• Anasayfa
  • Nesne
  • Genel
  • Yeni Başlayanlar ve Deneyimliler İçin En İyi 34 Splunk Mülakat Soruları ve Cevapları [222]

Yeni Başlayanlar ve Deneyimliler İçin En İyi 34 Splunk Mülakat Soruları ve Cevapları [222]

Yayınlanan: 2021-01-07

Splunk, BT Operasyonları alanındaki en iyi yük yönetimi ve analiz çözümlerinden biridir. Araç, her zaman yüksek talep gören piyasadaki en iyi devops araçlarından biridir ve Splunk uzmanları da öyle. Ve splunk bilgisi, devops mühendisi olmak için önemli gereksinimlerden biridir. Doğal olarak, BT sektöründeki Splunk işlerine gelince, rekabet oldukça zorlu ve zorlu. Bu nedenle, Splunk'ta niş bir iş bulmak istiyorsanız, Splunk görüşmesinde başarılı olmaya hazır olmalısınız.

Endişelenmeyin, çünkü yalnızca Splunk bilginizi keskinleştirmenize yardımcı olmakla kalmayacak, aynı zamanda o uzun süredir beklediğiniz işi çantanıza koyacak en önemli Splunk mülakat sorularını içeren ayrıntılı bir gönderi hazırladık!

Öğrenciler, en yüksek %400'e kadar olmak üzere ortalama %58 Maaş zammı alırlar.

Lafı fazla uzatmadan Splunk'ın en iyi 33 mülakat sorusuna geçelim!

En İyi Splunk Röportaj Soruları ve Cevapları

1. Splunk'ı tanımlayın

Splunk, kullanıcıların makine tarafından oluşturulan verileri (donanım cihazlarından, ağlardan, sunuculardan, IoT cihazlarından vb.) analiz etmesine olanak tanıyan bir yazılım platformudur. Splunk, kurumsal verileri aramak, görselleştirmek, izlemek ve raporlamak için yaygın olarak kullanılır. Makine verilerini işler ve analiz eder ve doğru görselleştirmeler aracılığıyla verilere gerçek zamanlı içgörüler sunarak bunları güçlü operasyonel zekaya dönüştürür.

Splunk, makine verilerini analiz etmek için kullanılır, çünkü:

  • İş içgörüleri sunar – Splunk, verilerin içinde saklı kalıpları anlar ve bunları bilinçli iş kararları vermek için kullanılabilecek gerçek zamanlı iş içgörülerine dönüştürür.
  • Operasyonel görünürlük sağlar – Splunk, şirket operasyonlarında uçtan uca görünürlük elde etmek için makine verilerinden yararlanır ve ardından bunları altyapı genelinde parçalar.
  • Proaktif izlemeyi kolaylaştırır – Splunk, sistem sorunlarını ve güvenlik açıklarını (dış/dahili ihlaller ve saldırılar) belirlemek için sistemleri gerçek zamanlı olarak izlemek için makine verilerini kullanır.

2. Splunk tarafından kullanılan ortak bağlantı noktası numaralarını adlandırın.

Splunk için ortak bağlantı noktası numaraları şunlardır:

  • Splunk Web Bağlantı Noktası: 8000
  • Splunk Yönetim Bağlantı Noktası: 8089
  • Splunk Ağ bağlantı noktası: 514
  • Splunk Dizin Çoğaltma Bağlantı Noktası: 8080
  • Splunk İndeksleme Portu: 9997
  • KV mağazası: 8191

3. Splunk mimarisinin bileşenlerini adlandırın.

Splunk mimarisi aşağıdaki bileşenlerden oluşur:

  • Arama Başlığı – Arama için GUI sağlar
  • İndeksleyici – Makine verilerini indeksler
  • İletici – Günlükleri Dizin Oluşturucuya iletir

Dağıtım sunucusu – Splunk bileşenlerini dağıtılmış bir ortamda yönetir ve yapılandırma uygulamalarını dağıtır.

4. Splunk panolarının farklı türleri nelerdir?

Üç farklı türde Splunk pano vardır:

  • Gerçek zamanlı gösterge tabloları
  • Dinamik form tabanlı panolar
  • Planlanmış raporlar için panolar

5. Splunk'ta desteklenen arama modu türlerini adlandırın.

Splunk, üç tür panoyu destekler:

  • Hızlı mod
  • Akıllı mod
  • ayrıntılı mod

6. Farklı Splunk Forwarder türlerini adlandırın.

İki tür Splunk Forwarder vardır:

  • Evrensel İletici (UF) – Yerel olarak veri toplamak için Splunk olmayan bir sisteme kurulmuş hafif bir Splunk aracıdır. UF, verileri ayrıştıramaz veya indeksleyemez.
  • Heavyweight Forwarder (HWF) – Ayrıştırma ve indeksleme yetenekleri de dahil olmak üzere gelişmiş işlevlere sahip ağır bir Splunk ajanıdır. Verileri filtrelemek için kullanılır.

7. Splunk Forwarders aracılığıyla bir Splunk örneğine veri beslemenin faydaları nelerdir?

Verileri Splunk İleticileri aracılığıyla bir Splunk örneğine beslerseniz, üç önemli avantaj elde edebilirsiniz: TCP bağlantısı, bant genişliği daraltma ve İleticiden Dizin Oluşturucuya veri aktarmak için şifreli bir SSL bağlantısı. Splunk'ın mimarisi, Dizin Oluşturucuya iletilen veriler varsayılan olarak yük dengeli olacak şekildedir.

Bu nedenle, bir Dizin Oluşturucu herhangi bir nedenle çökse bile, veriler kendisini başka bir Dizin Oluşturucu örneği aracılığıyla hızla yeniden yönlendirebilir. Ayrıca Splunk Forwarders, olayları iletmeden önce yerel olarak önbelleğe alır ve böylece verilerin geçici bir yedeğini oluşturur.

8. Splunk'taki “Özet Dizini” nedir?

Splunk'ta Özet Dizini, zaman içinde planlanmış aramalardan kaynaklanan verileri depolayan varsayılan Splunk dizinine atıfta bulunur. Esasen, bir kullanıcı başka birini belirtmez veya belirtmezse Splunk Enterprise'ın kullandığı dizindir.

Özet Dizininin en önemli avantajı, verileriniz eskidikten sonra bile analizleri ve raporları saklamanıza izin vermesidir.

9. Splunk DB Connect'in amacı nedir?

Splunk DB Connect, Splunk için tasarlanmış genel bir SQL veritabanı eklentisidir. Kullanıcıların veritabanı bilgilerini Splunk sorguları ve raporlarıyla sorunsuz bir şekilde entegre etmelerini sağlar.

10. Splunk Indexer'ın işlevi nedir?

Adından da anlaşılacağı gibi, Splunk Indexer, dizinleri oluşturur ve yönetir. İki temel işlevi vardır - ham verileri bir dizine endekslemek ve dizine alınmış verileri aramak ve yönetmek.

11. Birkaç önemli Splunk arama komutunu adlandırın.

Splunk'taki önemli arama komutlarından bazıları şunlardır:

  • Soyut
  • Erex
  • toplamlar
  • birikim
  • Doldurma
  • daktilo
  • Yeniden isimlendirmek
  • anomaliler

Ayrıca okuyun: Splunk v Elk: Hangisini seçmelisiniz?

12. Splunk'taki en önemli yapılandırma dosyalarından bazıları nelerdir?

Splunk'taki en önemli yapılandırma dosyaları şunlardır:

  • props.conf
  • indexes.conf
  • inputs.conf
  • transforms.conf
  • sunucu.conf

13. Splunk'ta Lisans Ustasının önemi nedir? Lisans Yöneticisine ulaşılamıyorsa ne olur?

Splunk'ta Lisans Yöneticisi, doğru miktarda verinin dizine eklenmesini sağlar. Splunk lisansı, 24 saatlik bir pencerede platforma ulaşan veri hacmine dayandığından, Lisans Ana, Splunk ortamınızın satın alınan birimin kısıtlamaları dahilinde kalmasını sağlar.

Lisans Yöneticisine ulaşılamazsa, kullanıcı verileri arayamaz. Ancak bu, Dizin Oluşturucuya akan verileri etkilemeyecektir - Splunk dağıtımında veriler akmaya devam edecek ve Dizin Oluşturucular verileri dizine ekleyecektir. Ancak Arama Başlığının üst kısmında, kullanıcının indeksleme hacmini aştığına dair bir uyarı mesajı görüntülenecektir. Bu durumda, akan veri miktarını azaltmaları veya Splunk lisansının ek kapasitesini satın almaları gerekir.

14. Splunk perspektifinde 'lisans ihlalini' açıklayın.

Veri sınırını her aştığınızda, kontrol panelinde 'lisans ihlali' hatası gösterilir. Bu uyarı 14 gün boyunca kalacaktır. Ticari bir Splunk lisansı için, kullanıcılar 30 günlük bir pencerede Indexer'ın arama sonuçlarının ve raporlarının tetiklenmeyeceği beş uyarı alabilir. Ancak, ücretsiz sürüm için kullanıcılar yalnızca üç uyarı sayısı alır.

15. IP adresini günlüklerden çıkarmak için genel ifade nedir?

IP adresini günlüklerden birçok şekilde ayıklayabilmenize rağmen, bunun için normal ifade şöyle olacaktır:

rex field=_raw “(?<ip_address>\d+\.\d+\.\d+\.\d+)”

VEYA

rex field=_raw “(?<ip_address>([0-9]{1,3}[\.]){3}[0-9]{1,3})”

16. Splunk performans sorunlarını nasıl giderebilirsiniz?

Splunk performans sorunlarını gidermek için aşağıdaki adımları gerçekleştirin:

  • Herhangi bir hata bulmak için splunkd.log'u kontrol edin
  • Sunucu performans sorunlarını kontrol edin (CPU/bellek kullanımı, disk g/ç vb.)
  • Şu anda çalışmakta olan kayıtlı aramaların sayısını ve ayrıca sistem kaynakları tüketimini kontrol edin.
  • SOS (Splunk on Splunk) uygulamasını yükleyin ve gösterge tablosunun herhangi bir uyarı veya hata gösterip göstermediğine bakın.
  • Firebug'u (bir Firefox uzantısı) kurun ve sisteminizde etkinleştirin. Bundan sonra, Firefox kullanarak Splunk'ta oturum açmanız, Firebug'un panellerini açmanız ve etkinleştirmek için 'Net' paneline gitmeniz gerekir). Net paneli, her birinde harcanan zamanla birlikte HTTP isteklerini ve yanıtlarını görüntüler. Bu, hangi isteklerin Splunk'ı yavaşlattığını ve genel performansı etkilediğini görmenizi sağlar.

17. Kovalar nedir? Splunk Bucket Lifecycle'ı açıklayın.

Kovalar, dizine alınmış verileri Splunk'ta depolayan dizinlerdir. Bu nedenle, belirli bir dönemin olaylarını kronikleştiren fiziksel bir dizindir. Bir kova zaman içinde birkaç dönüşüm aşamasından geçer. Onlar:

  • Sıcak – Sıcak kova, yeni indekslenen verilerden oluşur ve bu nedenle yazılmaya ve yeni eklemelere açıktır. Bir dizin bir veya daha fazla etkin bölmeye sahip olabilir.
  • Ilık - Ilık bir kova, sıcak bir kovadan çıkarılan verileri içerir.
  • Soğuk – Soğuk bir kova, sıcak bir kovadan çıkarılan verilere sahiptir.
  • Dondurulmuş – Donmuş bir kova, soğuk bir kovadan çıkarılan verileri içerir. Splunk Indexer, varsayılan olarak donmuş verileri siler. Ancak, onu arşivlemek için bir seçenek var. Burada unutulmaması gereken önemli bir nokta, donmuş verilerin aranamaz olmasıdır.

18. Time Zone özelliği Splunk'ta hangi amaca hizmet ediyor?

Splunk'ta Zaman Dilimi, olayları güvenlik veya dolandırıcılık açısından aramak için çok önemlidir. Splunk, tarayıcı ayarlarınızdan sizin için varsayılan Saat Dilimi'ni ayarlar. Tarayıcı ayrıca, kullandığınız makineden geçerli Saat Dilimi'ni alır. Bu nedenle, herhangi bir etkinliği yanlış Saat Dilimi ile ararsanız, o aramayla alakalı hiçbir şey bulamazsınız.

Farklı ve birden çok kaynaktan gelen verileri araştırırken ve ilişkilendirirken Saat Dilimi son derece önemli hale gelir .

19. Splunk'ta Sourcetype'ı tanımlayın.

Splunk'ta Sourcetype, gelen bir olayın veri yapısını tanımlamak için kullanılan varsayılan alanı ifade eder. Kaynak türü, farklı veri biçimlerini tanımlamaya yardımcı olması için dizin oluşturucu ayıklaması için iletici düzeyinde ayarlanmalıdır. Splunk Enterprise'ın indeksleme işlemi sırasında verileri nasıl biçimlendirdiğini belirler. Bu durumda verilerinize doğru Sourcetype atadığınızdan emin olmalısınız. Veri aramayı daha da kolaylaştırmak için, dizinlenmiş verilere (olay verileri) doğru zaman damgaları ve olay araları sağlamalısınız.

20. Stats ve Eventstats komutları arasındaki farkı açıklayın.

Splunk'ta, Stats komutu, arama sonuçlarında mevcut tüm alanların özet istatistiklerini oluşturmak ve bunları yeni oluşturulan alanlarda değerler olarak kaydetmek için kullanılır. Eventstats komutu, Stats komutuna oldukça benzer olsa da, toplama sonuçlarını her olaya satır içi olarak ekler (yalnızca toplama o olayla ilgiliyse). Bu nedenle, her iki komut da istenen istatistikleri hesaplarken, Eventstats komutu istatistikleri orijinal ham verilerde toplar.

21. Splunk Uygulaması ve Eklentisi arasında ayrım yapın.

Splunk Uygulamaları, raporların, gösterge tablolarının, uyarıların, alan çıkarmaların ve aramaların eksiksiz koleksiyonuna atıfta bulunur. Ancak, Splunk Eklentileri yalnızca yerleşik yapılandırmalar içerir - panoları veya raporları yoktur.

22. Splunk hizmetini durdurma ve başlatma komutu nedir?

Splunk hizmetini başlatma komutu: ./splunk start

Splunk hizmetini durdurma komutu: ./splunk stop

23. Splunk arama geçmişini nasıl temizleyebilirsiniz?

Splunk arama geçmişini temizlemek için aşağıdaki dosyayı Splunk sunucusundan silmeniz gerekir:

$splunk_home/var/log/splunk/searches.log

24. Splunk'ta Btool nedir?

Splunk'taki Btool, yapılandırma dosyası sorunlarını gidermek için kullanılan bir komut satırı aracıdır. Ayrıca, bir kullanıcının mevcut ortamda Splunk Enterprise yüklemesi tarafından hangi değerlerin kullanıldığını kontrol etmeye yardımcı olur.

25. Splunk Alert'e ne gerek var? Splunk Uyarılarını ayarlarken alacağınız seçeneklerin türünü belirtin.

Splunk Uyarıları, sistemlerindeki herhangi bir hatalı durumu kullanıcılara bildirmeye yardımcı olur. Örneğin, bir kullanıcı, 24 saat içinde üçten fazla başarısız oturum açma girişimi olması durumunda yöneticiye gönderilecek e-posta bildirimi için Uyarılar ayarlayabilir.

Uyarıları ayarlarken elde ettiğiniz farklı seçenekler şunları içerir:

  • Bir web kancası oluşturabilirsiniz. Bu, HipChat veya GitHub'a yazmanıza olanak tanır - konunuzu, önceliklerinizi ve e-postanızın gövdesini içeren bir grup makineye bir e-posta yazabilirsiniz.
  • Alıcının tetiklenen uyarının konumunu ve koşullarını ve bunun için hangi eylemlerin gerçekleştirildiğini anlamasına yardımcı olmak için sonuçları CSV veya pdf biçimlerinde veya mesajın gövdesiyle satır içi olarak ekleyebilirsiniz.
  • Makine adı veya IP adresi gibi belirli koşullara dayalı olarak biletler ve kısma uyarıları oluşturabilirsiniz. Bu uyarılar, uyarı penceresinden kontrol edilebilir.

26. Balık Kovası nedir ve bunun Endeksi nedir?

Fishbucket, varsayılan konumda duran bir dizin dizinidir, yani:

/opt/splunk/var/lib/splunk

Fishbucket, dizinlenmiş dosyalar için arama işaretçileri ve CRC'ler içerir. Balık Kovasına erişmek için, arama yapmak için GUI'yi kullanabilirsiniz:

index=_thefishbucket

27. Splunk'ın bir günlük dosyasını indekslemeyi ne zaman tamamladığını nasıl bilebilirim?

Splunk'ın bir günlük dosyasını indekslemeyi iki şekilde tamamlayıp tamamlamadığını anlayabilirsiniz :

  1. Splunk'ın ölçüm günlüğündeki verileri gerçek zamanlı olarak izleyerek:

index=”_internal” source=”*metrics.log” group=”per_sourcetype_thruput” ​​series=”&lt;your_sourcetype_here&gt;” |

değerlendir MB=kb/1024 | grafik toplamı(MB)

  1. Kaynak türüne göre bölünmüş tüm metrikleri izleyerek:

index=”_internal” source=”*metrics.log” group=”per_sourcetype_thruput” ​​| değerlendir MB=kb/1024 | seri üzerinde grafik toplamı(MB) ort(eps)

28. Sevk Dizini nedir?

Sevk Dizini, çalışan veya tamamlanmış bireysel aramalar için bir dizin içerir. Sevk Dizini yapılandırması aşağıdaki gibidir:

$SPLUNK_HOME/var/run/splunk/dispatch

Diyelim ki 1434308943.358 adında bir dizin var. Bu dizin, tüm arama sonuçlarının bir CSV dosyasını, arama yürütmeyle ilgili ayrıntıları içeren bir search.log dosyasını ve diğer ilgili bilgileri içerecektir. Varsayılan yapılandırmayı kullanarak, arama tamamlandıktan sonra 10 dakika içinde bu dizini silebilirsiniz. Arama sonuçlarını kaydederseniz, yedi gün sonra silinirler.

29. Bir Windows makinesinden Splunk'a klasör erişim günlüklerini nasıl ekleyebilirsiniz?

Windows makinelerinden Splunk'a klasör erişim günlükleri eklemek için aşağıda listelenen adımları izlemelisiniz:

  • Grup İlkesi'ne gidin ve klasörün bulunduğu Windows makinesinde Nesne Erişim Denetimini etkinleştirin.
  • Şimdi, erişim günlüklerini izlemek istediğiniz belirli klasörde denetimi etkinleştirmeniz gerekir.
  • Splunk Universal Forwarder'ı Windows makinesine yükleyin.
  • Splunk Indexer'a güvenlik günlükleri göndermek için Universal Forwarder'ı yapılandırın.

30. Splunk, günlüklerin tekrar tekrar indekslenmesini nasıl önler?

Splunk Indexer, bir dizindeki tüm indekslenmiş olayları takip eder – o anda indekslenmekte olan tüm dosyalar için arama işaretçilerini ve CRC'leri içeren Fishbuckets dizini. Bu nedenle, önceden okunmuş herhangi bir arama işaretçisi veya CRC varsa, splunkd bunu işaret edecektir.

31. Splunk'ta yapılandırma dosyalarının önceliği nedir?

Splunk'taki yapılandırma dosyalarının önceliği aşağıdaki gibidir:

  • Sistem Yerel Dizini (en yüksek öncelik)
  • Uygulama Yerel Dizinleri
  • Uygulama Varsayılan Dizinleri
  • Sistem Varsayılan Dizini (en düşük öncelik)

32. “Arama Faktörü” ve “Çoğaltma Faktörü”nü tanımlayın.

Hem Arama Faktörü (SF) hem de Çoğaltma Faktörü (RF), Splunk'ta kümeleme terminolojileridir. SF (varsayılan değeri 2 olan), Dizin Oluşturucu kümesi tarafından tutulan verilerin aranabilir kopyalarının sayısını belirlerken, RF, Dizin Oluşturucu kümesi tarafından tutulan verilerin kopyalarının sayısını temsil eder. Hatırlanması gereken önemli bir şey, SF'nin her zaman çoğaltma faktöründen küçük veya ona eşit olması gerektiğidir. Ayrıca, Arama Başlığı kümesinde yalnızca Arama Faktörü bulunurken, Dizin Oluşturucu kümesinde hem SF hem de RF bulunur.

33. inputlookup ve Splunk'ta, bir olayın değerini elde etmek için harici bir dosyadan (örneğin, Python tabanlı bir komut dosyası veya bir CSV dosyası) belirli alanları almak istediğinizde arama komutları kullanılır. Olay verilerindeki alanlarla eşleşen harici bir CSV dosyasındaki alanlara başvurarak arama sonuçlarını daraltmaya yardımcı olur.

Bir girdi almak istediğinizde inputlookup komutu kullanılır. Örneğin komut, ürün fiyatını veya ürün adını girdi olarak alabilir ve ardından bunu ürün kimliği gibi bir dahili alanla eşleştirebilir. Aksine, outputlookup komutu, mevcut bir alan listesinden bir çıktı üretmek için kullanılır.

34. Splunk SDK ve Splunk Framework arasında ayrım yapın.

Splunk SDK'ları, öncelikle kullanıcıların sıfırdan uygulama geliştirmelerine yardımcı olmak için tasarlanmıştır. Çalışmak için Splunk Web veya Splunk App Framework'ten başka bir bileşen gerektirmezler. Splunk SDK'ları, Splunk'tan ayrı olarak lisanslanır. Bunun aksine, Splunk App Framework, Splunk Web Sunucusu içinde bulunur. Kullanıcıların ürüne eşlik eden Splunk Web UI'sini özelleştirmesine olanak tanır. Splunk uygulamaları geliştirmenize izin vermesine rağmen, bunu Splunk Web Sunucusunu kullanarak yapmanız gerekir.

Dünyanın En İyi Üniversitelerinden Online Yazılım Geliştirme Kursları öğrenin . Kariyerinizi hızlandırmak için Yönetici PG Programları, Gelişmiş Sertifika Programları veya Yüksek Lisans Programları kazanın.

Çözüm

Bu Splunk röportaj sorularının akışa girmenize ve Splunk röportajınıza hazırlanmanıza yardımcı olacağını umuyoruz!

Splunk ve diğer DevOps araçları hakkında daha fazla bilgi edinmek istiyorsanız, IIIT-B & upGrad'ın Tam Yığın Yazılım Geliştirme Programındaki Yönetici PG Programına göz atın.

Geleceğin Kariyerine Hazırlanın

Tam Yığın Geliştirmede Executive PG Programına Şimdi Başvur