As 34 principais perguntas e respostas da entrevista do Splunk para iniciantes e experientes [2022]
Publicados: 2021-01-07O Splunk é uma das principais soluções de gerenciamento e análise de carga no campo de operações de TI. A ferramenta é uma das principais ferramentas de devops do mercado sempre em alta demanda, assim como os especialistas em Splunk. E o conhecimento de splunk é um dos requisitos importantes para se tornar um engenheiro de devops. Naturalmente, quando se trata de empregos Splunk no setor de TI, a concorrência é bastante difícil e desafiadora. Então, se você deseja conseguir um emprego de nicho no Splunk, você deve estar pronto para aceitar a entrevista do Splunk.
Não se preocupe, pois criamos um post detalhado com as principais perguntas da entrevista do Splunk que não apenas ajudarão a aprimorar seu conhecimento do Splunk, mas também a conquistar aquele emprego que você está de olho!
Os alunos recebem um aumento salarial médio de 58%, sendo o mais alto até 400%.
Sem mais delongas, vamos para as 33 principais perguntas da entrevista do Splunk!
Principais perguntas e respostas da entrevista do Splunk
1. Defina Splunk
Splunk é uma plataforma de software que permite aos usuários analisar dados gerados por máquina (de dispositivos de hardware, redes, servidores, dispositivos IoT, etc.). O Splunk é amplamente usado para pesquisar, visualizar, monitorar e relatar dados corporativos. Ele processa e analisa os dados da máquina e os converte em poderosa inteligência operacional, oferecendo insights em tempo real sobre os dados por meio de visualizações precisas.
O Splunk é usado para analisar dados de máquina porque:
- Oferece insights de negócios – o Splunk entende os padrões ocultos nos dados e os transforma em insights de negócios em tempo real que podem ser usados para tomar decisões de negócios informadas.
- Ele fornece visibilidade operacional – o Splunk aproveita os dados da máquina para obter visibilidade de ponta a ponta das operações da empresa e, em seguida, divide-os em toda a infraestrutura.
- Facilita o monitoramento proativo – o Splunk usa dados de máquina para monitorar sistemas em tempo real para identificar problemas e vulnerabilidades do sistema (violações e ataques externos/internos).
2. Nomeie os números de porta comuns usados pelo Splunk.
Os números de porta comuns para Splunk são:
- Porta Web Splunk: 8000
- Porta de gerenciamento do Splunk: 8089
- Porta de rede Splunk: 514
- Porta de replicação do índice Splunk: 8080
- Porta de Indexação Splunk: 9997
- Loja KV: 8191
3. Nomeie os componentes da arquitetura Splunk.
A arquitetura Splunk é composta dos seguintes componentes:
- Cabeça de Pesquisa – Fornece GUI para pesquisa
- Indexador – Indexa os dados da máquina
- Forwarder – Encaminha os logs para o Indexador
Servidor de implantação – Gerencia os componentes do Splunk em um ambiente distribuído e distribui aplicativos de configuração.
4. Quais são os diferentes tipos de painéis do Splunk?
Existem três tipos diferentes de painéis do Splunk:
- Painéis em tempo real
- Painéis dinâmicos baseados em formulários
- Painéis para relatórios programados
5. Nomeie os tipos de modos de pesquisa suportados no Splunk.
O Splunk suporta três tipos de painéis, a saber:
- Modo rápido
- Modo inteligente
- Modo detalhado
6. Nomeie os diferentes tipos de Splunk Forwarders.
Existem dois tipos de Splunk Forwarders:
- Universal Forwarder (UF) – É um agente Splunk leve instalado em um sistema não-Splunk para coletar dados localmente. UF não pode analisar ou indexar dados.
- Heavyweight Forwarder (HWF) – É um agente Splunk pesado com funcionalidades avançadas, incluindo recursos de análise e indexação. É usado para filtrar dados.
7. Quais são os benefícios de alimentar dados em uma instância do Splunk através dos Splunk Forwarders?
Se você alimentar os dados em uma instância do Splunk via Splunk Forwarders, poderá obter três benefícios significativos – conexão TCP, limitação de largura de banda e uma conexão SSL criptografada para transferir dados de um encaminhador para um indexador. A arquitetura do Splunk é tal que os dados encaminhados ao Indexador são balanceados por padrão.
Portanto, mesmo que um indexador fique inativo por algum motivo, os dados podem ser redirecionados rapidamente por meio de outra instância do indexador. Além disso, os Splunk Forwarders armazenam os eventos localmente antes de encaminhá-los, criando assim um backup temporário dos dados.
8. O que é o “Índice de Resumo” no Splunk?
No Splunk, o Índice de Resumo refere-se ao índice Splunk padrão que armazena dados resultantes de pesquisas agendadas ao longo do tempo. Essencialmente, é o índice que o Splunk Enterprise usa se um usuário não especificar ou indicar outro.
A vantagem mais significativa do Índice resumido é que ele permite que você retenha as análises e os relatórios mesmo depois que seus dados envelhecerem.
9. Qual é o propósito do Splunk DB Connect?
Splunk DB Connect é um plugin genérico de banco de dados SQL projetado para Splunk. Ele permite que os usuários integrem informações do banco de dados com consultas e relatórios do Splunk de forma transparente.
10. Qual é a função do Splunk Indexer?
Como o nome sugere, o Splunk Indexer cria e gerencia índices. Ele tem duas funções principais – indexar dados brutos em um índice e pesquisar e gerenciar os dados indexados.
11. Cite alguns comandos importantes de pesquisa do Splunk.
Alguns dos comandos de pesquisa importantes no Splunk são:
- Abstrato
- Erex
- Adicionar totais
- Acumular
- Preencher
- Datilógrafo
- Renomear
- Anomalias
Leia também: Splunk vs Elk: Qual você deve escolher?
12. Quais são alguns dos arquivos de configuração mais importantes no Splunk?
Os arquivos de configuração mais importantes no Splunk são:
- adereços.conf
- indexes.conf
- entradas.conf
- transforma.conf
- server.conf
13. Qual a importância do License Master no Splunk? O que acontece se o Mestre de Licenças estiver inacessível?
No Splunk, o License Master garante que a quantidade certa de dados seja indexada. Como a licença do Splunk é baseada no volume de dados que chega à plataforma em um período de 24 horas, o License Master garante que seu ambiente Splunk permaneça dentro das restrições do volume adquirido.
Se alguma vez o Mestre de Licença estiver inacessível, um usuário não poderá pesquisar os dados. No entanto, isso não afetará os dados que fluem para o Indexador – os dados continuarão a fluir na implantação do Splunk e os Indexadores indexarão os dados. Mas a parte superior do Search Head exibirá uma mensagem de aviso de que o usuário excedeu o volume de indexação. Nesse caso, eles devem reduzir a quantidade de dados que chegam ou devem adquirir capacidade adicional da licença do Splunk.
14. Explique a 'violação de licença' na perspectiva do Splunk.
Sempre que você exceder o limite de dados, o erro 'violação de licença' será exibido no painel. Este aviso permanecerá por 14 dias. Para uma licença comercial do Splunk, os usuários podem ter cinco avisos em uma janela de 30 dias antes dos resultados de pesquisa e relatórios do Indexer não serem acionados. No entanto, para a versão gratuita, os usuários recebem apenas três contagens de avisos.
15. Qual é a expressão geral para extrair o endereço IP dos logs?
Embora você possa extrair o endereço IP dos logs de várias maneiras, a expansão normal para ele seria:
rex field=_raw “(?<endereço_ip>\d+\.\d+\.\d+\.\d+)”
OU
rex field=_raw “(?<ip_address>([0-9]{1,3}[\.]){3}[0-9]{1,3})”
16. Como você pode solucionar problemas de desempenho do Splunk?
Para solucionar problemas de desempenho do Splunk, execute as seguintes etapas:
- Verifique splunkd.log para encontrar erros
- Verifique os problemas de desempenho do servidor (uso de CPU/memória, e/s de disco, etc.)
- Verifique o número de pesquisas salvas que estão em execução no momento e também o consumo de recursos do sistema.
- Instale o aplicativo SOS (Splunk on Splunk) e veja se o painel exibe algum aviso ou erro.
- Instale o Firebug (uma extensão do Firefox) e habilite-o em seu sistema. Depois disso, você precisa fazer login no Splunk usando o Firefox, abrir os painéis do Firebug e ir até o painel 'Net' para habilitá-lo). O painel Net exibe as solicitações e respostas HTTP, juntamente com o tempo gasto em cada uma. Isso permitirá que você veja quais solicitações estão deixando o Splunk mais lento e afetando o desempenho geral.
17. O que são Baldes? Explicar o ciclo de vida do balde Splunk.
Buckets são diretórios que armazenam os dados indexados no Splunk. Então, é um diretório físico que narra os eventos de um período específico. Um balde passa por vários estágios de transformação ao longo do tempo. Eles estão:
- Hot – Um hot bucket é composto pelos dados recém-indexados e, portanto, está aberto para gravação e novas adições. Um índice pode ter um ou mais buckets ativos.
- Warm – Um bucket morno contém os dados que são lançados de um bucket quente.
- Frio – um balde frio tem dados que são lançados de um balde quente.
- Congelado – um bucket congelado contém os dados lançados de um bucket frio. O Splunk Indexer exclui os dados congelados por padrão. No entanto, há uma opção para arquivá-lo. Uma coisa importante a ser lembrada aqui é que os dados congelados não são pesquisáveis.
18. Para que serve a propriedade Time Zone no Splunk?
No Splunk, o fuso horário é crucial para pesquisar eventos de uma perspectiva de segurança ou fraude. O Splunk define o fuso horário padrão para você nas configurações do seu navegador. O navegador ainda pega o fuso horário atual da máquina que você está usando. Portanto, se você pesquisar qualquer evento com o fuso horário errado, não encontrará nada relevante para essa pesquisa.
O fuso horário torna-se extremamente importante quando você está pesquisando e correlacionando dados provenientes de fontes diferentes e múltiplas .
19. Defina Sourcetype no Splunk.
No Splunk, Sourcetype refere-se ao campo padrão que é usado para identificar a estrutura de dados de um evento de entrada. O tipo de origem deve ser definido no nível do encaminhador para extração do indexador para ajudar a identificar diferentes formatos de dados. Ele determina como o Splunk Enterprise formata os dados durante o processo de indexação. Sendo esse o caso, você deve garantir a atribuição do tipo de origem correto aos seus dados. Para tornar a pesquisa de dados ainda mais fácil, você deve fornecer registros de data e hora precisos e quebras de eventos para os dados indexados (os dados do evento).
20. Explique a diferença entre os comandos Stats e Eventstats.
No Splunk, o comando Stats é usado para gerar as estatísticas resumidas de todos os campos existentes nos resultados da pesquisa e salvá-los como valores em campos recém-criados. Embora o comando Eventstats seja bastante semelhante ao comando Stats, ele adiciona os resultados da agregação em linha a cada evento (se apenas a agregação for pertinente a esse evento específico). Assim, enquanto ambos os comandos calculam as estatísticas solicitadas, o comando Eventstats agrega as estatísticas aos dados brutos originais.
21. Diferencie entre o Splunk App e o Add-on.
Os aplicativos Splunk referem-se à coleção completa de relatórios, painéis, alertas, extrações de campo e pesquisas. No entanto, os complementos do Splunk contêm apenas configurações internas – eles não possuem painéis ou relatórios.
22. Qual é o comando para parar e iniciar o serviço Splunk?
O comando para iniciar o serviço Splunk é: ./splunk start
O comando para parar o serviço Splunk é: ./splunk stop
23. Como você pode limpar o histórico de pesquisa do Splunk?
Para limpar o histórico de pesquisa do Splunk, você precisa excluir o seguinte arquivo do servidor Splunk:
$splunk_home/var/log/splunk/searches.log
24. O que é Btool no Splunk?
Btool no Splunk é uma ferramenta de linha de comando que é usada para solucionar problemas de arquivos de configuração. Também ajuda a verificar quais valores estão sendo usados pela instalação do Splunk Enterprise de um usuário no ambiente existente.
25. Qual a necessidade do Splunk Alert? Especifique o tipo de opções que você obtém ao configurar os Alertas do Splunk.
Alertas Splunk ajudam a notificar os usuários sobre qualquer condição errônea em seus sistemas. Por exemplo, um usuário pode configurar Alertas para notificação por e-mail a ser enviada ao administrador caso haja mais de três tentativas de login com falha em 24 horas.
As diferentes opções que você obtém ao configurar Alertas incluem:
- Você pode criar um webhook. Isso permitirá que você escreva para HipChat ou GitHub – você pode escrever um e-mail para um grupo de máquinas contendo seu assunto, prioridades e o corpo do seu e-mail.
- Você pode adicionar resultados em formatos CSV ou pdf ou em linha com o corpo da mensagem para ajudar o destinatário a entender a localização e as condições do alerta que foi acionado e quais ações foram tomadas para o mesmo.
- Você pode criar tickets e alertas de aceleração com base em condições específicas, como o nome da máquina ou o endereço IP. Esses alertas podem ser controlados na janela de alertas.
26. O que é um Fishbucket e qual é o Índice para ele?
Fishbucket é um diretório de índice que fica no local padrão, ou seja:
/opt/splunk/var/lib/splunk
Fishbucket inclui ponteiros de busca e CRCs para os arquivos indexados. Para acessar o Fishbucket, você pode usar a GUI para pesquisar:
index=_thefishbucket
27. Como saber quando o Splunk concluiu a indexação de um arquivo de log?
Você pode descobrir se o Splunk concluiu ou não a indexação de um arquivo de log de duas maneiras:
- Ao monitorar os dados do log de métricas do Splunk em tempo real:
index=”_internal” source=”*metrics.log” group=”per_sourcetype_thruput” series=”<your_sourcetype_here>” |
eval MB=kb/1024 | soma do gráfico (MB)
- Ao monitorar todas as métricas divididas por tipo de origem:
index=”_internal” source=”*metrics.log” group=”per_sourcetype_thruput” | eval MB=kb/1024 | soma do gráfico (MB) média (eps) sobre a série
28. O que é o Diretório de Despacho?
O Diretório de Despacho inclui um diretório para pesquisas individuais que estão em execução ou concluídas. A configuração do Diretório de Despacho é a seguinte:
$SPLUNK_HOME/var/run/splunk/dispatch
Vamos supor que exista um diretório chamado 1434308943.358. Esse diretório conterá um arquivo CSV de todos os resultados da pesquisa, um search.log contendo os detalhes sobre a execução da pesquisa e outras informações relevantes. Usando a configuração padrão, você pode excluir esse diretório em 10 minutos após a conclusão da pesquisa. Se você salvar os resultados da pesquisa, eles serão excluídos após sete dias.
29. Como você pode adicionar logs de acesso a pastas de uma máquina Windows ao Splunk?
Para adicionar logs de acesso à pasta de uma máquina Windows ao Splunk, você deve seguir as etapas listadas abaixo:
- Vá para a Diretiva de Grupo e habilite a Auditoria de Acesso a Objetos na máquina Windows onde a pasta está localizada.
- Agora você precisa habilitar a auditoria na pasta específica para a qual deseja monitorar os logs de acesso.
- Instale o Splunk Universal Forwarder na máquina Windows.
- Configure o Universal Forwarder para enviar logs de segurança para o Splunk Indexer.
30. Como o Splunk evita a indexação duplicada de logs?
O Splunk Indexer mantém o controle de todos os eventos indexados em um diretório – o diretório Fishbuckets que contém ponteiros de busca e CRCs para todos os arquivos que estão sendo indexados atualmente. Então, se houver algum ponteiro de busca ou CRC que já tenha sido lido, o splunkd irá apontá-lo.
31. Qual é a precedência dos arquivos de configuração no Splunk?
A precedência dos arquivos de configuração no Splunk é a seguinte:
- Diretório local do sistema (prioridade mais alta)
- Diretórios locais de aplicativos
- Diretórios padrão do aplicativo
- Diretório padrão do sistema (prioridade mais baixa)
32. Defina “Fator de Pesquisa” e “Fator de Replicação”.
Tanto o fator de busca (SF) quanto o fator de replicação (RF) são terminologias de agrupamento no Splunk. Enquanto o SF (com um valor padrão de 2) determina o número de cópias pesquisáveis dos dados mantidos pelo cluster do Indexador, o RF representa o número de cópias dos dados mantidos pelo cluster do Indexador. Uma coisa importante a lembrar é que SF deve ser sempre menor ou igual ao fator de replicação. Além disso, o cluster Search Head possui apenas um fator de pesquisa, enquanto um cluster Indexer possui SF e RF.
33. Por que o comando Diferencie os comandos No Splunk, comandos de pesquisa são usados quando você deseja receber campos específicos de um arquivo externo (por exemplo, um script baseado em Python ou um arquivo CSV) para obter um valor de um evento. Ele ajuda a restringir os resultados da pesquisa fazendo referência aos campos em um arquivo CSV externo que corresponde aos campos nos dados do evento.
O comando inputlookup é usado quando você deseja obter uma entrada. Por exemplo, o comando pode usar o preço do produto ou o nome do produto como entrada e, em seguida, combiná-lo com um campo interno, como um ID do produto. Pelo contrário, o comando outputlookup é usado para produzir uma saída de uma lista de campos existente.
34. Diferencie entre Splunk SDK e Splunk Framework.
Os SDKs do Splunk são projetados principalmente para ajudar os usuários a desenvolver aplicativos do zero. Eles não exigem o Splunk Web ou qualquer outro componente do Splunk App Framework para funcionar. Os SDKs do Splunk são licenciados separadamente do Splunk. Ao contrário disso, o Splunk App Framework fica dentro do Splunk Web Server. Ele permite que os usuários personalizem a interface do usuário da Web do Splunk que acompanha o produto. Embora permita desenvolver aplicativos Splunk, você precisa fazer isso usando o Splunk Web Server.
Aprenda cursos de desenvolvimento de software online das melhores universidades do mundo. Ganhe Programas PG Executivos, Programas de Certificado Avançado ou Programas de Mestrado para acelerar sua carreira.
Conclusão
Esperamos que essas perguntas da entrevista Splunk ajudem você a entrar no fluxo e se preparar para sua entrevista Splunk!
Se você está curioso para saber mais sobre o splunk e outras ferramentas de DevOps, confira o Programa PG Executivo do IIIT-B & upGrad no Programa de Desenvolvimento de Software Full Stack.
