Top 34 pytania i odpowiedzi na wywiad Splunk dla początkujących i doświadczonych [2022]

Opublikowany: 2021-01-07

Splunk to jedno z najlepszych rozwiązań do zarządzania i analizy obciążenia w dziedzinie operacji IT. Narzędzie jest jednym z najlepszych narzędzi devops na rynku, na które zawsze jest duże zapotrzebowanie, podobnie jak eksperci Splunk. A znajomość splunk jest jednym z ważnych wymagań, aby zostać inżynierem Devops. Oczywiście, jeśli chodzi o pracę Splunk w sektorze IT, konkurencja jest dość trudna i wymagająca. Tak więc, jeśli chcesz zdobyć niszową pracę w Splunk, musisz być gotowy na rozmowę kwalifikacyjną Splunk.

Nie martw się, ponieważ stworzyliśmy szczegółowy post z najważniejszymi pytaniami do rozmowy kwalifikacyjnej Splunk , które nie tylko pomogą wyostrzyć twoją wiedzę o Splunk, ale także zdobędą pracę, której szukasz!

Uczący się otrzymują średnią podwyżkę wynagrodzenia o 58%, przy czym najwyższa wynosi do 400%.

Bez zbędnych ceregieli, przejdźmy do 33 najważniejszych pytań do wywiadów ze Splunk!

Najlepsze pytania i odpowiedzi na wywiad ze Splunk

1. Zdefiniuj Splunk

Splunk to platforma oprogramowania, która pozwala użytkownikom analizować dane generowane maszynowo (z urządzeń sprzętowych, sieci, serwerów, urządzeń IoT itp.). Splunk jest szeroko stosowany do wyszukiwania, wizualizacji, monitorowania i raportowania danych przedsiębiorstwa. Przetwarza i analizuje dane maszynowe oraz przekształca je w potężną inteligencję operacyjną, oferując wgląd w dane w czasie rzeczywistym za pomocą dokładnych wizualizacji.

Splunk służy do analizy danych maszynowych, ponieważ:

  • Oferuje wgląd w biznes — Splunk rozumie wzorce ukryte w danych i przekształca je w spostrzeżenia biznesowe w czasie rzeczywistym, które można wykorzystać do podejmowania świadomych decyzji biznesowych.
  • Zapewnia widoczność operacyjną — Splunk wykorzystuje dane maszynowe, aby uzyskać kompleksowy wgląd w operacje firmy, a następnie rozkłada je na całą infrastrukturę.
  • Ułatwia proaktywne monitorowanie – Splunk wykorzystuje dane maszynowe do monitorowania systemów w czasie rzeczywistym w celu identyfikacji problemów systemowych i luk w zabezpieczeniach (zewnętrzne/wewnętrzne naruszenia i ataki).

2. Nazwij wspólne numery portów używane przez Splunk.

Typowe numery portów dla Splunk to:

  • Port sieciowy Splunk: 8000
  • Port zarządzania Splunk: 8089
  • Port sieciowy Splunk: 514
  • Port replikacji indeksu Splunk: 8080
  • Port indeksowania Splunk: 9997
  • Sklep KV: 8191

3. Nazwij komponenty architektury Splunk.

Architektura Splunk składa się z następujących elementów:

  • Głowica wyszukiwania – zapewnia GUI do wyszukiwania
  • Indexer – indeksuje dane maszyny
  • Forwarder – przekazuje logi do indeksatora

Serwer wdrażania — zarządza komponentami Splunk w środowisku rozproszonym i dystrybuuje aplikacje konfiguracyjne.

4. Jakie są rodzaje pulpitów nawigacyjnych Splunk?

Istnieją trzy różne rodzaje pulpitów nawigacyjnych Splunk:

  • Pulpity nawigacyjne w czasie rzeczywistym
  • Dynamiczne kokpity oparte na formularzach
  • Pulpity nawigacyjne dla zaplanowanych raportów

5. Nazwij typy trybów wyszukiwania obsługiwanych w Splunk.

Splunk obsługuje trzy rodzaje dashboardów, a mianowicie:

  • Szybki tryb
  • Tryb inteligentny
  • Tryb szczegółowy

6. Wymień różne rodzaje spedytorów Splunk.

Istnieją dwa rodzaje spedytorów Splunk:

  • Universal Forwarder (UF) – Jest to lekki agent Splunk zainstalowany w systemie innym niż Splunk w celu lokalnego gromadzenia danych. UF nie może analizować ani indeksować danych.
  • Heavyweight Forwarder (HWF) – Jest to ciężki agent Splunk z zaawansowanymi funkcjami, w tym możliwościami parsowania i indeksowania. Służy do filtrowania danych.

7. Jakie są korzyści z wprowadzania danych do instancji Splunk za pośrednictwem Forwarderów Splunk?

Jeśli przekażesz dane do instancji Splunk za pośrednictwem Splunk Forwarders, możesz czerpać trzy znaczące korzyści – połączenie TCP, ograniczanie przepustowości i szyfrowane połączenie SSL w celu przesyłania danych z Forwarder do Indexer. Architektura Splunk jest taka, że ​​dane przesyłane do indeksatora są domyślnie równoważone.

Tak więc, nawet jeśli z jakiegoś powodu jeden indeksator ulegnie awarii, dane mogą szybko przekierować się przez inną instancję indeksatora. Co więcej, Splunk Forwarders buforują zdarzenia lokalnie przed przesłaniem ich, tworząc tymczasową kopię zapasową danych.

8. Co to jest „Indeks podsumowujący” w Splunk?

W Splunk indeks podsumowania odnosi się do domyślnego indeksu Splunk, który przechowuje dane wynikające z zaplanowanych wyszukiwań w czasie. Zasadniczo jest to indeks, którego używa Splunk Enterprise, jeśli użytkownik nie określi lub nie wskaże innego.

Najważniejszą zaletą indeksu podsumowującego jest to, że pozwala zachować analizy i raporty nawet po przestarzałych danych.

9. Jaki jest cel Splunk DB Connect?

Splunk DB Connect to ogólna wtyczka bazy danych SQL zaprojektowana dla Splunk. Umożliwia użytkownikom bezproblemową integrację informacji z bazy danych z zapytaniami i raportami Splunk.

10. Jaka jest funkcja Splunk Indexer?

Jak sama nazwa wskazuje, Splunk Indexer tworzy i zarządza indeksami. Ma dwie podstawowe funkcje – indeksowanie surowych danych do indeksu oraz wyszukiwanie i zarządzanie zindeksowanymi danymi.

11. Wymień kilka ważnych poleceń wyszukiwania Splunk.

Niektóre z ważnych poleceń wyszukiwania w Splunk to:

  • Abstrakcyjny
  • Erex
  • Sumy dod.
  • Akumulować
  • Wypełnij
  • Typ
  • Przemianować
  • Anomalie

Przeczytaj także: Splunk v Ełk: Który wybrać?

12. Jakie są niektóre z najważniejszych plików konfiguracyjnych w Splunk?

Najważniejsze pliki konfiguracyjne w Splunk to:

  • props.conf
  • indeksy.conf
  • inputy.conf
  • transforms.conf
  • serwer.conf

13. Jakie jest znaczenie Mistrza Licencji w Splunk? Co się stanie, jeśli Licencjobiorca jest nieosiągalny?

W Splunk, License Master zapewnia, że ​​odpowiednia ilość danych zostanie zindeksowana. Ponieważ licencja Splunk jest oparta na wolumenie danych, który dociera do platformy w ciągu 24 godzin, Mistrz licencji zapewnia, że ​​Twoje środowisko Splunk pozostaje w granicach zakupionego wolumenu.

Jeśli kiedykolwiek Master licencji jest nieosiągalny, użytkownik nie może przeszukiwać danych. Nie wpłynie to jednak na dane wpływające do indeksatora – dane będą nadal płynąć we wdrożeniu Splunk, a indeksatory będą je indeksować. Ale w górnej części głowicy wyszukiwania zostanie wyświetlony komunikat ostrzegawczy, że użytkownik przekroczył objętość indeksowania. W takim przypadku muszą albo zmniejszyć ilość napływających danych, albo wykupić dodatkową pojemność licencji Splunk.

14. Wyjaśnij „naruszenie licencji” z perspektywy Splunk.

Za każdym razem, gdy przekroczysz limit danych, na pulpicie pojawi się błąd „naruszenie licencji”. To ostrzeżenie pozostanie przez 14 dni. W przypadku komercyjnej licencji Splunk użytkownicy mogą otrzymać pięć ostrzeżeń w 30-dniowym oknie, przed którymi nie zostaną uruchomione wyniki wyszukiwania i raporty programu Indexer. Jednak w przypadku bezpłatnej wersji użytkownicy otrzymują tylko trzy ostrzeżenia.

15. Jakie jest ogólne wyrażenie do wyodrębniania adresu IP z dzienników?

Chociaż możesz wyodrębnić adres IP z dzienników na wiele sposobów, zwykłe wyrażenie to:

rex field=_raw „(?<adres_ip>\d+\.\d+\.\d+\.\d+)”

LUB

rex field=_raw „(?<adres_ip>([0-9]{1,3}[\.]){3}[0-9]{1,3})”

16. Jak możesz rozwiązać problemy z wydajnością Splunk?

Aby rozwiązać problemy z wydajnością Splunk, wykonaj następujące czynności:

  • Sprawdź splunkd.log, aby znaleźć jakiekolwiek błędy
  • Sprawdź problemy z wydajnością serwera (zużycie procesora/pamięci, we/wy dysku itp.)
  • Sprawdź liczbę zapisanych wyszukiwań, które są aktualnie uruchomione, a także zużycie zasobów systemowych.
  • Zainstaluj aplikację SOS (Splunk on Splunk) i sprawdź, czy pulpit nawigacyjny wyświetla jakiekolwiek ostrzeżenia lub błędy.
  • Zainstaluj Firebug (rozszerzenie Firefox) i włącz go w swoim systemie. Następnie musisz zalogować się do Splunk za pomocą Firefoksa, otworzyć panele Firebuga i przejść do panelu „Sieć”, aby go włączyć). Panel Net wyświetla żądania i odpowiedzi HTTP wraz z czasem spędzonym w każdym z nich. Pozwoli ci to zobaczyć, które żądania spowalniają Splunk i wpływają na ogólną wydajność.

17. Czym są wiadra? Wyjaśnij cykl życia łyżki Splunk.

Zasobniki to katalogi, które przechowują zindeksowane dane w Splunk. Jest to więc katalog fizyczny, który zawiera kronikę wydarzeń z określonego okresu. Wiadro z biegiem czasu przechodzi kilka etapów transformacji. Oni są:

  • Hot — Hot Bucket składa się z nowo zindeksowanych danych, a zatem jest otwarty do zapisu i nowych dodatków. Indeks może mieć jeden lub więcej gorących wiader.
  • Ciepły — ciepły kubeł zawiera dane wyprowadzane z gorącego kubełka.
  • Zimny ​​— zimny kubeł zawiera dane wyprowadzane z ciepłego kubełka.
  • Zamrożone — Zamrożone wiadro zawiera dane wyprowadzone z zimnego wiadra. Splunk Indexer domyślnie usuwa zamrożone dane. Istnieje jednak możliwość zarchiwizowania go. Ważną rzeczą do zapamiętania jest tutaj to, że zamrożonych danych nie można przeszukiwać.

18. Jakiemu celowi służy nieruchomość Strefa czasowa w Splunk?

W Splunk strefa czasowa ma kluczowe znaczenie dla wyszukiwania wydarzeń z punktu widzenia bezpieczeństwa lub oszustwa. Splunk ustawia dla Ciebie domyślną strefę czasową w ustawieniach przeglądarki. Przeglądarka dalej pobiera aktualną strefę czasową z używanego komputera. Tak więc, jeśli wyszukasz dowolne wydarzenie z niewłaściwą strefą czasową, nie znajdziesz niczego odpowiedniego dla tego wyszukiwania.

Strefa czasowa staje się niezwykle ważna, gdy przeszukujesz i korelujesz dane napływające z różnych i wielu źródeł .

19. Zdefiniuj typ źródła w Splunk.

W Splunk Sourcetype odnosi się do domyślnego pola, które służy do identyfikowania struktury danych przychodzącego zdarzenia. Sourcetype należy ustawić na poziomie usługi przesyłania dalej, aby wyodrębnić indeksator, aby ułatwić identyfikowanie różnych formatów danych. Określa, w jaki sposób Splunk Enterprise formatuje dane podczas procesu indeksowania. W takim przypadku musisz upewnić się, że przypiszesz poprawny typ źródła do swoich danych. Aby wyszukiwanie danych było jeszcze łatwiejsze, należy podać dokładne znaczniki czasu i podziały zdarzeń do indeksowanych danych (danych o zdarzeniach).

20. Wyjaśnij różnicę między poleceniami Stats i Eventstats.

W Splunk polecenie Stats służy do generowania statystyk podsumowujących wszystkie istniejące pola w wynikach wyszukiwania i zapisywania ich jako wartości w nowo utworzonych polach. Chociaż polecenie Eventstats jest dość podobne do polecenia Stats, dodaje wyniki agregacji w linii do każdego zdarzenia (jeśli tylko agregacja dotyczy tego konkretnego zdarzenia). Tak więc, podczas gdy oba polecenia obliczają żądane statystyki, polecenie Eventstats agreguje statystyki w oryginalne surowe dane.

21. Rozróżnij aplikację Splunk od dodatku.

Aplikacje Splunk odnoszą się do pełnego zbioru raportów, pulpitów nawigacyjnych, alertów, ekstrakcji pól i wyszukiwań. Jednak dodatki Splunk zawierają tylko wbudowane konfiguracje – nie mają pulpitów nawigacyjnych ani raportów.

22. Jakie jest polecenie zatrzymania i uruchomienia usługi Splunk?

Polecenie uruchomienia usługi Splunk to: ./splunk start

Polecenie zatrzymania usługi Splunk to: ./splunk stop

23. Jak wyczyścić historię wyszukiwania Splunk?

Aby wyczyścić historię wyszukiwania Splunk, musisz usunąć następujący plik z serwera Splunk:

$splunk_home/var/log/splunk/searches.log

24. Co to jest Btool w Splunk?

Btool w Splunk to narzędzie wiersza polecenia, które służy do rozwiązywania problemów z plikami konfiguracyjnymi. Pomaga również sprawdzić, jakie wartości są używane przez instalację użytkownika Splunk Enterprise w istniejącym środowisku.

25. Jaka jest potrzeba Splunk Alert? Określ typ opcji, które otrzymasz podczas konfigurowania alertów Splunk.

Alerty Splunk pomagają powiadamiać użytkowników o wszelkich błędnych warunkach w ich systemach. Na przykład użytkownik może skonfigurować Alerty, aby powiadomienia e-mail były wysyłane do administratora w przypadku więcej niż trzech nieudanych prób logowania w ciągu 24 godzin.

Różne opcje, które otrzymujesz podczas konfigurowania Alertów, obejmują:

  • Możesz stworzyć webhooka. Umożliwi to pisanie do HipChat lub GitHub – możesz napisać wiadomość e-mail do grupy komputerów zawierających temat, priorytety i treść wiadomości e-mail.
  • Możesz dodać wyniki w formatach CSV lub pdf albo w treści wiadomości, aby pomóc odbiorcy zrozumieć lokalizację i warunki alertu, który został wyzwolony oraz jakie działania zostały podjęte w związku z tym.
  • Możesz tworzyć bilety i alerty o dławieniu na podstawie określonych warunków, takich jak nazwa komputera lub adres IP. Te alerty można kontrolować z okna alertu.

26. Co to jest Fishbucket i jaki jest dla niego Indeks?

Fishbucket to katalog indeksu znajdujący się w domyślnej lokalizacji, czyli:

/opt/splunk/var/lib/splunk

Fishbucket zawiera wskaźniki wyszukiwania i CRC dla indeksowanych plików. Aby uzyskać dostęp do Fishbucket, możesz użyć GUI do wyszukiwania:

index=_wiadro ryb

27. Skąd wiedzieć, kiedy Splunk zakończył indeksowanie pliku dziennika?

Możesz dowiedzieć się, czy Splunk zakończył indeksowanie pliku dziennika na dwa sposoby:

  1. Monitorując dane z metryk Splunk, loguj się w czasie rzeczywistym:

index=”_internal” source=”*metrics.log” group=”per_sourcetype_thruput” ​​series=”&lt;your_sourcetype_tutaj&gt;” |

ewaluacja MB=kb/1024 | suma wykresu (MB)

  1. Monitorując wszystkie metryki podzielone według typu źródła:

index=”_internal” source=”*metrics.log” group=”per_sourcetype_thruput” ​​| ewaluacja MB=kb/1024 | suma wykresu (MB) avg (eps) w serii

28. Co to jest katalog wysyłkowy?

Katalog Dispatch Directory zawiera katalog dla pojedynczych wyszukiwań, które są uruchomione lub zostały zakończone. Konfiguracja katalogu Dispatch Directory jest następująca:

$SPLUNK_HOME/var/run/splunk/dispatch

Załóżmy, że istnieje katalog o nazwie 1434308943.358. Ten katalog będzie zawierał plik CSV ze wszystkimi wynikami wyszukiwania, search.log zawierający szczegóły wykonania wyszukiwania oraz inne istotne informacje. Korzystając z konfiguracji domyślnej, możesz usunąć ten katalog w ciągu 10 minut po zakończeniu wyszukiwania. Jeśli zapiszesz wyniki wyszukiwania, zostaną one usunięte po siedmiu dniach.

29. Jak dodać logi dostępu do folderów z komputera z systemem Windows do Splunk?

Aby dodać logi dostępu do folderów z komputerów z systemem Windows do Splunk, musisz wykonać następujące czynności:

  • Przejdź do zasad grupy i włącz Audyt dostępu do obiektów na komputerze z systemem Windows, na którym znajduje się folder.
  • Teraz musisz włączyć audyt w określonym folderze, dla którego chcesz monitorować logi dostępu.
  • Zainstaluj Splunk Universal Forwarder na komputerze z systemem Windows.
  • Skonfiguruj Universal Forwarder do wysyłania dzienników bezpieczeństwa do Splunk Indexer.

30. W jaki sposób Splunk unika podwójnego indeksowania logów?

Splunk Indexer śledzi wszystkie zindeksowane zdarzenia w katalogu – katalogu Fishbuckets, który zawiera wskaźniki wyszukiwania i CRC dla wszystkich aktualnie indeksowanych plików. Tak więc, jeśli jest jakiś wskaźnik wyszukiwania lub CRC, który został już przeczytany, splunkd wskaże to.

31. Jaki jest priorytet plików konfiguracyjnych w Splunk?

Pierwszeństwo plików konfiguracyjnych w Splunk jest następujące:

  • Systemowy katalog lokalny (najwyższy priorytet)
  • Lokalne katalogi aplikacji
  • Domyślne katalogi aplikacji
  • Domyślny katalog systemu (najniższy priorytet)

32. Zdefiniuj „Współczynnik wyszukiwania” i „Współczynnik replikacji”.

Zarówno Search Factor (SF), jak i Replication Factor (RF) to terminologie klastrowe w Splunk. Podczas gdy SF (z wartością domyślną 2) określa liczbę możliwych do przeszukiwania kopii danych utrzymywanych przez klaster Indexer, RF reprezentuje liczbę kopii danych utrzymywanych przez klaster Indexer. Ważną rzeczą do zapamiętania jest to, że SF musi zawsze być mniejsza lub równa współczynnikowi replikacji. Ponadto klaster Search Head ma tylko czynnik wyszukiwania, podczas gdy klaster Indexer ma zarówno SF, jak i RF.

33. Dlaczego używane jest polecenie Rozróżnij polecenia W Splunk polecenia wyszukiwania są używane, gdy chcesz otrzymać określone pola z pliku zewnętrznego (na przykład skryptu opartego na języku Python lub pliku CSV) w celu uzyskania wartości zdarzenia. Pomaga zawęzić wyniki wyszukiwania, odwołując się do pól w zewnętrznym pliku CSV, który pasuje do pól w danych zdarzenia.

Polecenie inputlookup jest używane, gdy chcesz pobrać dane wejściowe. Na przykład polecenie może przyjąć jako dane wejściowe cenę produktu lub nazwę produktu, a następnie dopasować je do wewnętrznego pola, takiego jak identyfikator produktu. Wręcz przeciwnie, polecenie outputlookup służy do generowania danych wyjściowych z istniejącej listy pól.

34. Rozróżnij Splunk SDK i Splunk Framework.

Zestawy SDK Splunk są przeznaczone przede wszystkim do pomocy użytkownikom w tworzeniu aplikacji od podstaw. Nie wymagają do działania Splunk Web ani żadnego innego składnika z Splunk App Framework. Zestawy SDK Splunk są oddzielnie licencjonowane od Splunk. W przeciwieństwie do tego, Splunk App Framework opiera się na Splunk Web Server. Pozwala użytkownikom dostosować interfejs sieciowy Splunk, który towarzyszy produktowi. Chociaż pozwala tworzyć aplikacje Splunk, musisz to zrobić za pomocą serwera internetowego Splunk.

Ucz się kursów rozwoju oprogramowania online z najlepszych światowych uniwersytetów. Zdobywaj programy Executive PG, Advanced Certificate Programs lub Masters Programs, aby przyspieszyć swoją karierę.

Wniosek

Mamy nadzieję, że te pytania do rozmowy kwalifikacyjnej Splunk pomogą Ci wejść w przepływ i przygotować się do rozmowy kwalifikacyjnej Splunk!

Jeśli chcesz dowiedzieć się więcej o splunk i innych narzędziach DevOps, sprawdź program Executive PG IIIT-B i upGrad w programie rozwoju oprogramowania Full Stack.

Przygotuj się na karierę przyszłości

Złóż wniosek o program Executive PG w zakresie pełnego rozwoju stosu