• โฮมเพจ
  • บทความ
  • ทั่วไป
  • 34 คำถามและคำตอบในการสัมภาษณ์ Splunk ยอดนิยมสำหรับผู้เริ่มต้นและผู้มีประสบการณ์ [2022]

34 คำถามและคำตอบในการสัมภาษณ์ Splunk ยอดนิยมสำหรับผู้เริ่มต้นและผู้มีประสบการณ์ [2022]

เผยแพร่แล้ว: 2021-01-07

Splunk เป็นหนึ่งในโซลูชันการจัดการและวิเคราะห์โหลดชั้นนำในด้านการปฏิบัติงานด้านไอที เครื่องมือนี้เป็นหนึ่งในเครื่องมือ devops อันดับต้น ๆ ในตลาดที่มีความต้องการสูงอยู่เสมอ และผู้เชี่ยวชาญของ Splunk ก็เช่นกัน และความรู้เกี่ยวกับความกล้าหาญเป็นหนึ่งในข้อกำหนดที่สำคัญในการเป็นวิศวกร devops เมื่อพูดถึงงาน Splunk ในภาคไอที การแข่งขันค่อนข้างยากและท้าทาย ดังนั้น หากคุณต้องการหางานเฉพาะกลุ่มใน Splunk คุณต้องพร้อมที่จะ เอาชนะการสัมภาษณ์ Splunk

ไม่ต้องกังวล เพราะเราได้สร้างโพสต์แบบละเอียดพร้อม คำถามสัมภาษณ์ Splunk อันดับต้นๆ ที่ไม่เพียงแต่จะช่วยเพิ่มพูนความรู้ Splunk ของคุณ แต่ยังช่วยมอบงานที่คุณกำลังมองหาอยู่อีกด้วย!

ผู้เรียนได้รับการขึ้นเงินเดือนโดยเฉลี่ย 58% โดยสูงสุดอยู่ที่ 400%

เพื่อไม่ให้เป็นการเสียเวลา เรามาไขข้อข้องใจในคำถามสัมภาษณ์ 33 ข้อของ Splunk กันดีกว่า!

คำถามและคำตอบในการสัมภาษณ์ Splunk ยอดนิยม

1. กำหนด Splunk

Splunk เป็นแพลตฟอร์มซอฟต์แวร์ที่ช่วยให้ผู้ใช้สามารถวิเคราะห์ข้อมูลที่เครื่องสร้างขึ้น (จากอุปกรณ์ฮาร์ดแวร์ เครือข่าย เซิร์ฟเวอร์ อุปกรณ์ IoT เป็นต้น) Splunk ใช้กันอย่างแพร่หลายในการค้นหา แสดงภาพ ตรวจสอบ และรายงานข้อมูลองค์กร มันประมวลผลและวิเคราะห์ข้อมูลเครื่องจักรและแปลงเป็นปัญญาการปฏิบัติงานที่มีประสิทธิภาพโดยนำเสนอข้อมูลเชิงลึกแบบเรียลไทม์ในข้อมูลผ่านการแสดงภาพที่แม่นยำ

Splunk ใช้สำหรับวิเคราะห์ข้อมูลเครื่องเนื่องจาก:

  • นำเสนอข้อมูลเชิงลึกทางธุรกิจ – Splunk เข้าใจรูปแบบที่ซ่อนอยู่ภายในข้อมูลและเปลี่ยนให้เป็นข้อมูลเชิงลึกทางธุรกิจแบบเรียลไทม์ที่สามารถนำมาใช้ในการตัดสินใจทางธุรกิจอย่างมีข้อมูล
  • ให้ทัศนวิสัยในการปฏิบัติงาน – Splunk ใช้ประโยชน์จากข้อมูลเครื่องจักรเพื่อรับการมองเห็นจากต้นทางถึงปลายทางในการดำเนินงานของบริษัท แล้วแยกย่อยตามโครงสร้างพื้นฐาน
  • อำนวยความสะดวกในการตรวจสอบเชิงรุก – Splunk ใช้ข้อมูลเครื่องเพื่อตรวจสอบระบบแบบเรียลไทม์เพื่อระบุปัญหาและช่องโหว่ของระบบ (การละเมิดและการโจมตีภายนอก/ภายใน)

2. ตั้งชื่อหมายเลขพอร์ตทั่วไปที่ใช้โดย Splunk

หมายเลขพอร์ตทั่วไปสำหรับ Splunk คือ:

  • Splunk เว็บพอร์ต: 8000
  • พอร์ตการจัดการ Splunk: 8089
  • พอร์ตเครือข่าย Splunk: 514
  • พอร์ตการจำลองดัชนี Splunk: 8080
  • พอร์ตการจัดทำดัชนี Splunk: 9997
  • ร้าน KV: 8191

3. ตั้งชื่อส่วนประกอบของสถาปัตยกรรม Splunk

สถาปัตยกรรม Splunk ประกอบด้วยส่วนประกอบต่อไปนี้:

  • หัวหน้าการค้นหา - มี GUI สำหรับการค้นหา
  • ตัวสร้างดัชนี – มันสร้างดัชนีข้อมูลเครื่อง
  • Forwarder – มันส่งต่อบันทึกไปยังตัวสร้างดัชนี

เซิร์ฟเวอร์การปรับใช้ – จัดการส่วนประกอบ Splunk ในสภาพแวดล้อมแบบกระจายและแจกจ่ายแอปการกำหนดค่า

4. แดชบอร์ด Splunk ประเภทต่าง ๆ มีอะไรบ้าง

แดชบอร์ด Splunk มีสามประเภท:

  • แดชบอร์ดแบบเรียลไทม์
  • แดชบอร์ดตามแบบฟอร์มแบบไดนามิก
  • แดชบอร์ดสำหรับรายงานตามกำหนดเวลา

5. ตั้งชื่อประเภทโหมดการค้นหาที่รองรับใน Splunk

Splunk รองรับแดชบอร์ดสามประเภท ได้แก่:

  • โหมดเร็ว
  • โหมดอัจฉริยะ
  • โหมดละเอียด

6. ตั้งชื่อ Splunk Forwarders ประเภทต่างๆ

Splunk Forwarders มีสองประเภท:

  • Universal Forwarder (UF) – เป็นเอเจนต์ Splunk น้ำหนักเบาที่ติดตั้งบนระบบที่ไม่ใช่ Splunk เพื่อรวบรวมข้อมูลในเครื่อง UF ไม่สามารถแยกวิเคราะห์หรือจัดทำดัชนีข้อมูล
  • Heavyweight Forwarder (HWF) – เป็น Splunk รุ่นหนาที่มีฟังก์ชันการทำงานขั้นสูง รวมถึงความสามารถในการแยกวิเคราะห์และจัดทำดัชนี ใช้สำหรับกรองข้อมูล

7. ประโยชน์ของการป้อนข้อมูลลงในอินสแตนซ์ Splunk ผ่าน Splunk Forwarders คืออะไร

หากคุณป้อนข้อมูลลงในอินสแตนซ์ Splunk ผ่าน Splunk Forwarders คุณจะได้รับประโยชน์ที่สำคัญสามประการ ได้แก่ การเชื่อมต่อ TCP การควบคุมแบนด์วิดท์ และการเชื่อมต่อ SSL ที่เข้ารหัสเพื่อถ่ายโอนข้อมูลจาก Forwarder ไปยัง Indexer สถาปัตยกรรมของ Splunk นั้นทำให้ข้อมูลที่ส่งต่อไปยังตัวสร้างดัชนีจะโหลดบาลานซ์ตามค่าเริ่มต้น

ดังนั้น แม้ว่าตัวสร้างดัชนีตัวหนึ่งจะหยุดทำงานเนื่องจากสาเหตุบางประการ ข้อมูลสามารถกำหนดเส้นทางใหม่เองผ่านอินสแตนซ์ตัวสร้างดัชนีอื่นได้อย่างรวดเร็ว นอกจากนี้ Splunk Forwarders จะแคชเหตุการณ์ในเครื่องก่อนที่จะส่งต่อ ดังนั้นจึงสร้างการสำรองข้อมูลชั่วคราวของข้อมูล

8. “ดัชนีสรุป” ใน Splunk คืออะไร?

ใน Splunk ดัชนีสรุปหมายถึงดัชนี Splunk เริ่มต้นที่จัดเก็บข้อมูลที่เกิดจากการค้นหาตามกำหนดการเมื่อเวลาผ่านไป โดยพื้นฐานแล้ว มันคือดัชนีที่ Splunk Enterprise ใช้ หากผู้ใช้ไม่ได้ระบุหรือระบุดัชนีอื่น

ข้อได้เปรียบที่สำคัญที่สุดของดัชนีสรุปคือช่วยให้คุณสามารถเก็บการวิเคราะห์และรายงานไว้ได้แม้ว่าข้อมูลของคุณจะหมดอายุแล้วก็ตาม

9. จุดประสงค์ของ Splunk DB Connect คืออะไร?

Splunk DB Connect เป็นปลั๊กอินฐานข้อมูล SQL ทั่วไปที่ออกแบบมาสำหรับ Splunk ช่วยให้ผู้ใช้สามารถรวมข้อมูลฐานข้อมูลกับข้อความค้นหาและรายงาน Splunk ได้อย่างราบรื่น

10. ตัวสร้างดัชนี Splunk คืออะไร?

ตามชื่อที่แนะนำ Splunk Indexer จะสร้างและจัดการดัชนี มีฟังก์ชันหลักสองประการ - เพื่อจัดทำดัชนีข้อมูลดิบลงในดัชนี และเพื่อค้นหาและจัดการข้อมูลที่จัดทำดัชนี

11. ตั้งชื่อคำสั่งค้นหา Splunk ที่สำคัญสองสามคำ

คำสั่งค้นหาที่สำคัญบางคำสั่งใน Splunk ได้แก่:

  • เชิงนามธรรม
  • เอเร็กซ์
  • ผลรวม
  • สะสม
  • เติมเต็ม
  • ประเภท R
  • เปลี่ยนชื่อ
  • ความผิดปกติ

อ่านเพิ่มเติม: Splunk v Elk: คุณควรเลือกอันไหน?

12. ไฟล์การกำหนดค่าที่สำคัญที่สุดใน Splunk มีอะไรบ้าง

ไฟล์การกำหนดค่าที่สำคัญที่สุดใน Splunk คือ:

  • props.conf
  • indexes.conf
  • inputs.conf
  • แปลง.conf
  • server.conf

13. License Master ใน Splunk มีความสำคัญอย่างไร? จะเกิดอะไรขึ้นหากไม่สามารถเข้าถึง License Master ได้?

ใน Splunk License Master ช่วยให้มั่นใจได้ว่าข้อมูลจะได้รับการจัดทำดัชนีในปริมาณที่เหมาะสม เนื่องจากสิทธิ์ใช้งาน Splunk ขึ้นอยู่กับปริมาณข้อมูลที่เข้าถึงแพลตฟอร์มภายในกรอบเวลา 24 ชั่วโมง License Master จึงมั่นใจได้ว่าสภาพแวดล้อม Splunk ของคุณจะอยู่ภายในข้อจำกัดของปริมาณที่ซื้อ

หากไม่สามารถเข้าถึง License Master ผู้ใช้จะไม่สามารถค้นหาข้อมูลได้ อย่างไรก็ตาม สิ่งนี้จะไม่ส่งผลต่อข้อมูลที่ไหลเข้าสู่ตัวสร้างดัชนี – ข้อมูลจะยังคงไหลต่อไปในการปรับใช้ Splunk และตัวสร้างดัชนีจะจัดทำดัชนีข้อมูล แต่ด้านบนของ Search Head จะแสดงข้อความเตือนว่าผู้ใช้ทำดัชนีเกินปริมาณ ในกรณีนี้ พวกเขาต้องลดปริมาณข้อมูลที่ไหลเข้าหรือต้องซื้อความจุเพิ่มเติมของสิทธิ์การใช้งาน Splunk

14. อธิบาย 'การละเมิดใบอนุญาต' ในมุมมองของ Splunk

ทุกครั้งที่คุณใช้ข้อมูลเกินขีดจำกัด ข้อผิดพลาด 'การละเมิดใบอนุญาต' จะแสดงบนแดชบอร์ด คำเตือนนี้จะคงอยู่เป็นเวลา 14 วัน สำหรับใบอนุญาต Splunk เชิงพาณิชย์ ผู้ใช้สามารถมีคำเตือนห้ารายการในกรอบเวลา 30 วัน ก่อนที่ผลการค้นหาและรายงานของ Indexer จะไม่ทริกเกอร์ อย่างไรก็ตาม สำหรับเวอร์ชันฟรี ผู้ใช้จะได้รับการเตือนเพียง 3 ครั้งเท่านั้น

15. นิพจน์ทั่วไปสำหรับการแยกที่อยู่ IP จากบันทึกคืออะไร?

แม้ว่าคุณจะสามารถแยกที่อยู่ IP ออกจากบันทึกได้หลายวิธี แต่การสำรวจปกติสำหรับที่อยู่ IP จะเป็นดังนี้:

ฟิลด์เร็กซ์=_raw “(?<ip_address>\d+\.\d+\.\d+\.\d+)”

หรือ

rex field=_raw “(?<ip_address>([0-9]{1,3}[\.]){3}[0-9]{1,3})”

16. คุณจะแก้ไขปัญหาประสิทธิภาพ Splunk ได้อย่างไร

ในการแก้ไขปัญหาประสิทธิภาพ Splunk ให้ทำตามขั้นตอนต่อไปนี้:

  • ตรวจสอบ splunkd.log เพื่อค้นหาข้อผิดพลาด
  • ตรวจสอบปัญหาประสิทธิภาพของเซิร์ฟเวอร์ (การใช้ CPU/หน่วยความจำ ดิสก์ i/o ฯลฯ)
  • ตรวจสอบจำนวนการค้นหาที่บันทึกไว้ซึ่งกำลังทำงานอยู่ในปัจจุบันและการใช้ทรัพยากรของระบบด้วย
  • ติดตั้งแอป SOS (Splunk on Splunk) และดูว่าแดชบอร์ดแสดงคำเตือนหรือข้อผิดพลาดหรือไม่
  • ติดตั้ง Firebug (ส่วนขยายของ Firefox) และเปิดใช้งานในระบบของคุณ หลังจากนั้น คุณต้องเข้าสู่ระบบ Splunk โดยใช้ Firefox เปิดแผงควบคุมของ Firebug และไปที่แผง 'Net' เพื่อเปิดใช้งาน) แผง Net จะแสดงคำขอและการตอบกลับ HTTP พร้อมกับเวลาที่ใช้ในแต่ละรายการ วิธีนี้จะช่วยให้คุณเห็นว่าคำขอใดทำให้ Splunk ทำงานช้าลงและส่งผลต่อประสิทธิภาพโดยรวม

17. ถังคืออะไร? อธิบายวงจรชีวิตของ Splunk Bucket

ที่เก็บข้อมูลคือไดเร็กทอรีที่จัดเก็บข้อมูลที่จัดทำดัชนีไว้ใน Splunk ดังนั้นจึงเป็นไดเร็กทอรีทางกายภาพที่บันทึกเหตุการณ์ในช่วงเวลาหนึ่งๆ ที่ฝากข้อมูลผ่านการเปลี่ยนแปลงหลายขั้นตอนเมื่อเวลาผ่านไป พวกเขาเป็น:

  • ร้อน – ฮ็อตบัคเก็ตประกอบด้วยข้อมูลที่จัดทำดัชนีใหม่ ดังนั้นจึงเปิดให้เขียนและเพิ่มใหม่ได้ ดัชนีสามารถมีถังเก็บความร้อนได้ตั้งแต่หนึ่งถังขึ้นไป
  • อบอุ่น – บัคเก็ตที่อบอุ่นประกอบด้วยข้อมูลที่นำออกจากบัคเก็ตแบบร้อน
  • เย็น – บัคเก็ตแบบเย็นมีข้อมูลที่นำออกจากบัคเก็ตแบบอุ่น
  • แช่แข็ง – บัคเก็ตที่แช่แข็งมีข้อมูลที่นำออกจากบัคเก็ตแบบเย็น ตัวสร้างดัชนี Splunk จะลบข้อมูลที่ตรึงไว้ตามค่าเริ่มต้น อย่างไรก็ตาม มีตัวเลือกในการเก็บถาวร สิ่งสำคัญที่ต้องจำไว้คือไม่สามารถค้นหาข้อมูลที่แช่แข็งได้

18. คุณสมบัติ Time Zone ให้บริการใน Splunk อย่างไร

ใน Splunk เขตเวลามีความสำคัญต่อการค้นหากิจกรรมจากมุมมองด้านความปลอดภัยหรือการฉ้อโกง Splunk ตั้งค่าโซนเวลาเริ่มต้นสำหรับคุณจากการตั้งค่าเบราว์เซอร์ของคุณ เบราว์เซอร์จะเลือกโซนเวลาปัจจุบันเพิ่มเติมจากเครื่องที่คุณใช้ ดังนั้น หากคุณค้นหากิจกรรมที่มีเขตเวลาที่ไม่ถูกต้อง คุณจะไม่พบสิ่งที่เกี่ยวข้องกับการค้นหานั้น

เขตเวลามีความสำคัญอย่างยิ่งเมื่อคุณค้นหาและเชื่อมโยงข้อมูลที่หลั่งไหลเข้ามาจากแหล่ง ต่างๆ

19. กำหนด Sourcetype ใน Splunk

ใน Splunk Sourcetype หมายถึงฟิลด์เริ่มต้นที่ใช้ในการระบุโครงสร้างข้อมูลของเหตุการณ์ที่เข้ามา ประเภทแหล่งที่มาควรตั้งค่าไว้ที่ระดับตัวส่งต่อสำหรับการแยกตัวสร้างดัชนีเพื่อช่วยระบุรูปแบบข้อมูลที่แตกต่างกัน กำหนดวิธีที่ Splunk Enterprise จัดรูปแบบข้อมูลในระหว่างกระบวนการสร้างดัชนี ในกรณีนี้ คุณต้องแน่ใจว่าได้กำหนด Sourcetype ที่ถูกต้องให้กับข้อมูลของคุณ เพื่อให้การค้นหาข้อมูลง่ายยิ่งขึ้น คุณควรระบุการประทับเวลาที่ถูกต้อง และการแบ่งเหตุการณ์ไปยังข้อมูลที่จัดทำดัชนี (ข้อมูลเหตุการณ์)

20. อธิบายความแตกต่างระหว่างคำสั่ง Stats และ Eventstats

ใน Splunk คำสั่ง Stats จะใช้เพื่อสร้างสถิติสรุปของฟิลด์ที่มีอยู่ทั้งหมดในผลการค้นหา และบันทึกเป็นค่าในฟิลด์ที่สร้างขึ้นใหม่ แม้ว่าคำสั่ง Eventstats จะค่อนข้างคล้ายกับคำสั่ง Stats แต่จะเพิ่มผลลัพธ์การรวมแบบอินไลน์ให้กับแต่ละเหตุการณ์ (หากเฉพาะการรวมที่เกี่ยวข้องกับเหตุการณ์นั้น ๆ เท่านั้น) ดังนั้น ในขณะที่ทั้งสองคำสั่งคำนวณสถิติที่ร้องขอ คำสั่ง Eventstats จะรวมสถิติไว้ในข้อมูลดิบดั้งเดิม

21. แยกความแตกต่างระหว่าง Splunk App และ Add-on

แอพ Splunk หมายถึงคอลเลกชั่นรายงาน แดชบอร์ด การแจ้งเตือน การแยกฟิลด์ และการค้นหาทั้งหมด อย่างไรก็ตาม Splunk Add-on มีการกำหนดค่าในตัวเท่านั้น ไม่มีแดชบอร์ดหรือรายงาน

22. คำสั่งให้หยุดและเริ่มบริการ Splunk คืออะไร?

คำสั่งเพื่อเริ่มบริการ Splunk คือ: ./splunk start

คำสั่งหยุดบริการ Splunk คือ: ./splunk stop

23. คุณจะล้างประวัติการค้นหา Splunk ได้อย่างไร

หากต้องการล้างประวัติการค้นหา Splunk คุณต้องลบไฟล์ต่อไปนี้ออกจากเซิร์ฟเวอร์ Splunk:

$splunk_home/var/log/splunk/searches.log

24. Btool ใน Splunk คืออะไร?

Btool ใน Splunk เป็นเครื่องมือบรรทัดคำสั่งที่ใช้สำหรับการแก้ไขปัญหาไฟล์การกำหนดค่า นอกจากนี้ยังช่วยตรวจสอบว่าการติดตั้ง Splunk Enterprise ของผู้ใช้ใช้ค่าใดในสภาพแวดล้อมที่มีอยู่

25. Splunk Alert มีความจำเป็นอย่างไร? ระบุประเภทของตัวเลือกที่คุณได้รับขณะตั้งค่า Splunk Alerts

Splunk Alerts ช่วยแจ้งให้ผู้ใช้ทราบถึงเงื่อนไขที่ผิดพลาดในระบบของตน ตัวอย่างเช่น ผู้ใช้สามารถตั้งค่า Alerts สำหรับการแจ้งเตือนทางอีเมลเพื่อส่งไปยังผู้ดูแลระบบ ในกรณีที่มีการพยายามเข้าสู่ระบบที่ล้มเหลวมากกว่าสามครั้งภายใน 24 ชั่วโมง

ตัวเลือกต่างๆ ที่คุณได้รับขณะตั้งค่าการแจ้งเตือน ได้แก่:

  • คุณสามารถสร้างเว็บฮุคได้ วิธีนี้จะทำให้คุณสามารถเขียนถึง HipChat หรือ GitHub – คุณสามารถเขียนอีเมลไปยังกลุ่มของเครื่องที่มีหัวเรื่อง ลำดับความสำคัญ และเนื้อหาของอีเมลของคุณ
  • คุณสามารถเพิ่มผลลัพธ์ในรูปแบบ CSV หรือ pdf หรืออินไลน์กับเนื้อหาของข้อความเพื่อช่วยให้ผู้รับเข้าใจตำแหน่งและเงื่อนไขของการแจ้งเตือนที่ถูกทริกเกอร์และสิ่งที่ดำเนินการไปแล้วสำหรับสิ่งเดียวกัน
  • คุณสามารถสร้างตั๋วและการแจ้งเตือนคันเร่งตามเงื่อนไขเฉพาะ เช่น ชื่อเครื่องหรือที่อยู่ IP การแจ้งเตือนเหล่านี้สามารถควบคุมได้จากหน้าต่างแจ้งเตือน

26. Fishbucket คืออะไรและดัชนีของมันคืออะไร?

Fishbucket เป็นไดเร็กทอรีดัชนีที่วางอยู่ที่ตำแหน่งเริ่มต้น นั่นคือ:

/opt/splunk/var/lib/splunk

Fishbucket มีตัวชี้การค้นหาและ CRC สำหรับไฟล์ที่จัดทำดัชนี ในการเข้าถึง Fishbucket คุณสามารถใช้ GUI ในการค้นหา:

ดัชนี=_thefishbucket

27. จะรู้ได้อย่างไรว่าเมื่อ Splunk สร้างดัชนีไฟล์บันทึกเสร็จแล้ว?

คุณสามารถทราบได้ว่า Splunk ได้ทำดัชนีไฟล์บันทึกเสร็จแล้วหรือไม่ด้วยสองวิธี:

  1. โดยการตรวจสอบข้อมูลจากบันทึกเมตริกของ Splunk แบบเรียลไทม์:

index=”_internal” source=”*metrics.log” group=”per_sourcetype_thruput” ​​series=”&lt;your_sourcetype_here&gt;” |

eval MB=kb/1024 | ผลรวมของแผนภูมิ (MB)

  1. โดยการตรวจสอบเมตริกทั้งหมดแยกตามประเภทแหล่งที่มา:

index=”_internal” source=”*metrics.log” group=”per_sourcetype_thruput” ​​| eval MB=kb/1024 | ผลรวมของแผนภูมิ (MB) เฉลี่ย (eps) เหนือซีรีส์

28. ไดเร็กทอรี Dispatch คืออะไร?

ไดเร็กทอรี Dispatch ประกอบด้วยไดเร็กทอรีสำหรับการค้นหาแต่ละรายการที่กำลังทำงานหรือเสร็จสิ้น การกำหนดค่าสำหรับ Dispatch Directory มีดังนี้:

$SPLUNK_HOME/var/run/splunk/dispatch

สมมติว่ามีไดเร็กทอรีชื่อ 1434308943.358 ไดเร็กทอรีนี้จะมีไฟล์ CSV ของผลการค้นหาทั้งหมด, search.log ที่มีรายละเอียดเกี่ยวกับการดำเนินการค้นหา และข้อมูลอื่นๆ ที่เกี่ยวข้อง ด้วยการใช้การกำหนดค่าเริ่มต้น คุณสามารถลบไดเร็กทอรีนี้ภายใน 10 นาทีหลังจากการค้นหาเสร็จสิ้น หากคุณบันทึกผลการค้นหา ผลการค้นหาจะถูกลบออกหลังจากเจ็ดวัน

29. คุณจะเพิ่มบันทึกการเข้าถึงโฟลเดอร์จากเครื่อง Windows ไปยัง Splunk ได้อย่างไร

ในการเพิ่มบันทึกการเข้าถึงโฟลเดอร์จากเครื่อง Windows ไปยัง Splunk คุณต้องทำตามขั้นตอนด้านล่าง:

  • ไปที่นโยบายกลุ่มและเปิดใช้งานการตรวจสอบการเข้าถึงวัตถุบนเครื่อง Windows ที่โฟลเดอร์นั้นตั้งอยู่
  • ตอนนี้ คุณต้องเปิดใช้งานการตรวจสอบในโฟลเดอร์เฉพาะที่คุณต้องการตรวจสอบบันทึกการเข้าถึง
  • ติดตั้ง Splunk Universal Forwarder บนเครื่อง Windows
  • กำหนดค่า Universal Forwarder เพื่อส่งบันทึกการรักษาความปลอดภัยไปยัง Splunk Indexer

30. Splunk หลีกเลี่ยงการสร้างดัชนีซ้ำของบันทึกได้อย่างไร

Splunk Indexer ติดตามเหตุการณ์ที่ทำดัชนีทั้งหมดในไดเร็กทอรี - ไดเร็กทอรี Fishbuckets ที่มีตัวชี้การค้นหาและ CRC สำหรับไฟล์ทั้งหมดที่ทำดัชนีในปัจจุบัน ดังนั้นหากมีตัวชี้การค้นหาหรือ CRC ที่อ่านแล้ว splunkd จะชี้ให้เห็น

31. ไฟล์คอนฟิกูเรชันมีความสำคัญใน Splunk คืออะไร?

ลำดับความสำคัญของไฟล์การกำหนดค่าใน Splunk มีดังนี้:

  • System Local Directory (ลำดับความสำคัญสูงสุด)
  • App Local Directory
  • ไดเรกทอรีเริ่มต้นของแอป
  • ไดเรกทอรีเริ่มต้นของระบบ (ลำดับความสำคัญต่ำสุด)

32. กำหนด "ปัจจัยการค้นหา" และ "ปัจจัยการจำลอง"

ทั้ง Search Factor (SF) และ Replication Factor (RF) เป็นคำศัพท์เกี่ยวกับการจัดกลุ่มใน Splunk แม้ว่า SF (ด้วยค่าเริ่มต้น 2) จะกำหนดจำนวนสำเนาของข้อมูลที่ค้นหาได้ซึ่งดูแลโดยคลัสเตอร์ Indexer แต่ RF จะแทนจำนวนสำเนาของข้อมูลที่คลัสเตอร์ Indexer เก็บรักษาไว้ สิ่งสำคัญที่ต้องจำไว้คือ SF ต้องน้อยกว่าหรือเท่ากับปัจจัยการจำลองแบบเสมอ นอกจากนี้ คลัสเตอร์ Search Head มีเฉพาะ Search Factor ในขณะที่คลัสเตอร์ Indexer มีทั้ง SF และ RF

33. ทำไมจึง ใช้คำสั่ง แยกความแตกต่างระหว่าง คำสั่ง ใน Splunk คำสั่งค้นหาจะใช้เมื่อคุณต้องการรับฟิลด์เฉพาะจากไฟล์ภายนอก (เช่น สคริปต์ที่ใช้ Python หรือไฟล์ CSV) เพื่อรับค่าของเหตุการณ์ ช่วยจำกัดผลการค้นหาโดยอ้างอิงฟิลด์ในไฟล์ CSV ภายนอกที่ตรงกับฟิลด์ในข้อมูลเหตุการณ์

คำสั่ง inputlookup จะใช้เมื่อคุณต้องการรับข้อมูลเข้า ตัวอย่างเช่น คำสั่งสามารถใช้ราคาผลิตภัณฑ์หรือชื่อผลิตภัณฑ์เป็นข้อมูลป้อนเข้า จากนั้นจับคู่กับฟิลด์ภายใน เช่น รหัสผลิตภัณฑ์ ในทางตรงกันข้าม คำสั่ง outputlookup ถูกใช้เพื่อสร้างเอาต์พุตจากรายการฟิลด์ที่มีอยู่

34. แยกความแตกต่างระหว่าง Splunk SDK และ Splunk Framework

Splunk SDK ได้รับการออกแบบมาเพื่อช่วยให้ผู้ใช้พัฒนาแอปพลิเคชันตั้งแต่เริ่มต้น พวกเขาไม่ต้องการ Splunk Web หรือส่วนประกอบอื่นใดจาก Splunk App Framework เพื่อให้ทำงานได้ Splunk SDK ได้รับอนุญาตแยกต่างหากจาก Splunk ในทางตรงกันข้าม Splunk App Framework จะอยู่ภายใน Splunk Web Server อนุญาตให้ผู้ใช้ปรับแต่ง Splunk Web UI ที่มาพร้อมกับผลิตภัณฑ์ แม้ว่าจะช่วยให้คุณสามารถพัฒนาแอป Splunk ได้ แต่คุณต้องทำโดยใช้ Splunk Web Server

เรียนรู้ หลักสูตรการพัฒนาซอฟต์แวร์ออนไลน์ จากมหาวิทยาลัยชั้นนำของโลก รับโปรแกรม PG สำหรับผู้บริหาร โปรแกรมประกาศนียบัตรขั้นสูง หรือโปรแกรมปริญญาโท เพื่อติดตามอาชีพของคุณอย่างรวดเร็ว

บทสรุป

เราหวังว่า คำถามสัมภาษณ์ Splunk เหล่านี้จะช่วยให้คุณเข้าสู่กระบวนการและเตรียมพร้อมสำหรับการสัมภาษณ์ Splunk ของคุณ!

หากคุณอยากทราบข้อมูลเพิ่มเติมเกี่ยวกับ splunk และเครื่องมือ DevOps อื่นๆ โปรดดูที่ IIIT-B & upGrad's Executive PG Program ใน Full Stack Software Development Program

เตรียมความพร้อมสู่อาชีพแห่งอนาคต

สมัครเลยตอนนี้สำหรับโปรแกรม Executive PG ในการพัฒนา Full Stack