34 лучших вопроса и ответа на интервью Splunk для начинающих и опытных [2022]
Опубликовано: 2021-01-07Splunk — одно из лучших решений для управления и анализа нагрузки в области ИТ-операций. Этот инструмент является одним из лучших инструментов devops на рынке и всегда пользуется большим спросом, как и эксперты Splunk. А знание splunk — одно из важных требований, чтобы стать devops-инженером. Естественно, когда дело доходит до рабочих мест Splunk в ИТ-секторе, конкуренция довольно жесткая и сложная. Итак, если вы хотите получить нишевую работу в Splunk, вы должны быть готовы пройти собеседование в Splunk.
Не беспокойтесь, потому что мы создали подробный пост с главными вопросами для собеседования по Splunk , которые не только помогут отточить ваши знания о Splunk, но и помогут найти работу, которую вы искали!
Учащиеся получают в среднем повышение заработной платы на 58%, а максимальное повышение составляет до 400%.
Без дальнейших церемоний, давайте рассмотрим 33 лучших вопроса для интервью Splunk!
Лучшие вопросы и ответы на интервью Splunk
1. Определите Splunk
Splunk — это программная платформа, которая позволяет пользователям анализировать машинно-генерируемые данные (от аппаратных устройств, сетей, серверов, устройств IoT и т. д.). Splunk широко используется для поиска, визуализации, мониторинга и отчетности по корпоративным данным. Он обрабатывает и анализирует машинные данные и преобразует их в мощную операционную аналитику, предлагая анализ данных в режиме реального времени посредством точной визуализации.
Splunk используется для анализа машинных данных, потому что:
- Он предлагает бизнес-аналитику — Splunk понимает закономерности, скрытые в данных, и превращает их в бизнес-аналитику в режиме реального времени, которую можно использовать для принятия обоснованных бизнес-решений.
- Он обеспечивает оперативную прозрачность — Splunk использует машинные данные для получения комплексной информации об операциях компании, а затем распределяет их по всей инфраструктуре.
- Это облегчает упреждающий мониторинг — Splunk использует машинные данные для мониторинга систем в режиме реального времени для выявления системных проблем и уязвимостей (внешних/внутренних взломов и атак).
2. Назовите общие номера портов, используемые Splunk.
Общие номера портов для Splunk:
- Веб-порт Splunk: 8000
- Порт управления Splunk: 8089
- Сетевой порт Splunk: 514
- Порт репликации индекса Splunk: 8080
- Порт индексации Splunk: 9997
- КВ магазин: 8191
3. Назовите компоненты архитектуры Splunk.
Архитектура Splunk состоит из следующих компонентов:
- Search Head — предоставляет графический интерфейс для поиска
- Индексатор — индексирует машинные данные.
- Forwarder — пересылает журналы в индексатор.
Сервер развертывания — управляет компонентами Splunk в распределенной среде и распространяет приложения для настройки.
4. Какие существуют типы информационных панелей Splunk?
Существует три различных типа панелей мониторинга Splunk:
- Панели мониторинга в реальном времени
- Динамические информационные панели на основе форм
- Панели для запланированных отчетов
5. Назовите типы режимов поиска, поддерживаемые в Splunk.
Splunk поддерживает три типа информационных панелей, а именно:
- Быстрый режим
- Умный режим
- Подробный режим
6. Назовите различные типы Splunk Forwarders.
Существует два типа Splunk Forwarders:
- Universal Forwarder (UF) — это облегченный агент Splunk, устанавливаемый в системе без Splunk для локального сбора данных. UF не может анализировать или индексировать данные.
- Heavyweight Forwarder (HWF) — это тяжелый агент Splunk с расширенными функциями, включая возможности синтаксического анализа и индексирования. Используется для фильтрации данных.
7. Каковы преимущества передачи данных в экземпляр Splunk через Splunk Forwarders?
Если вы передаете данные в экземпляр Splunk через Splunk Forwarders, вы можете воспользоваться тремя значительными преимуществами: TCP-соединением, регулированием пропускной способности и зашифрованным SSL-соединением для передачи данных от Forwarder к Indexer. Архитектура Splunk такова, что данные, пересылаемые индексатору, по умолчанию сбалансированы по нагрузке.
Таким образом, даже если один индексатор по какой-либо причине выходит из строя, данные могут быстро перенаправить себя через другой экземпляр индексатора. Кроме того, Splunk Forwarders кэшируют события локально перед их пересылкой, тем самым создавая временную резервную копию данных.
8. Что такое «Сводный индекс» в Splunk?
В Splunk итоговый индекс относится к индексу Splunk по умолчанию, в котором хранятся данные, полученные в результате запланированных поисков с течением времени. По сути, это индекс, который использует Splunk Enterprise, если пользователь не указывает или не указывает другой.
Самым значительным преимуществом сводного индекса является то, что он позволяет сохранять аналитику и отчеты даже после того, как ваши данные устареют.
9. Какова цель Splunk DB Connect?
Splunk DB Connect — это универсальный подключаемый модуль базы данных SQL, разработанный для Splunk. Это позволяет пользователям беспрепятственно интегрировать информацию из базы данных с запросами и отчетами Splunk.
10. Какова функция Splunk Indexer?
Как следует из названия, индексатор Splunk создает индексы и управляет ими. У него есть две основные функции — индексировать необработанные данные в индекс и искать и управлять проиндексированными данными.
11. Назовите несколько важных команд поиска Splunk.
Вот некоторые из важных команд поиска в Splunk:
- Абстрактный
- Эрекс
- Добавить итоги
- Аккум
- Заполнение
- Типер
- Переименовать
- Аномалии
Читайте также: Splunk против Elk: что выбрать?
12. Какие файлы конфигурации в Splunk являются наиболее важными?
Наиболее важными файлами конфигурации в Splunk являются:
- реквизит.conf
- indexes.conf
- inputs.conf
- преобразовывает.conf
- server.conf
13. Каково значение Мастера лицензий в Splunk? Что произойдет, если мастер лицензий недоступен?
В Splunk License Master гарантирует, что нужное количество данных будет проиндексировано. Поскольку лицензия Splunk основана на объеме данных, которые достигают платформы в течение 24 часов, мастер лицензий гарантирует, что ваша среда Splunk остается в рамках ограничений приобретенного объема.
Если мастер лицензий недоступен, пользователь не может искать данные. Однако это не повлияет на данные, поступающие в индексатор — данные будут продолжать передаваться в развертывании Splunk, а индексаторы будут индексировать данные. Но в верхней части Search Head будет отображаться предупреждающее сообщение о том, что пользователь превысил объем индексации. В этом случае они должны либо уменьшить объем входящих данных, либо должны приобрести дополнительную емкость лицензии Splunk.
14. Объясните «нарушение лицензии» с точки зрения Splunk.
Каждый раз, когда вы превышаете лимит данных, на панели управления будет отображаться ошибка «Нарушение лицензии». Это предупреждение остается в силе в течение 14 дней. Для коммерческой лицензии Splunk пользователи могут получить пять предупреждений в 30-дневном окне, до которых результаты поиска и отчеты Indexer не будут срабатывать. Однако в бесплатной версии пользователи получают только три предупреждения.
15. Каково общее выражение для извлечения IP-адреса из журналов?
Хотя вы можете извлечь IP-адрес из журналов разными способами, обычное выражение для него будет таким:
rex field=_raw "(?<ip_address>\d+\.\d+\.\d+\.\d+)"
ИЛИ
rex field=_raw "(?<ip_address>([0-9]{1,3}[\.]){3}[0-9]{1,3})"
16. Как устранить проблемы с производительностью Splunk?
Чтобы устранить проблемы с производительностью Splunk, выполните следующие действия:
- Проверьте splunkd.log, чтобы найти ошибки.
- Проверьте производительность сервера (использование ЦП/памяти, дисковый ввод-вывод и т. д.)
- Проверьте количество сохраненных поисковых запросов, которые выполняются в данный момент, а также потребление ими системных ресурсов.
- Установите приложение SOS (Splunk on Splunk) и посмотрите, отображаются ли на панели управления какие-либо предупреждения или ошибки.
- Установите Firebug (расширение Firefox) и включите его в своей системе. После этого вам нужно войти в Splunk с помощью Firefox, открыть панели Firebug и перейти на панель «Сеть», чтобы включить ее). На панели «Сеть» отображаются HTTP-запросы и ответы, а также время, затраченное на каждый из них. Это позволит вам увидеть, какие запросы замедляют работу Splunk и влияют на общую производительность.
17. Что такое ведра? Объясните жизненный цикл корзины Splunk.
Buckets — это каталоги, в которых хранятся проиндексированные данные в Splunk. Итак, это физический каталог, в котором записаны события определенного периода. Ведро претерпевает несколько стадий трансформации с течением времени. Они есть:
- Горячее — Горячее ведро состоит из недавно проиндексированных данных и, следовательно, открыто для записи и новых дополнений. Индекс может иметь один или несколько горячих сегментов.
- «Теплый» — «теплый» сегмент содержит данные, выведенные из «горячего» сегмента.
- Холодный — в холодном сегменте есть данные, которые выкатываются из теплого сегмента.
- Frozen — замороженное ведро содержит данные, полученные из холодного ведра. Индексатор Splunk по умолчанию удаляет замороженные данные. Тем не менее, есть возможность заархивировать его. Здесь важно помнить, что замороженные данные недоступны для поиска.
18. Для какой цели свойство часового пояса служит в Splunk?
В Splunk часовой пояс имеет решающее значение для поиска событий с точки зрения безопасности или мошенничества. Splunk устанавливает для вас часовой пояс по умолчанию в настройках вашего браузера. Кроме того, браузер получает текущий часовой пояс с используемой вами машины. Таким образом, если вы ищете какое-либо событие с неправильным часовым поясом, вы не найдете ничего релевантного для этого поиска.
Часовой пояс становится чрезвычайно важным, когда вы ищете и сопоставляете данные, поступающие из разных и множественных источников .
19. Определите тип источника в Splunk.
В Splunk Sourcetype относится к полю по умолчанию, которое используется для идентификации структуры данных входящего события. Sourcetype должен быть установлен на уровне пересылки для извлечения индексатора, чтобы помочь идентифицировать различные форматы данных. Он определяет, как Splunk Enterprise форматирует данные в процессе индексации. В этом случае вы должны убедиться, что вашим данным назначен правильный тип источника. Чтобы сделать поиск данных еще проще, вы должны указать точные временные метки и интервалы событий для проиндексированных данных (данных событий).
20. Объясните разницу между командами Stats и Eventstats.
В Splunk команда Stats используется для создания сводной статистики всех существующих полей в результатах поиска и сохранения их в качестве значений во вновь созданных полях. Хотя команда Eventstats очень похожа на команду Stats, она добавляет результаты агрегирования в каждое событие (если только агрегирование относится к этому конкретному событию). Таким образом, в то время как обе команды вычисляют запрошенную статистику, команда Eventstats объединяет статистику в исходные необработанные данные.
21. Различайте приложение Splunk и надстройку.
Приложения Splunk относятся к полному набору отчетов, информационных панелей, предупреждений, извлечений полей и поиска. Однако надстройки Splunk содержат только встроенные конфигурации — у них нет панелей мониторинга или отчетов.
22. Какая команда останавливает и запускает службу Splunk?
Команда для запуска службы Splunk: ./splunk start
Команда для остановки службы Splunk: ./splunk stop
23. Как очистить историю поиска Splunk?
Чтобы очистить историю поиска Splunk, вам необходимо удалить следующий файл с сервера Splunk:
$splunk_home/var/log/splunk/searchs.log
24. Что такое Btool в Splunk?
Btool в Splunk — это инструмент командной строки, который используется для устранения неполадок с файлом конфигурации. Это также помогает проверить, какие значения используются пользовательской установкой Splunk Enterprise в существующей среде.
25. Для чего нужен Splunk Alert? Укажите тип параметров, которые вы получаете при настройке оповещений Splunk.
Оповещения Splunk помогают уведомлять пользователей о любых ошибочных состояниях в их системах. Например, пользователь может настроить оповещения для отправки уведомлений по электронной почте администратору в случае более трех неудачных попыток входа в систему в течение 24 часов.
Различные параметры, которые вы получаете при настройке предупреждений, включают:
- Вы можете создать вебхук. Это позволит вам писать в HipChat или GitHub — вы можете написать электронное письмо группе компьютеров, содержащее вашу тему, приоритеты и тело вашего электронного письма.
- Вы можете добавить результаты в форматах CSV или pdf или встроить их в текст сообщения, чтобы помочь получателю понять местоположение и условия сработавшего оповещения и какие действия были предприняты для него.
- Вы можете создавать заявки и оповещения о дросселировании на основе определенных условий, таких как имя компьютера или IP-адрес. Этими предупреждениями можно управлять из окна предупреждений.
26. Что такое Fishbucket и какой у него индекс?
Fishbucket — это индексный каталог, расположенный в расположении по умолчанию, то есть:
/opt/splunk/var/lib/splunk
Fishbucket включает указатели поиска и CRC для проиндексированных файлов. Чтобы получить доступ к Fishbucket, вы можете использовать графический интерфейс для поиска:
индекс=_thefishbucket
27. Как узнать, когда Splunk завершил индексирование файла журнала?
Вы можете выяснить, завершил ли Splunk индексирование файла журнала, двумя способами:
- Отслеживая данные из журнала метрик Splunk в режиме реального времени:
index="_internal" source="*metrics.log" group="per_sourcetype_thruput" series="<your_sourcetype_here>" |
оценка МБ=кб/1024 | сумма диаграммы (МБ)
- Отслеживая все метрики, разделенные по типу источника:
index="_internal" source="*metrics.log" group="per_sourcetype_thruput" | оценка МБ=кб/1024 | сумма диаграммы (МБ) avg (eps) по серии
28. Что такое каталог рассылки?
Dispatch Directory включает в себя каталог для отдельных поисков, которые либо выполняются, либо завершены. Конфигурация Dispatch Directory выглядит следующим образом:
$SPLUNK_HOME/var/run/splunk/отправка
Предположим, есть каталог с именем 1434308943.358. Этот каталог будет содержать CSV-файл со всеми результатами поиска, search.log, содержащий сведения о выполнении поиска, и другую соответствующую информацию. Используя конфигурацию по умолчанию, вы можете удалить этот каталог в течение 10 минут после завершения поиска. Если вы сохраните результаты поиска, они будут удалены через семь дней.
29. Как вы можете добавить журналы доступа к папкам с компьютера с Windows в Splunk?
Чтобы добавить журналы доступа к папкам с компьютеров Windows в Splunk, вы должны выполнить шаги, перечисленные ниже:
- Перейдите в групповую политику и включите аудит доступа к объектам на компьютере с Windows, где находится папка.
- Теперь вам нужно включить аудит для конкретной папки, для которой вы хотите отслеживать журналы доступа.
- Установите Splunk Universal Forwarder на компьютер с Windows.
- Настройте Universal Forwarder для отправки журналов безопасности в Splunk Indexer.
30. Как Splunk предотвращает дублирование индексации журналов?
Индексатор Splunk отслеживает все проиндексированные события в каталоге — каталоге Fishbuckets, который содержит указатели поиска и CRC для всех файлов, индексируемых в данный момент. Таким образом, если есть какой-либо указатель поиска или CRC, который уже был прочитан, splunkd укажет на это.
31. Каков приоритет файлов конфигурации в Splunk?
Приоритет файлов конфигурации в Splunk следующий:
- Системный локальный каталог (высший приоритет)
- Локальные каталоги приложений
- Каталоги приложений по умолчанию
- Системный каталог по умолчанию (самый низкий приоритет)
32. Определите «Фактор поиска» и «Фактор репликации».
И фактор поиска (SF), и фактор репликации (RF) являются кластерными терминами в Splunk. В то время как SF (со значением по умолчанию 2) определяет количество доступных для поиска копий данных, поддерживаемых кластером индексатора, RF представляет количество копий данных, поддерживаемых кластером индексатора. Важно помнить, что SF всегда должен быть меньше или равен коэффициенту репликации. Кроме того, в кластере Search Head есть только Search Factor, тогда как в кластере Indexer есть и SF, и RF.
33. Почему используется команда Различайте команды inputlookup и В Splunk команды поиска используются, когда вы хотите получить определенные поля из внешнего файла (например, скрипта на основе Python или файла CSV) для получения значения события. Это помогает сузить результаты поиска, ссылаясь на поля во внешнем CSV-файле, который соответствует полям в данных события.
Команда inputlookup используется, когда вы хотите получить ввод. Например, команда может взять цену продукта или название продукта в качестве входных данных, а затем сопоставить их с внутренним полем, таким как идентификатор продукта. Напротив, команда outputlookup используется для получения вывода из существующего списка полей.
34. Различия между Splunk SDK и Splunk Framework.
Splunk SDK в первую очередь предназначены для помощи пользователям в разработке приложений с нуля. Для их работы не требуется Splunk Web или любой другой компонент Splunk App Framework. Splunk SDK лицензируются отдельно от Splunk. В отличие от этого, Splunk App Framework находится на веб-сервере Splunk. Он позволяет пользователям настраивать веб-интерфейс Splunk, сопровождающий продукт. Хотя он позволяет разрабатывать приложения Splunk, вы должны делать это с помощью веб-сервера Splunk.
Изучайте онлайн -курсы по разработке программного обеспечения в лучших университетах мира. Участвуйте в программах Executive PG, Advanced Certificate Programs или Master Programs, чтобы ускорить свою карьеру.
Заключение
Мы надеемся, что эти вопросы для Splunk-интервью помогут вам войти в курс дела и подготовиться к Splunk-интервью!
Если вам интересно узнать больше о splunk и других инструментах DevOps, ознакомьтесь с программой Executive PG IIIT-B и upGrad в программе разработки программного обеспечения Full Stack.
