Top 34 de întrebări și răspunsuri la interviu Splunk pentru începători și experimentați [2022]
Publicat: 2021-01-07Splunk este una dintre soluțiile de top de management și analiză a sarcinii din domeniul operațiunilor IT. Instrumentul este unul dintre cele mai importante instrumente devops de pe piață, mereu la mare căutare, la fel și experții Splunk. Și cunoașterea splunk este una dintre cerințele importante pentru a deveni inginer devops. Desigur, când vine vorba de locuri de muncă Splunk în sectorul IT, concurența este destul de dură și provocatoare. Deci, dacă doriți să obțineți un loc de muncă de nișă în Splunk, trebuie să fiți pregătit pentru interviul Splunk.
Nu vă faceți griji, pentru că am creat o postare detaliată cu cele mai importante întrebări de interviu Splunk, care nu numai că vă vor ajuta să vă aprofundați cunoștințele Splunk, ci și să vă îmbunătățească jobul pe care l-ați căutat!
Cursanții primesc o creștere medie a salariului de 58%, cea mai mare fiind de până la 400%.
Fără alte prelungiri, haideți să descoperim primele 33 de întrebări la interviu Splunk!
Cele mai bune întrebări și răspunsuri la interviu Splunk
1. Definiți Splunk
Splunk este o platformă software care permite utilizatorilor să analizeze datele generate de mașini (de pe dispozitive hardware, rețele, servere, dispozitive IoT etc.). Splunk este utilizat pe scară largă pentru căutarea, vizualizarea, monitorizarea și raportarea datelor companiei. Procesează și analizează datele mașinii și le transformă în inteligență operațională puternică, oferind informații în timp real asupra datelor prin vizualizări precise.

Splunk este utilizat pentru analiza datelor mașinii deoarece:
- Oferă perspective de afaceri – Splunk înțelege tiparele ascunse în date și le transformă în perspective de afaceri în timp real care pot fi folosite pentru a lua decizii de afaceri informate.
- Oferă vizibilitate operațională – Splunk folosește datele mașinii pentru a obține vizibilitate completă asupra operațiunilor companiei și apoi o defalcă în infrastructură.
- Facilitează monitorizarea proactivă – Splunk utilizează datele mașinii pentru a monitoriza sistemele în timp real pentru a identifica problemele și vulnerabilitățile sistemului (scălcări externe/interne și atacuri).
2. Denumiți numerele de porturi comune utilizate de Splunk.
Numerele de porturi comune pentru Splunk sunt:
- Port Web Splunk: 8000
- Port de gestionare Splunk: 8089
- Port de rețea Splunk: 514
- Port de replicare Splunk Index: 8080
- Port de indexare Splunk: 9997
- Magazin KV: 8191
3. Numiți componentele arhitecturii Splunk.
Arhitectura Splunk este alcătuită din următoarele componente:
- Cap de căutare – Oferă GUI pentru căutare
- Indexator – indexează datele mașinii
- Forwarder – Redirecționează jurnalele către Indexer
Server de implementare – Gestionează componentele Splunk într-un mediu distribuit și distribuie aplicații de configurare.
4. Care sunt diferitele tipuri de tablouri de bord Splunk?
Există trei tipuri diferite de tablouri de bord Splunk:
- Tablouri de bord în timp real
- Tablouri de bord dinamice bazate pe formulare
- Tablouri de bord pentru rapoartele programate
5. Denumiți tipurile de moduri de căutare acceptate în Splunk.
Splunk acceptă trei tipuri de tablouri de bord, și anume:
- Mod rapid
- Modul inteligent
- Modul verbos
6. Numiți diferitele tipuri de Splunk Forwarders.
Există două tipuri de expeditori Splunk:
- Universal Forwarder (UF) – Este un agent Splunk ușor instalat pe un sistem non-Splunk pentru a colecta date local. UF nu poate analiza sau indexa datele.
- Heavyweight Forwarder (HWF) – Este un agent Splunk greu cu funcționalități avansate, inclusiv capabilități de analizare și indexare. Este folosit pentru filtrarea datelor.
7. Care sunt beneficiile introducerii datelor într-o instanță Splunk prin Splunk Forwarders?
Dacă introduceți datele într-o instanță Splunk prin Splunk Forwarders, puteți obține trei beneficii semnificative – conexiune TCP, limitarea lățimii de bandă și o conexiune SSL criptată pentru a transfera date de la un Forwarder la un Indexer. Arhitectura lui Splunk este astfel încât datele transmise către Indexer sunt echilibrate în mod implicit.
Așadar, chiar dacă un Indexer se defectează din anumite motive, datele se pot redirecționa rapid printr-o altă instanță Indexer. În plus, Splunk Forwarders memorează local evenimentele înainte de a le redirecționa, creând astfel o copie de rezervă temporară a datelor.
8. Ce este „Indexul rezumat” în Splunk?
În Splunk, Indexul Rezumat se referă la indexul Splunk implicit care stochează datele rezultate din căutările programate de-a lungul timpului. În esență, este indexul pe care Splunk Enterprise îl folosește dacă un utilizator nu specifică sau indică altul.
Cel mai semnificativ avantaj al Indexului Rezumat este că vă permite să păstrați analizele și rapoartele chiar și după ce datele dvs. s-au îmbătrânit.
9. Care este scopul Splunk DB Connect?
Splunk DB Connect este un plugin de bază de date SQL generic conceput pentru Splunk. Permite utilizatorilor să integreze fără probleme informațiile bazei de date cu interogările și rapoartele Splunk.
10. Care este funcția Splunk Indexer?
După cum sugerează și numele, Splunk Indexer creează și gestionează indici. Are două funcții de bază – să indexeze datele brute într-un index și să caute și să gestioneze datele indexate.
11. Numiți câteva comenzi importante de căutare Splunk.
Unele dintre comenzile importante de căutare din Splunk sunt:
- Abstract
- Erex
- Adăugați totaluri
- Acum
- Completați
- Typer
- Redenumiți
- Anomalii
Citește și: Splunk v Elk: Pe care ar trebui să-l alegi?
12. Care sunt unele dintre cele mai importante fișiere de configurare din Splunk?
Cele mai importante fișiere de configurare din Splunk sunt:
- recuzită.conf
- indexuri.conf
- intrări.conf
- transformă.conf
- server.conf
13. Care este importanța Licenței Master în Splunk? Ce se întâmplă dacă License Master este inaccesibil?
În Splunk, License Master se asigură că cantitatea potrivită de date este indexată. Deoarece licența Splunk se bazează pe volumul de date care ajunge la platformă într-o fereastră de 24 de ore, License Master se asigură că mediul dvs. Splunk rămâne în constrângerile volumului achiziționat.
Dacă vreodată License Master este inaccesibil, un utilizator nu poate căuta datele. Cu toate acestea, acest lucru nu va afecta datele care circulă în Indexer - datele vor continua să circule în implementarea Splunk, iar Indexatorii vor indexa datele. Dar partea de sus a capului de căutare va afișa un mesaj de avertizare că utilizatorul a depășit volumul de indexare. În acest caz, trebuie fie să reducă cantitatea de date care circulă, fie să achiziționeze capacitate suplimentară a licenței Splunk.
14. Explicați „încălcarea licenței” din perspectiva Splunk.
Oricând depășiți limita de date, eroarea „încălcare a licenței” va apărea pe tabloul de bord. Acest avertisment va rămâne timp de 14 zile. Pentru o licență Splunk comercială, utilizatorii pot avea cinci avertismente într-o fereastră de 30 de zile înainte de care rezultatele și rapoartele de căutare ale Indexer nu se vor declanșa. Cu toate acestea, pentru versiunea gratuită, utilizatorii primesc doar trei numărări de avertizare.
15. Care este expresia generală pentru extragerea adresei IP din jurnale?
Deși puteți extrage adresa IP din jurnale în mai multe moduri, experiența obișnuită pentru aceasta ar fi:
rex field=_raw „(?<adresa_ip>\d+\.\d+\.\d+\.\d+)”
SAU
rex field=_raw „(?<adresa_ip>([0-9]{1,3}[\.]){3}[0-9]{1,3})”
16. Cum puteți remedia problemele de performanță Splunk?
Pentru a depana problemele de performanță Splunk, parcurgeți următorii pași:
- Verificați splunkd.log pentru a găsi orice erori
- Verificați problemele de performanță ale serverului (utilizarea CPU/memorie, i/o disc etc.)
- Verificați numărul de căutări salvate care rulează în prezent și, de asemenea, consumul de resurse de sistem.
- Instalați aplicația SOS (Splunk on Splunk) și vedeți dacă tabloul de bord afișează vreun avertisment sau erori.
- Instalați Firebug (o extensie Firefox) și activați-l în sistemul dvs. După aceea, trebuie să vă conectați la Splunk folosind Firefox, să deschideți panourile Firebug și să mergeți la panoul „Net” pentru a-l activa). Panoul Net afișează cererile și răspunsurile HTTP, împreună cu timpul petrecut în fiecare. Acest lucru vă va permite să vedeți ce solicitări încetinesc Splunk și afectează performanța generală.
17. Ce sunt gălețile? Explicați ciclul de viață al găleții Splunk.

Bucket-urile sunt directoare care stochează datele indexate în Splunk. Deci, este un director fizic care cronicizează evenimentele dintr-o anumită perioadă. O găleată trece prin mai multe etape de transformare în timp. Sunt:
- Fierbinte – O găleată fierbinte cuprinde datele nou indexate și, prin urmare, este deschisă pentru scriere și adăugări noi. Un index poate avea una sau mai multe găleți fierbinți.
- Warm – O găleată caldă conține datele care sunt lansate dintr-o găleată caldă.
- Rece – O găleată rece are date care sunt rulate dintr-o găleată caldă.
- Înghețat – O găleată înghețată conține datele lansate dintr-o găleată rece. Splunk Indexer șterge datele înghețate în mod implicit. Cu toate acestea, există o opțiune de a-l arhiva. Un lucru important de reținut aici este că datele înghețate nu pot fi căutate.
18. Ce scop servește proprietatea Fus orar în Splunk?
În Splunk, fusul orar este crucial pentru căutarea evenimentelor din perspectiva securității sau a fraudei. Splunk setează fusul orar implicit pentru tine din setările browserului. Browserul preia în continuare fusul orar curent de la aparatul pe care îl utilizați. Deci, dacă căutați un eveniment cu Fus orar greșit, nu veți găsi nimic relevant pentru căutarea respectivă.
Fusul orar devine extrem de important atunci când căutați și corelați date care vin din surse diferite și multiple .
19. Definiți tipul sursă în Splunk.
În Splunk, Sourcetype se referă la câmpul implicit care este utilizat pentru a identifica structura de date a unui eveniment de intrare. Sourcetype ar trebui setat la nivel de forwarder pentru extragerea indexerului pentru a ajuta la identificarea diferitelor formate de date. Acesta determină modul în care Splunk Enterprise formatează datele în timpul procesului de indexare. În acest caz, trebuie să vă asigurați că alocați tipul sursă corect datelor dvs. Pentru a face căutarea datelor și mai ușoară, ar trebui să furnizați amprente precise de timp și pauze de eveniment pentru datele indexate (datele despre eveniment).
20. Explicați diferența dintre comenzile Stats și Eventstats.
În Splunk, comanda Stats este folosită pentru a genera statisticile rezumative ale tuturor câmpurilor existente în rezultatele căutării și pentru a le salva ca valori în câmpurile nou create. Deși comanda Eventstats este destul de similară cu comanda Stats, ea adaugă rezultatele de agregare în linie la fiecare eveniment (dacă doar agregarea este relevantă pentru acel eveniment anume). Deci, în timp ce ambele comenzi calculează statisticile solicitate, comanda Eventstats agregează statisticile în datele brute originale.
21. Faceți diferența între aplicația Splunk și suplimentul.
Aplicațiile Splunk se referă la colecția completă de rapoarte, tablouri de bord, alerte, extrageri de câmpuri și căutări. Cu toate acestea, suplimentele Splunk conțin doar configurații încorporate - nu au tablouri de bord sau rapoarte.
22. Care este comanda pentru oprirea și pornirea serviciului Splunk?
Comanda de pornire a serviciului Splunk este: ./splunk start
Comanda de oprire a serviciului Splunk este: ./splunk stop
23. Cum puteți șterge istoricul căutărilor Splunk?
Pentru a șterge istoricul căutărilor Splunk, trebuie să ștergeți următorul fișier de pe serverul Splunk:
$splunk_home/var/log/splunk/searches.log
24. Ce este Btool în Splunk?
Btool în Splunk este un instrument de linie de comandă care este utilizat pentru depanarea problemelor fișierelor de configurare. De asemenea, ajută la verificarea ce valori sunt utilizate de instalarea Splunk Enterprise a unui utilizator în mediul existent.
25. Care este nevoie de Splunk Alert? Specificați tipul de opțiuni pe care le obțineți la configurarea Alertelor Splunk.
Alertele Splunk ajută la notificarea utilizatorilor cu privire la orice stare eronată în sistemele lor. De exemplu, un utilizator poate configura Alerte pentru ca notificarea prin e-mail să fie trimisă administratorului în cazul în care există mai mult de trei încercări eșuate de conectare în decurs de 24 de ore.
Diferitele opțiuni pe care le obțineți la configurarea alertelor includ:
- Puteți crea un webhook. Acest lucru vă va permite să scrieți în HipChat sau GitHub - puteți scrie un e-mail către un grup de mașini care să conțină subiectul, prioritățile și corpul e-mailului.
- Puteți adăuga rezultate în formate CSV sau pdf sau în linie cu corpul mesajului pentru a ajuta destinatarul să înțeleagă locația și condițiile alertei care a fost declanșată și ce acțiuni au fost întreprinse pentru aceasta.
- Puteți crea bilete și alerte de accelerație pe baza unor condiții specifice, cum ar fi numele mașinii sau adresa IP. Aceste alerte pot fi controlate din fereastra de alertă.
26. Ce este o găleată cu pește și care este indicele pentru aceasta?
Fishbucket este un director de index care se află în locația implicită, adică:
/opt/splunk/var/lib/splunk
Fishbucket include indicatori de căutare și CRC-uri pentru fișierele indexate. Pentru a accesa Fishbucket, puteți utiliza interfața grafică pentru căutare:
index=_thefishbucket
27. Cum să știți când Splunk a finalizat indexarea unui fișier jurnal?
Vă puteți da seama dacă Splunk a finalizat sau nu indexarea unui fișier jurnal în două moduri:
- Prin monitorizarea datelor din logul Splunk în timp real:
index=”_internal” source=”*metrics.log” group=”per_sourcetype_thruput” series="<your_sourcetype_here>” |
eval MB=kb/1024 | suma grafică (MB)
- Prin monitorizarea tuturor valorilor împărțite după tipul de sursă:
index=”_internal” source=”*metrics.log” group=”per_sourcetype_thruput” | eval MB=kb/1024 | sumă grafică (MB) medie (eps) pe serie
28. Ce este Directorul de expediere?
Directorul de expediere include un director pentru căutări individuale care fie rulează, fie s-au finalizat. Configurația pentru Directorul de expediere este următoarea:
$SPLUNK_HOME/var/run/splunk/dispatch
Să presupunem că există un director numit 1434308943.358. Acest director va conține un fișier CSV cu toate rezultatele căutării, un search.log care conține detalii despre execuția căutării și alte informații relevante. Folosind configurația implicită, puteți șterge acest director în 10 minute de la finalizarea căutării. Dacă salvați rezultatele căutării, acestea vor fi șterse după șapte zile.
29. Cum puteți adăuga jurnalele de acces la foldere de pe un computer Windows la Splunk?
Pentru a adăuga jurnalele de acces la foldere de pe un computer Windows la Splunk, trebuie să urmați pașii enumerați mai jos:
- Accesați Politica de grup și activați Auditul accesului la obiect pe computerul Windows unde se află folderul.
- Acum trebuie să activați auditarea în folderul specific pentru care doriți să monitorizați jurnalele de acces.
- Instalați Splunk Universal Forwarder pe computerul Windows.
- Configurați Universal Forwarder pentru a trimite jurnalele de securitate către Splunk Indexer.
30. Cum evită Splunk indexarea dublată a jurnalelor?
Splunk Indexer ține evidența tuturor evenimentelor indexate dintr-un director – directorul Fishbuckets care conține pointeri de căutare și CRC-uri pentru toate fișierele indexate în prezent. Deci, dacă există vreun pointer de căutare sau CRC care a fost deja citit, splunkd îl va indica.
31. Care este prioritatea fișierelor de configurare în Splunk?
Precedența fișierelor de configurare în Splunk este următoarea:
- Director local de sistem (cel mai mare prioritate)
- Aplicația Directoare locale
- Directoare implicite ale aplicației
- Director implicit al sistemului (prioritatea cea mai scăzută)
32. Definiți „Factor de căutare” și „Factor de replicare”.
Atât factorul de căutare (SF) cât și factorul de replicare (RF) sunt terminologii de grupare în Splunk. În timp ce SF (cu o valoare implicită de 2) determină numărul de copii de căutare ale datelor menținute de clusterul Indexer, RF reprezintă numărul de copii ale datelor menținute de clusterul Indexer. Un lucru important de reținut este că SF trebuie să fie întotdeauna mai mic sau egal cu factorul de replicare. De asemenea, clusterul Search Head are doar un factor de căutare, în timp ce un cluster Indexer are atât SF, cât și RF.
33. De ce este folosită comanda de Faceți diferența între comenzile În Splunk, comenzile de căutare sunt folosite atunci când doriți să primiți anumite câmpuri dintr-un fișier extern (de exemplu, un script bazat pe Python sau un fișier CSV) pentru a obține o valoare a unui eveniment. Ajută la restrângerea rezultatelor căutării prin referirea câmpurilor dintr-un fișier CSV extern care se potrivește cu câmpurile din datele evenimentului.
Comanda inputlookup este folosită atunci când doriți să preluați o intrare. De exemplu, comanda poate lua ca intrare prețul produsului sau numele produsului și apoi îl poate potrivi cu un câmp intern, cum ar fi un ID de produs. Dimpotrivă, comanda outputlookup este folosită pentru a produce o ieșire dintr-o listă de câmpuri existentă.

34. Faceți diferența între Splunk SDK și Splunk Framework.
SDK-urile Splunk sunt concepute în primul rând pentru a ajuta utilizatorii să dezvolte aplicații de la zero. Nu necesită Splunk Web sau orice altă componentă din Splunk App Framework pentru a funcționa. SDK-urile Splunk sunt licențiate separat de Splunk. Spre deosebire de acesta, Splunk App Framework se află în Splunk Web Server. Permite utilizatorilor să personalizeze Splunk Web UI care însoțește produsul. Deși vă permite să dezvoltați aplicații Splunk, trebuie să faceți acest lucru utilizând serverul web Splunk.
Învață cursuri de dezvoltare software online de la cele mai bune universități din lume. Câștigă programe Executive PG, programe avansate de certificat sau programe de master pentru a-ți accelera cariera.
Concluzie
Sperăm că aceste întrebări pentru interviul Splunk vă ajută să intrați în flux și să vă pregătiți pentru interviul Splunk!
Dacă sunteți curios să aflați mai multe despre splunk și alte instrumente DevOps, consultați Programul Executive PG al IIIT-B și upGrad în Programul de dezvoltare software Full Stack.
