe per qualche motivo, i dati possono reindirizzarsi rapidamente tramite un'altra istanza di indicizzatore. Inoltre, Splunk Forwarder memorizza nella cache gli eventi in locale prima di inoltrarli, creando così un backup temporaneo dei dati.

8. Che cos'è l'"Indice di riepilogo" in Splunk?

In Splunk, l'indice di riepilogo si riferisce all'indice Splunk predefinito che memorizza i dati risultanti da ricerche pianificate nel tempo. In sostanza, è l'indice che Splunk Enterprise utilizza se un utente non ne specifica o ne indica un altro.

Il vantaggio più significativo dell'indice di riepilogo è che ti consente di conservare le analisi e i rapporti anche dopo che i tuoi dati sono invecchiati.

9. Qual è lo scopo di Splunk DB Connect?

Splunk DB Connect è un plug-in di database SQL generico progettato per Splunk. Consente agli utenti di integrare le informazioni del database con query e report Splunk senza problemi.

10. Qual è la funzione di Splunk Indexer?

Come suggerisce il nome, Splunk Indexer crea e gestisce gli indici. Ha due funzioni principali: indicizzare i dati grezzi in un indice e cercare e gestire i dati indicizzati.

11. Nomina alcuni importanti comandi di ricerca Splunk.

Alcuni dei comandi di ricerca importanti in Splunk sono:

  • Astratto
  • Erex
  • Somma somma
  • Accum
  • Riempimento
  • Dattilografo
  • Rinominare
  • Anomalie

Leggi anche: Splunk v Elk: quale scegliere?

12. Quali sono alcuni dei file di configurazione più importanti in Splunk?

I file di configurazione più importanti in Splunk sono:

  • props.conf
  • index.conf
  • input.conf
  • trasforma.conf
  • server.conf

13. Qual è l'importanza della licenza Master in Splunk? Cosa succede se la Licenza Master è irraggiungibile?

In Splunk, il License Master garantisce che la giusta quantità di dati venga indicizzata. Poiché la licenza Splunk si basa sul volume di dati che raggiunge la piattaforma in una finestra di 24 ore, il License Master garantisce che l'ambiente Splunk rimanga entro i limiti del volume acquistato.

Se mai il License Master è irraggiungibile, un utente non può ricercare i dati. Tuttavia, ciò non influirà sul flusso di dati nell'indicizzatore: i dati continueranno a fluire nella distribuzione Splunk e gli indicizzatori indicizzeranno i dati. Ma la parte superiore dell'intestazione di ricerca visualizzerà un messaggio di avviso che l'utente ha superato il volume di indicizzazione. In questo caso, devono ridurre la quantità di dati in entrata o acquistare capacità aggiuntiva della licenza Splunk.

14. Spiegare "violazione della licenza" nella prospettiva Splunk.

Ogni volta che superi il limite di dati, l'errore "violazione della licenza" verrà visualizzato sulla dashboard. Questo avviso rimarrà per 14 giorni. Per una licenza Splunk commerciale, gli utenti possono avere cinque avvisi in una finestra di 30 giorni prima della quale i risultati di ricerca e i rapporti dell'indicizzatore non si attiveranno. Tuttavia, per la versione gratuita, gli utenti ricevono solo tre avvisi.

15. Qual è l'espressione generale per estrarre l'indirizzo IP dai log?

Sebbene tu possa estrarre l'indirizzo IP dai registri in molti modi, l'espressione regolare per esso sarebbe:

rex campo=_raw “(?<indirizzo_ip>\d+\.\d+\.\d+\.\d+)”

O

rex field=_raw “(?<indirizzo_ip>([0-9]{1,3}[\.]){3}[0-9]{1,3})”

16. Come puoi risolvere i problemi di prestazioni di Splunk?

Per risolvere i problemi di prestazioni di Splunk, attenersi alla seguente procedura:

  • Controllare splunkd.log per trovare eventuali errori
  • Controllare i problemi di prestazioni del server (utilizzo della CPU/memoria, i/o del disco, ecc.)
  • Controllare il numero di ricerche salvate attualmente in esecuzione e anche il loro consumo di risorse di sistema.
  • Installa l'app SOS (Splunk on Splunk) e verifica se la dashboard visualizza avvisi o errori.
  • Installa Firebug (un'estensione per Firefox) e abilitalo nel tuo sistema. Dopodiché, devi accedere a Splunk usando Firefox, aprire i pannelli di Firebug e andare al pannello "Rete" per abilitarlo). Il pannello Rete mostra le richieste e le risposte HTTP, insieme al tempo trascorso in ciascuna. Ciò ti consentirà di vedere quali richieste stanno rallentando Splunk e influiscono sulle prestazioni complessive.

17. Cosa sono i Bucket? Spiega il ciclo di vita del secchio Splunk.

I bucket sono directory che memorizzano i dati indicizzati in Splunk. Quindi, è una directory fisica che racconta gli eventi di un periodo specifico. Un secchio subisce diverse fasi di trasformazione nel tempo. Loro sono:

  • Hot: un hot bucket comprende i dati appena indicizzati e, quindi, è aperto per la scrittura e le nuove aggiunte. Un indice può avere uno o più hot bucket.
  • Caldo: un bucket caldo contiene i dati che vengono distribuiti da un bucket caldo.
  • Freddo: un bucket freddo contiene dati che vengono implementati da un bucket caldo.
  • Frozen: un bucket congelato contiene i dati distribuiti da un bucket freddo. Splunk Indexer elimina i dati bloccati per impostazione predefinita. Tuttavia, c'è un'opzione per archiviarlo. Una cosa importante da ricordare qui è che i dati congelati non sono ricercabili.

18. A cosa serve la proprietà Time Zone in Splunk?

In Splunk, il fuso orario è fondamentale per la ricerca di eventi dal punto di vista della sicurezza o della frode. Splunk imposta il fuso orario predefinito per te dalle impostazioni del tuo browser. Il browser rileva inoltre il fuso orario corrente dalla macchina in uso. Quindi, se cerchi un evento con il fuso orario sbagliato, non troverai nulla di rilevante per quella ricerca.

Il fuso orario diventa estremamente importante quando si cercano e si correlano i dati che arrivano da diverse e multiple fonti .

19. Definisci il tipo di origine in Splunk.

In Splunk, Sourcetype fa riferimento al campo predefinito utilizzato per identificare la struttura dei dati di un evento in arrivo. Sourcetype deve essere impostato a livello di forwarder per l'estrazione dell'indicizzatore per aiutare a identificare diversi formati di dati. Determina come Splunk Enterprise formatta i dati durante il processo di indicizzazione. Stando così le cose, devi assicurarti di assegnare il Sourcetype corretto ai tuoi dati. Per rendere la ricerca dei dati ancora più semplice, dovresti fornire timestamp accurati e interruzioni di evento ai dati indicizzati (i dati dell'evento).

20. Spiega la differenza tra i comandi Stats ed Eventstats.

In Splunk, il comando Statistiche viene utilizzato per generare le statistiche di riepilogo di tutti i campi esistenti nei risultati della ricerca e salvarli come valori nei campi appena creati. Sebbene il comando Eventstats sia abbastanza simile al comando Stats, aggiunge i risultati dell'aggregazione in linea a ciascun evento (se solo l'aggregazione è pertinente a quel particolare evento). Quindi, mentre entrambi i comandi calcolano le statistiche richieste, il comando Eventstats aggrega le statistiche nei dati grezzi originali.

21. Distinguere tra Splunk App e Add-on.

Le app Splunk si riferiscono alla raccolta completa di report, dashboard, avvisi, estrazioni di campi e ricerche. Tuttavia, i componenti aggiuntivi Splunk contengono solo configurazioni integrate, non hanno dashboard o report.

22. Qual è il comando per interrompere e avviare il servizio Splunk?

Il comando per avviare il servizio Splunk è: ./splunk start

Il comando per interrompere il servizio Splunk è: ./splunk stop

23. Come puoi cancellare la cronologia delle ricerche di Splunk?

Per cancellare la cronologia delle ricerche di Splunk, è necessario eliminare il seguente file dal server Splunk:

$splunk_home/var/log/splunk/searches.log

24. Che cos'è Btool in Splunk?

Btool in Splunk è uno strumento da riga di comando utilizzato per la risoluzione dei problemi relativi ai file di configurazione. Aiuta anche a verificare quali valori vengono utilizzati dall'installazione di Splunk Enterprise di un utente nell'ambiente esistente.

25. Qual è la necessità di Splunk Alert? Specifica il tipo di opzioni che ottieni durante l'impostazione degli Avvisi Splunk.

Gli avvisi Splunk aiutano a notificare agli utenti qualsiasi condizione errata nei loro sistemi. Ad esempio, un utente può impostare avvisi per l'invio di notifiche e-mail all'amministratore nel caso in cui si verifichino più di tre tentativi di accesso non riusciti entro 24 ore.

Le diverse opzioni che ottieni durante la configurazione degli avvisi includono:

  • Puoi creare un webhook. Ciò ti consentirà di scrivere su HipChat o GitHub: puoi scrivere un'e-mail a un gruppo di macchine contenente l'oggetto, le priorità e il corpo dell'e-mail.
  • Puoi aggiungere risultati in formato CSV o pdf o in linea con il corpo del messaggio per aiutare il destinatario a comprendere la posizione e le condizioni dell'avviso che è stato attivato e quali azioni sono state intraprese per lo stesso.
  • È possibile creare ticket e avvisi di accelerazione in base a condizioni specifiche come il nome della macchina o l'indirizzo IP. Questi avvisi possono essere controllati dalla finestra di avviso.

26. Che cos'è un Fishbucket e qual è l'indice per esso?

Fishbucket è una directory di indice che si trova nella posizione predefinita, ovvero:

/opt/splunk/var/lib/splunk

Fishbucket include puntatori di ricerca e CRC per i file indicizzati. Per accedere a Fishbucket, puoi utilizzare la GUI per la ricerca:

index=_il secchio di pesce

27. Come sapere quando Splunk ha completato l'indicizzazione di un file di registro?

Puoi capire se Splunk ha completato o meno l'indicizzazione di un file di registro in due modi:

  1. Monitorando i dati dalle metriche di Splunk, accedi in tempo reale:

index=”_internal” source=”*metrics.log” group=”per_sourcetype_thruput” ​​series=”&lt;your_sourcetype_here&gt;” |

eval MB=kb/1024 | somma del grafico (MB)

  1. Monitorando tutte le metriche suddivise per tipo di origine:

index=”_internal” source=”*metrics.log” group=”per_sourcetype_thruput” ​​| eval MB=kb/1024 | chart sum(MB) avg(eps) su serie

28. Che cos'è l'elenco di spedizione?

La Directory di spedizione include una directory per le singole ricerche in esecuzione o completate. La configurazione per la Directory di spedizione è la seguente:

$SPLUNK_HOME/var/esegui/splunk/spedizione

Supponiamo che esista una directory denominata 1434308943.358. Questa directory conterrà un file CSV di tutti i risultati della ricerca, un search.log contenente i dettagli sull'esecuzione della ricerca e altre informazioni rilevanti. Utilizzando la configurazione predefinita, è possibile eliminare questa directory entro 10 minuti dal completamento della ricerca. Se salvi i risultati della ricerca, questi verranno eliminati dopo sette giorni.

29. Come è possibile aggiungere a Splunk i registri di accesso alle cartelle da un computer Windows?

Per aggiungere a Splunk i registri di accesso alle cartelle da un computer Windows, è necessario seguire i passaggi elencati di seguito:

  • Vai a Criteri di gruppo e abilita il controllo dell'accesso agli oggetti sul computer Windows in cui si trova la cartella.
  • Ora devi abilitare il controllo sulla cartella specifica per cui vuoi monitorare i log di accesso.
  • Installa Splunk Universal Forwarder sulla macchina Windows.
  • Configurare Universal Forwarder per inviare i registri di sicurezza a Splunk Indexer.

30. In che modo Splunk evita l'indicizzazione duplicata dei log?

Splunk Indexer tiene traccia di tutti gli eventi indicizzati in una directory: la directory Fishbucket che contiene puntatori di ricerca e CRC per tutti i file attualmente indicizzati. Quindi, se c'è qualche puntatore di ricerca o CRC che è già stato letto, splunkd lo indicherà.

31. Qual è la precedenza dei file di configurazione in Splunk?

La precedenza dei file di configurazione in Splunk è la seguente:

  • Directory locale di sistema (priorità massima)
  • Directory locali dell'app
  • Directory predefinite dell'app
  • Directory predefinita di sistema (priorità più bassa)

32. Definisci "Fattore di ricerca" e "Fattore di replica".

Sia Search Factor (SF) che Replication Factor (RF) sono terminologie di raggruppamento in Splunk. Mentre SF (con un valore predefinito di 2) determina il numero di copie ricercabili dei dati mantenute dal cluster indicizzatore, RF rappresenta il numero di copie di dati mantenute dal cluster indicizzatore. Una cosa importante da ricordare è che SF deve essere sempre minore o uguale al fattore di replicazione. Inoltre, il cluster Search Head ha solo un Search Factor, mentre un cluster Indexer ha sia SF che RF.

33. Perché viene utilizzato il comando di Distinguere tra i comandi In Splunk, i comandi di ricerca vengono utilizzati quando si desidera ricevere campi specifici da un file esterno (ad esempio uno script basato su Python o un file CSV) per ottenere il valore di un evento. Aiuta a restringere i risultati della ricerca facendo riferimento ai campi in un file CSV esterno che corrisponde ai campi nei dati dell'evento.

Il comando inputlookup viene utilizzato quando si desidera acquisire un input. Ad esempio, il comando può prendere il prezzo del prodotto o il nome del prodotto come input e quindi abbinarlo a un campo interno come un ID prodotto. Al contrario, il comando outputlookup viene utilizzato per produrre un output da un elenco di campi esistente.

34. Distinguere tra Splunk SDK e Splunk Framework.

Gli SDK Splunk sono progettati principalmente per aiutare gli utenti a sviluppare applicazioni da zero. Non richiedono Splunk Web o qualsiasi altro componente di Splunk App Framework per funzionare. Gli SDK Splunk sono concessi in licenza separatamente da Splunk. Al contrario, Splunk App Framework si trova all'interno del server Web Splunk. Consente agli utenti di personalizzare l'interfaccia utente Web Splunk che accompagna il prodotto. Sebbene ti permetta di sviluppare app Splunk, devi farlo utilizzando Splunk Web Server.

Impara i corsi di sviluppo software online dalle migliori università del mondo. Guadagna programmi Executive PG, programmi di certificazione avanzati o programmi di master per accelerare la tua carriera.

Conclusione

Ci auguriamo che queste domande sull'intervista Splunk ti aiutino a entrare nel flusso e prepararti per la tua intervista Splunk!

Se sei curioso di saperne di più su splunk e altri strumenti DevOps, dai un'occhiata al programma Executive PG di IIIT-B e upGrad nel programma di sviluppo software Full Stack.

Prepararsi per una carriera del futuro

Richiedi ora il programma Executive PG in Full Stack Development