초보자 및 숙련자를 위한 상위 34개의 Splunk 인터뷰 질문 및 답변 [2022]

게시 됨: 2021-01-07

Splunk는 IT 운영 분야에서 최고의 부하 관리 및 분석 솔루션 중 하나입니다. 이 도구는 시장에서 항상 수요가 높은 최고의 devop 도구 중 하나이며 Splunk 전문가도 마찬가지입니다. 그리고 splunk에 대한 지식은 devops 엔지니어가 되기 위한 중요한 요구 사항 중 하나입니다. 당연히 IT 부문의 Splunk 작업은 경쟁이 매우 치열하고 도전적입니다. 따라서 Splunk에서 틈새 일자리를 얻으려면 Splunk 인터뷰에 응할 준비가 되어 있어야 합니다.

걱정하지 마세요. Splunk 지식을 연마하는 데 도움이 될 뿐만 아니라 관심을 갖고 있는 직업을 찾는 데 도움이 될 Splunk의 주요 인터뷰 질문 이 포함된 자세한 게시물을 만들었습니다!

학습자는 평균 58%의 급여 인상을 받으며 최고는 최대 400%입니다.

더 이상 고민하지 않고 상위 33개의 Splunk 인터뷰 질문에 대해 알아보겠습니다!

Splunk 인터뷰 인기 질문 및 답변

1. Splunk 정의

Splunk는 사용자가 기계 생성 데이터(하드웨어 장치, 네트워크, 서버, IoT 장치 등)를 분석할 수 있는 소프트웨어 플랫폼입니다. Splunk는 엔터프라이즈 데이터를 검색, 시각화, 모니터링 및 보고하는 데 널리 사용됩니다. 머신 데이터를 처리 및 분석하고 정확한 시각화를 통해 데이터에 대한 실시간 인사이트를 제공하여 강력한 운영 인텔리전스로 변환합니다.

Splunk는 다음과 같은 이유로 머신 데이터 분석에 사용됩니다.

  • 비즈니스 통찰력을 제공합니다. Splunk는 데이터에 숨겨진 패턴을 이해하고 정보에 입각한 비즈니스 결정을 내리는 데 사용할 수 있는 실시간 비즈니스 통찰력으로 전환합니다.
  • 운영 가시성 제공 – Splunk는 머신 데이터를 활용하여 회사 운영에 대한 종단 간 가시성을 얻은 다음 이를 인프라 전반에 걸쳐 세분화합니다.
  • 사전 예방적 모니터링 용이 – Splunk는 머신 데이터를 사용하여 실시간으로 시스템을 모니터링하여 시스템 문제와 취약성(외부/내부 침해 및 공격)을 식별합니다.

2. Splunk에서 사용하는 공통 포트 번호의 이름을 지정합니다.

Splunk의 공통 포트 번호는 다음과 같습니다.

  • Splunk 웹 포트: 8000
  • Splunk 관리 포트: 8089
  • Splunk 네트워크 포트: 514
  • Splunk 인덱스 복제 포트: 8080
  • Splunk 인덱싱 포트: 9997
  • KV 매장: 8191

3. Splunk 아키텍처의 구성 요소 이름을 지정합니다.

Splunk 아키텍처는 다음 구성 요소로 구성됩니다.

  • Search Head – 검색을 위한 GUI 제공
  • 인덱서 - 머신 데이터를 인덱싱합니다.
  • 전달자 – 로그를 인덱서에 전달합니다.

배포 서버 – 분산 환경에서 Splunk 구성 요소를 관리하고 구성 앱을 배포합니다.

4. Splunk 대시보드에는 어떤 유형이 있습니까?

Splunk 대시보드에는 세 가지 종류가 있습니다.

  • 실시간 대시보드
  • 동적 양식 기반 대시보드
  • 예약된 보고서용 대시보드

5. Splunk에서 지원하는 검색 모드 유형의 이름을 지정합니다.

Splunk는 다음과 같은 세 가지 유형의 대시보드를 지원합니다.

  • 빠른 모드
  • 스마트 모드
  • 상세 모드

6. 다양한 Splunk Forwarder의 이름을 지정합니다.

Splunk Forwarder에는 두 가지 유형이 있습니다.

  • UF(Universal Forwarder) – 로컬에서 데이터를 수집하기 위해 비 Splunk 시스템에 설치된 경량 Splunk 에이전트입니다. UF는 데이터를 구문 분석하거나 인덱싱할 수 없습니다.
  • Heavyweight Forwarder(HWF) – 구문 분석 및 인덱싱 기능을 포함한 고급 기능을 갖춘 Heavyweight Splunk 에이전트입니다. 데이터 필터링에 사용됩니다.

7. Splunk Forwarder를 통해 Splunk 인스턴스에 데이터를 공급하면 어떤 이점이 있습니까?

Splunk Forwarder를 통해 Splunk 인스턴스에 데이터를 공급하면 TCP 연결, 대역폭 조절 및 Forwarder에서 인덱서로 데이터를 전송하기 위한 암호화된 SSL 연결이라는 세 가지 중요한 이점을 얻을 수 있습니다. Splunk의 아키텍처는 인덱서로 전달되는 데이터가 기본적으로 로드 밸런싱되도록 되어 있습니다.

따라서 어떤 이유로 하나의 인덱서가 다운되더라도 데이터는 다른 인덱서 인스턴스를 통해 신속하게 자체 경로를 변경할 수 있습니다. 또한 Splunk Forwarder는 이벤트를 전달하기 전에 로컬로 캐시하여 데이터의 임시 백업을 생성합니다.

8. Splunk에서 "요약 인덱스"란 무엇입니까?

Splunk에서 요약 인덱스는 시간 경과에 따른 예약된 검색 결과를 저장하는 기본 Splunk 인덱스를 나타냅니다. 기본적으로 사용자가 다른 인덱스를 지정하거나 지정하지 않은 경우 Splunk Enterprise에서 사용하는 인덱스입니다.

요약 색인의 가장 중요한 이점은 데이터가 오래된 후에도 분석 및 보고서를 유지할 수 있다는 것입니다.

9. Splunk DB Connect의 목적은 무엇입니까?

Splunk DB Connect는 Splunk용으로 설계된 일반 SQL 데이터베이스 플러그인입니다. 이를 통해 사용자는 데이터베이스 정보를 Splunk 쿼리 및 보고서와 원활하게 통합할 수 있습니다.

10. Splunk 인덱서의 기능은 무엇입니까?

이름에서 알 수 있듯이 Splunk 인덱서는 인덱스를 생성하고 관리합니다. 원시 데이터를 인덱스로 인덱싱하고 인덱싱된 데이터를 검색 및 관리하는 두 가지 핵심 기능이 있습니다.

11. 몇 가지 중요한 Splunk 검색 명령의 이름을 지정하십시오.

Splunk의 몇 가지 중요한 검색 명령은 다음과 같습니다.

  • 추상적 인
  • 에렉스
  • 합계
  • 축적
  • 필다운
  • 타자기
  • 이름 바꾸기
  • 이상

읽어보기: Splunk와 Elk: 어느 것을 선택해야 하나요?

12. Splunk에서 가장 중요한 구성 파일은 무엇입니까?

Splunk에서 가장 중요한 구성 파일은 다음과 같습니다.

  • 소품.conf
  • indexes.conf
  • 입력.conf
  • 변환.conf
  • 서버.conf

13. Splunk에서 라이선스 마스터의 중요성은 무엇입니까? 라이선스 마스터에 연결할 수 없으면 어떻게 됩니까?

Splunk에서 라이선스 마스터는 적절한 양의 데이터가 인덱싱되도록 합니다. Splunk 라이선스는 24시간 이내에 플랫폼에 도달하는 데이터 볼륨을 기반으로 하므로 라이선스 마스터는 Splunk 환경이 구매한 볼륨의 제약 조건 내에서 유지되도록 합니다.

License Master에 연결할 수 없는 경우 사용자는 데이터를 검색할 수 없습니다. 그러나 이는 인덱서로 흐르는 데이터에는 영향을 미치지 않습니다. 데이터는 Splunk 배포에서 계속 흐르고 인덱서는 데이터를 인덱싱합니다. 그러나 검색 헤드의 상단에는 사용자가 인덱싱 볼륨을 초과했다는 경고 메시지가 표시됩니다. 이 경우 유입되는 데이터의 양을 줄이거 나 Splunk 라이선스의 추가 용량을 구매해야 합니다.

14. Splunk 관점에서 '라이선스 위반'을 설명합니다.

데이터 제한을 초과할 때마다 대시보드에 '라이선스 위반' 오류가 표시됩니다. 이 경고는 14일 동안 유지됩니다. 상용 Splunk 라이선스의 경우 사용자는 인덱서의 검색 결과 및 보고서가 실행되지 않는 30일 기간 동안 5번의 경고를 받을 수 있습니다. 그러나 무료 버전의 경우 사용자는 세 번의 경고만 받습니다.

15. 로그에서 IP 주소를 추출하는 일반적인 표현은 무엇입니까?

여러 가지 방법으로 로그에서 IP 주소를 추출할 수 있지만 정규 확장은 다음과 같습니다.

rex 필드=_raw "(?<ip_address>\d+\.\d+\.\d+\.\d+)"

또는

rex 필드=_raw "(?<ip_address>([0-9]{1,3}[\.]){3}[0-9]{1,3})"

16. Splunk 성능 문제를 어떻게 해결할 수 있습니까?

Splunk 성능 문제를 해결하려면 다음 단계를 수행하십시오.

  • splunkd.log를 확인하여 오류를 찾습니다.
  • 서버 성능 문제(CPU/메모리 사용량, 디스크 I/O 등) 확인
  • 현재 실행 중인 저장된 검색의 수와 시스템 리소스 소비를 확인합니다.
  • SOS(Splunk의 Splunk) 앱을 설치하고 대시보드에 경고 또는 오류가 표시되는지 확인합니다.
  • Firebug(Firefox 확장 프로그램)를 설치하고 시스템에서 활성화하십시오. 그런 다음 Firefox를 사용하여 Splunk에 로그인하고 Firebug의 패널을 열고 'Net' 패널로 이동하여 활성화해야 합니다. Net 패널에는 HTTP 요청 및 응답이 각각에 소요된 시간과 함께 표시됩니다. 이를 통해 Splunk를 느리게 하고 전체 성능에 영향을 미치는 요청을 확인할 수 있습니다.

17. 버킷이란 무엇입니까? Splunk 버킷 수명 주기를 설명합니다.

버킷은 Splunk에서 인덱싱된 데이터를 저장하는 디렉터리입니다. 따라서 특정 기간의 이벤트를 기록하는 물리적 디렉토리입니다. 버킷은 시간이 지남에 따라 여러 단계의 변형을 거칩니다. 그들은:

  • 핫 – 핫 버킷은 새로 인덱싱된 데이터로 구성되므로 쓰기 및 추가를 위해 열려 있습니다. 인덱스에는 하나 이상의 hot 버킷이 있을 수 있습니다.
  • Warm – warm 버킷에는 hot 버킷에서 롤아웃된 데이터가 포함됩니다.
  • Cold – Cold 버킷에는 warm 버킷에서 롤아웃된 데이터가 있습니다.
  • 고정 – 고정 버킷에는 콜드 버킷에서 롤아웃된 데이터가 포함됩니다. Splunk 인덱서는 기본적으로 고정된 데이터를 삭제합니다. 그러나 보관할 수 있는 옵션이 있습니다. 여기서 기억해야 할 중요한 점은 고정된 데이터는 검색할 수 없다는 것입니다.

18. Splunk에서 Time Zone 속성은 어떤 용도로 사용됩니까?

Splunk에서 시간대는 보안 또는 사기 관점에서 이벤트를 검색하는 데 중요합니다. Splunk는 브라우저 설정에서 기본 시간대를 설정합니다. 브라우저는 사용 중인 컴퓨터에서 현재 시간대를 추가로 선택합니다. 따라서 시간대가 잘못된 이벤트를 검색하면 해당 검색과 관련된 항목을 찾을 수 없습니다.

시간대는 서로 다른 여러 소스에서 쏟아지는 데이터를 검색하고 상호 연관시킬 때 매우 중요합니다 .

19. Splunk에서 소스 유형을 정의합니다.

Splunk에서 Sourcetype은 들어오는 이벤트의 데이터 구조를 식별하는 데 사용되는 기본 필드를 나타냅니다. 다양한 데이터 형식을 식별하는 데 도움이 되도록 인덱서 추출에 대한 전달자 수준에서 Sourcetype을 설정해야 합니다. Splunk Enterprise가 인덱싱 프로세스 중에 데이터 형식을 지정하는 방법을 결정합니다. 이 경우 데이터에 올바른 Sourcetype을 할당해야 합니다. 데이터 검색을 더욱 쉽게 하려면 인덱싱된 데이터(이벤트 데이터)에 정확한 타임스탬프 및 이벤트 중단을 제공해야 합니다.

20. Stats 명령과 Eventstats 명령의 차이점을 설명하십시오.

Splunk에서 Stats 명령은 검색 결과의 모든 기존 필드에 대한 요약 통계를 생성하고 새로 생성된 필드에 값으로 저장하는 데 사용됩니다. Eventstats 명령은 Stats 명령과 매우 유사하지만 집계 결과를 각 이벤트에 인라인으로 추가합니다(집계만 해당 특정 이벤트와 관련된 경우). 따라서 두 명령 모두 요청된 통계를 계산하는 동안 Eventstats 명령은 통계를 원래 원시 데이터로 집계합니다.

21. Splunk 앱과 애드온을 구분합니다.

Splunk 앱은 보고서, 대시보드, 경고, 필드 추출 및 조회의 전체 모음을 나타냅니다. 그러나 Splunk 추가 기능에는 기본 제공 구성만 포함되어 있으며 대시보드나 보고서가 없습니다.

22. Splunk 서비스를 중지하고 시작하는 명령은 무엇입니까?

Splunk 서비스를 시작하는 명령은 ./splunk start입니다.

Splunk 서비스를 중지하는 명령은 ./splunk stop입니다.

23. Splunk 검색 기록을 지우려면 어떻게 해야 합니까?

Splunk 검색 기록을 지우려면 Splunk 서버에서 다음 파일을 삭제해야 합니다.

$splunk_home/var/log/splunk/searches.log

24. Splunk에서 Btool이란 무엇입니까?

Splunk의 Btool은 구성 파일 문제를 해결하는 데 사용되는 명령줄 도구입니다. 또한 기존 환경에서 사용자의 Splunk Enterprise 설치에서 어떤 값을 사용하고 있는지 확인하는 데 도움이 됩니다.

25. Splunk Alert가 필요한 이유는 무엇입니까? Splunk 경고를 설정하는 동안 얻을 수 있는 옵션 유형을 지정합니다.

Splunk 경고는 시스템의 오류 상태를 사용자에게 알리는 데 도움이 됩니다. 예를 들어 사용자는 24시간 이내에 로그인 시도가 3회 이상 실패한 경우 관리자에게 이메일 알림을 보내도록 경고를 설정할 수 있습니다.

경고를 설정하는 동안 얻을 수 있는 다양한 옵션은 다음과 같습니다.

  • 웹훅을 생성할 수 있습니다. 이를 통해 HipChat 또는 GitHub에 글을 쓸 수 있습니다. 주제, 우선 순위 및 이메일 본문이 포함된 시스템 그룹에 이메일을 쓸 수 있습니다.
  • CSV 또는 pdf 형식으로 결과를 추가하거나 메시지 본문과 함께 인라인으로 결과를 추가하여 수신자가 트리거된 경고의 위치와 조건 및 이에 대해 취한 조치를 이해하는 데 도움을 줄 수 있습니다.
  • 시스템 이름 또는 IP 주소와 같은 특정 조건을 기반으로 티켓을 생성하고 경고를 조절할 수 있습니다. 이러한 경고는 경고 창에서 제어할 수 있습니다.

26. Fishbucket이란 무엇이며 인덱스는 무엇입니까?

Fishbucket은 다음과 같은 기본 위치에 있는 인덱스 디렉토리입니다.

/opt/splunk/var/lib/splunk

Fishbucket에는 인덱싱된 파일에 대한 탐색 포인터와 CRC가 포함되어 있습니다. Fishbucket에 액세스하려면 GUI를 사용하여 검색할 수 있습니다.

index=_thefishbucket

27. Splunk가 로그 파일 인덱싱을 완료한 시점을 어떻게 알 수 있습니까?

Splunk가 로그 파일 인덱싱을 완료 했는지 여부 는 다음 두 가지 방법으로 확인할 수 있습니다.

  1. Splunk 메트릭 로그의 데이터를 실시간으로 모니터링하여 다음을 수행합니다.

index=”_internal” source=”*metrics.log” group=”per_sourcetype_thruput” ​​series=”&lt;your_sourcetype_here&gt;” |

평가 MB=kb/1024 | 차트 합계(MB)

  1. 소스 유형별로 분할된 모든 측정항목을 모니터링하여 다음을 수행합니다.

index=”_internal” 소스=”*metrics.log” 그룹=”per_sourcetype_thruput” ​​| 평가 MB=kb/1024 | 차트 합계(MB) 평균(eps) 계열

28. 디스패치 디렉토리란 무엇입니까?

디스패치 디렉토리에는 실행 중이거나 완료된 개별 검색에 대한 디렉토리가 포함됩니다. Dispatch Directory의 구성은 다음과 같습니다.

$SPLUNK_HOME/var/run/splunk/dispatch

1434308943.358이라는 디렉토리가 있다고 가정해 보겠습니다. 이 디렉토리에는 모든 검색 결과의 CSV 파일, 검색 실행에 대한 세부 정보가 포함된 search.log 및 기타 관련 정보가 포함됩니다. 기본 구성을 사용하면 검색이 완료된 후 10분 이내에 이 디렉터리를 삭제할 수 있습니다. 검색 결과를 저장하면 7일 후에 삭제됩니다.

29. Windows 시스템에서 Splunk로 폴더 액세스 로그를 추가하려면 어떻게 해야 합니까?

Windows 시스템의 폴더 액세스 로그를 Splunk에 추가하려면 아래 나열된 단계를 따라야 합니다.

  • 그룹 정책으로 이동하여 폴더가 있는 Windows 시스템에서 개체 액세스 감사를 활성화합니다.
  • 이제 액세스 로그를 모니터링하려는 특정 폴더에 대한 감사를 활성화해야 합니다.
  • Windows 시스템에 Splunk Universal Forwarder를 설치합니다.
  • Splunk 인덱서에 보안 로그를 보내도록 유니버설 포워더를 구성합니다.

30. Splunk는 로그의 중복 인덱싱을 어떻게 방지합니까?

Splunk 인덱서는 현재 인덱싱 중인 모든 파일에 대한 탐색 포인터와 CRC가 포함된 Fishbuckets 디렉터리인 디렉터리의 모든 인덱싱된 이벤트를 추적합니다. 따라서 이미 읽은 탐색 포인터 또는 CRC가 있는 경우 splunkd는 이를 가리킵니다.

31. Splunk에서 구성 파일의 우선 순위는 무엇입니까?

Splunk에서 구성 파일의 우선 순위는 다음과 같습니다.

  • 시스템 로컬 디렉토리(가장 높은 우선순위)
  • 앱 로컬 디렉토리
  • 앱 기본 디렉토리
  • 시스템 기본 디렉터리(가장 낮은 우선 순위)

32. "검색 요소" 및 "복제 요소"를 정의합니다.

SF(검색 요소)와 RF(복제 요소)는 모두 Splunk의 클러스터링 용어입니다. SF(기본값 2)가 인덱서 클러스터에서 유지 관리하는 검색 가능한 데이터 복사본 수를 결정하는 반면 RF는 인덱서 클러스터에서 유지 관리하는 데이터 복사본 수를 나타냅니다. 기억해야 할 중요한 점은 SF는 항상 복제 인수보다 작거나 같아야 한다는 것입니다. 또한 검색 헤드 클러스터에는 검색 요소만 있는 반면 인덱서 클러스터에는 SF와 RF가 모두 있습니다.

33. inputlookup Splunk에서 조회 명령은 이벤트 값을 얻기 위해 외부 파일(예: Python 기반 스크립트 또는 CSV 파일)에서 특정 필드를 수신하려는 경우에 사용됩니다. 이벤트 데이터의 필드와 일치하는 외부 CSV 파일의 필드를 참조하여 검색 결과를 좁히는 데 도움이 됩니다.

inputlookup 명령은 입력을 받고 싶을 때 사용합니다. 예를 들어, 이 명령은 제품 가격이나 제품 이름을 입력으로 받아 제품 ID와 같은 내부 필드와 일치시킬 수 있습니다. 반대로 outputlookup 명령은 기존 필드 목록에서 출력을 생성하는 데 사용됩니다.

34. Splunk SDK와 Splunk Framework를 구별하십시오.

Splunk SDK는 기본적으로 사용자가 처음부터 애플리케이션을 개발할 수 있도록 설계되었습니다. Splunk Web 또는 Splunk App Framework의 다른 구성 요소가 작동하지 않아도 됩니다. Splunk SDK는 Splunk와 별도로 라이선스가 부여됩니다. 이와는 대조적으로 Splunk App Framework는 Splunk Web Server 내에 있습니다. 이를 통해 사용자는 제품과 함께 제공되는 Splunk Web UI를 사용자 지정할 수 있습니다. Splunk 앱을 개발할 수 있지만 Splunk Web Server를 사용해야 합니다.

세계 최고의 대학에서 온라인으로 소프트웨어 개발 과정을 배우십시오 . 이그 제 큐 티브 PG 프로그램, 고급 인증 프로그램 또는 석사 프로그램을 획득하여 경력을 빠르게 추적하십시오.

결론

Splunk 인터뷰 질문 이 Splunk 인터뷰의 흐름을 이해하고 Splunk 인터뷰를 준비하는 데 도움이 되기를 바랍니다!

splunk 및 기타 DevOps 도구에 대해 자세히 알아보려면 전체 스택 소프트웨어 개발 프로그램에서 IIIT-B 및 upGrad의 Executive PG 프로그램을 확인하십시오.

미래의 직업을 위한 준비

풀 스택 개발의 Executive PG 프로그램에 지금 지원하십시오