面向初學者和有經驗者的 34 大 Splunk 面試問題和答案 [2022]

已發表: 2021-01-07

Splunk 是 IT 運營領域的頂級負載管理和分析解決方案之一。 該工具是市場上需求量最大的頂級開發工具之一,Splunk 專家也是如此。 Splunk 的知識是成為 DevOps 工程師的重要要求之一。 自然,當談到 IT 領域的 Splunk 工作時,競爭非常激烈且具有挑戰性。 因此,如果您想在 Splunk 中找到一份利基工作,您必須準備好通過Splunk 面試。

不用擔心,因為我們已經創建了一篇詳細的帖子,其中包含Splunk 的熱門面試問題,這不僅有助於提高您的 Splunk 知識,而且還可以收集您一直在尋找的工作!

學習者平均獲得 58% 的加薪,最高可達 400%。

事不宜遲,讓我們來破解前 33 個 Splunk 面試問題!

頂級 Splunk 面試問題和答案

1. 定義 Splunk

Splunk 是一個軟件平台,允許用戶分析機器生成的數據(來自硬件設備、網絡、服務器、物聯網設備等)。 Splunk 廣泛用於搜索、可視化、監控和報告企業數據。 它通過準確的可視化提供對數據的實時洞察,處理和分析機器數據並將其轉換為強大的運營智能。

Splunk 用於分析機器數據,因為:

  • 它提供業務洞察力——Splunk 了解隱藏在數據中的模式,並將其轉化為可用於做出明智業務決策的實時業務洞察力。
  • 它提供了運營可見性——Splunk 利用機器數據獲得對公司運營的端到端可見性,然後將其分解到整個基礎架構中。
  • 它有助於主動監控——Splunk 使用機器數據實時監控系統,以識別系統問題和漏洞(外部/內部違規和攻擊)。

2. 命名 Splunk 使用的常用端口號。

Splunk 的常用端口號有:

  • Splunk 網絡端口:8000
  • Splunk 管理端口:8089
  • Splunk 網絡端口:514
  • Splunk 索引複製端口:8080
  • Splunk 索引端口:9997
  • KV商店:8191

3. 命名 Splunk 架構的組件。

Splunk 架構由以下組件組成:

  • 搜索頭 - 它提供用於搜索的 GUI
  • 索引器——它索引機器數據
  • 轉發器——它將日誌轉發到索引器

部署服務器——它管理分佈式環境中的 Splunk 組件並分發配置應用程序。

4. Splunk 儀表板有哪些不同類型?

共有三種不同類型的 Splunk 儀表板:

  • 實時儀表板
  • 基於動態表單的儀表板
  • 計劃報告的儀表板

5. 命名 Splunk 支持的搜索模式類型。

Splunk 支持三種類型的儀表板,即:

  • 快速模式
  • 智能模式
  • 詳細模式

6. 命名不同類型的 Splunk 轉發器。

Splunk 轉發器有兩種類型:

  • 通用轉發器 (UF) – 它是安裝在非 Splunk 系統上的輕量級 Splunk 代理,用於在本地收集數據。 UF 無法解析或索引數據。
  • 重量級轉發器 (HWF) – 它是具有高級功能的重量級 Splunk 代理,包括解析和索引功能。 它用於過濾數據。

7. 通過 Splunk Forwarders 將數據輸入 Splunk 實例有什麼好處?

如果您通過 Splunk 轉發器將數據饋送到 Splunk 實例,您可以獲得三個顯著優勢 - TCP 連接、帶寬限制和加密 SSL 連接以將數據從轉發器傳輸到索引器。 Splunk 的架構使得轉發到索引器的數據在默認情況下是負載平衡的。

因此,即使一個 Indexer 由於某種原因出現故障,數據也可以通過另一個 Indexer 實例快速重新路由。 此外,Splunk 轉發器在轉發之前在本地緩存事件,從而創建數據的臨時備份。

8. Splunk 中的“匯總索引”是什麼?

在 Splunk 中,摘要索引是指默認的 Splunk 索引,用於存儲計劃搜索隨時間推移產生的數據。 從本質上講,如果用戶未指定或指示另一個索引,Splunk Enterprise 將使用該索引。

匯總索引最顯著的優勢是它允許您保留分析和報告,即使您的數據已經老化。

9. Splunk DB Connect 的目的是什麼?

Splunk DB Connect 是為 Splunk 設計的通用 SQL 數據庫插件。 它使用戶能夠將數據庫信息與 Splunk 查詢和報告無縫集成。

10、Splunk Indexer的作用是什麼?

顧名思義,Splunk Indexer 創建和管理索引。 它有兩個核心功能——將原始數據索引到索引中,以及搜索和管理索引數據。

11. 列舉幾個重要的 Splunk 搜索命令。

Splunk 中一些重要的搜索命令包括:

  • 抽象的
  • 埃雷克斯
  • 總計
  • 累積
  • 填充
  • 打字機
  • 改名
  • 異常情況

另請閱讀: Splunk v Elk:您應該選擇哪一個?

12. Splunk 中有哪些最重要的配置文件?

Splunk 中最關鍵的配置文件是:

  • 道具.conf
  • 索引.conf
  • 輸入.conf
  • 轉換.conf
  • 服務器配置文件

13. 在 Splunk 中 License Master 的重要性是什麼? 如果無法訪問 License Master,會發生什麼?

在 Splunk 中,License Master 確保正確數量的數據被編入索引。 由於 Splunk 許可證基於在 24 小時窗口內到達平台的數據量,因此許可證管理員可確保您的 Splunk 環境保持在購買量的限制範圍內。

如果無法訪問 License Master,用戶將無法搜索數據。 但是,這不會影響流入 Indexer 的數據——數據將繼續流入 Splunk 部署,Indexer 將對數據進行索引。 但是搜索頭的頂部會顯示一條警告信息,提示用戶已超出索引量。 在這種情況下,他們必須要么減少流入的數據量,要么必須購買 Splunk 許可證的額外容量。

14. 從 Splunk 角度解釋“違反許可”。

每當您超出數據限制時,儀表板上都會顯示“違反許可”錯誤。 此警告將保留 14 天。 對於商業 Splunk 許可證,用戶可以在 30 天的窗口內收到五次警告,在此之前 Indexer 的搜索結果和報告將不會觸發。 但是,對於免費版本,用戶只能獲得三個警告計數。

15、從日誌中提取IP地址的一般表達式是什麼?

雖然您可以通過多種方式從日誌中提取 IP 地址,但它的常規表達方式是:

rex 字段=_raw “(?<ip_address>\d+\.\d+\.\d+\.\d+)”

要么

rex field=_raw “(?<ip_address>([0-9]{1,3}[\.]){3}[0-9]{1,3})”

16. 如何解決 Splunk 性能問題?

要對 Splunk 性能問題進行故障排除,請執行以下步驟:

  • 檢查 splunkd.log 以查找任何錯誤
  • 檢查服務器性能問題(CPU/內存使用情況、磁盤 i/o 等)
  • 檢查當前正在運行的已保存搜索的數量以及它們的系統資源消耗。
  • 安裝 SOS (Splunk on Splunk) 應用程序並查看儀表板是否顯示任何警告或錯誤。
  • 安裝 Firebug(Firefox 擴展)並在您的系統中啟用它。 之後,您必須使用 Firefox 登錄 Splunk,打開 Firebug 的面板,然後轉到“Net”面板以啟用它)。 Net 面板顯示 HTTP 請求和響應,以及每個請求和響應所花費的時間。 這將允許您查看哪些請求正在減慢 Splunk 並影響整體性能。

17. 什麼是桶? 解釋 Splunk 存儲桶生命週期。

存儲桶是在 Splunk 中存儲索引數據的目錄。 因此,它是一個記錄特定時期事件的物理目錄。 隨著時間的推移,存儲桶會經歷幾個轉換階段。 他們是:

  • 熱 - 熱桶包含新索引的數據,因此它對寫入和新增內容開放。 一個索引可以有一個或多個熱桶。
  • 暖 – 暖桶包含從熱桶推出的數據。
  • 冷 – 冷存儲桶包含從熱存儲桶推出的數據。
  • Frozen – 凍結的存儲桶包含從冷存儲桶推出的數據。 Splunk Indexer 默認刪除凍結的數據。 但是,可以選擇將其存檔。 這裡要記住的重要一點是,凍結的數據是不可搜索的。

18. 時區屬性在 Splunk 中的用途是什麼?

在 Splunk 中,時區對於從安全或欺詐的角度搜索事件至關重要。 Splunk 從您的瀏覽器設置中為您設置默認時區。 瀏覽器進一步從您正在使用的機器中獲取當前時區。 因此,如果您使用錯誤的時區搜索任何事件,您將找不到與該搜索相關的任何內容。

當您搜索和關聯來自不同和多個來源的數據時,時區變得非常重要

19. 在 Splunk 中定義 Sourcetype。

在 Splunk 中,Sourcetype 是指用於標識傳入事件的數據結構的默認字段。 Sourcetype 應在轉發器級別設置以進行索引器提取,以幫助識別不同的數據格式。 它確定 Splunk Enterprise 在索引過程中如何格式化數據。 在這種情況下,您必須確保為您的數據分配正確的 Sourcetype。 為了使數據搜索更加容易,您應該為索引數據(事件數據)提供準確的時間戳和事件中斷。

20. 解釋 Stats 和 Eventstats 命令的區別。

在 Splunk 中,Stats 命令用於生成搜索結果中所有現有字段的匯總統計信息,並將其保存為新創建的字段中的值。 儘管 Eventstats 命令與 Stats 命令非常相似,但它將聚合結果內聯添加到每個事件(如果只有聚合與該特定事件相關)。 因此,雖然這兩個命令都計算請求的統計信息,但 Eventstats 命令將統計信息聚合到原始原始數據中。

21. 區分 Splunk App 和 Add-on。

Splunk 應用程序是指報告、儀表板、警報、字段提取和查找的完整集合。 但是,Splunk 附加組件僅包含內置配置——它們沒有儀表板或報告。

22. 停止和啟動Splunk服務的命令是什麼?

啟動 Splunk 服務的命令是:./splunk start

停止 Splunk 服務的命令是:./splunk stop

23. 如何清除 Splunk 搜索歷史?

要清除 Splunk 搜索歷史記錄,您需要從 Splunk 服務器中刪除以下文件:

$splunk_home/var/log/splunk/searches.log

24. Splunk 中的 Btool 是什麼?

Splunk 中的 Btool 是一個命令行工具,用於解決配置文件問題。 它還有助於檢查現有環境中用戶的 Splunk Enterprise 安裝正在使用哪些值。

25. Splunk Alert 需要什麼? 指定您在設置 Splunk 警報時獲得的選項類型。

Splunk 警報有助於通知用戶系統中的任何錯誤情況。 例如,如果在 24 小時內登錄嘗試失敗次數超過 3 次,用戶可以設置向管理員發送電子郵件通知的警報。

您在設置警報時獲得的不同選項包括:

  • 您可以創建一個 webhook。 這將允許您向 HipChat 或 GitHub 寫信——您可以向一組機器寫一封電子郵件,其中包含您的主題、優先級和電子郵件正文。
  • 您可以添加 CSV 或 pdf 格式的結果或內嵌在郵件正文中,以幫助收件人了解已觸發警報的位置和條件以及已採取的措施。
  • 您可以根據機器名稱或 IP 地址等特定條件創建票證和限制警報。 可以從警報窗口控制這些警報。

26. 什麼是 Fishbucket,它的索引是什麼?

Fishbucket 是一個位於默認位置的索引目錄,即:

/opt/splunk/var/lib/splunk

Fishbucket 包括索引文件的查找指針和 CRC。 要訪問 Fishbucket,您可以使用 GUI 進行搜索:

索引=_thefishbucket

27. 如何知道 Splunk 何時完成對日誌文件的索引?

您可以通過兩種方式確定 Splunk 是否已完成對日誌文件的索引:

  1. 通過實時監控 Splunk 指標日誌中的數據:

index=”_internal” source=”*metrics.log” group=”per_sourcetype_thruput”​​ series=”&lt;your_sourcetype_here&gt;” |

評估 MB=kb/1024 | 圖表總和(MB)

  1. 通過監控按源類型劃分的所有指標:

index=”_internal” source=”*metrics.log” group=”per_sourcetype_thruput”​​ | 評估 MB=kb/1024 | 圖表 sum(MB) avg(eps) over series

28. 什麼是調度目錄?

Dispatch Directory 包括一個目錄,用於存儲正在運行或已完成的各個搜索。 Dispatch Directory 的配置如下:

$SPLUNK_HOME/var/run/splunk/dispatch

假設,有一個名為 1434308943.358 的目錄。 此目錄將包含所有搜索結果的 CSV 文件、包含有關搜索執行的詳細信息的 search.log 以及其他相關信息。 通過使用默認配置,您可以在搜索完成後 10 分鐘內刪除該目錄。 如果您保存搜索結果,它們將在 7 天后被刪除。

29. 如何將 Windows 機器的文件夾訪問日誌添加到 Splunk?

要將 Windows 計算機中的文件夾訪問日誌添加到 Splunk,您必須按照下列步驟操作:

  • 轉到組策略並在文件夾所在的 Windows 計算機上啟用對象訪問審核。
  • 現在,您必須在要監控訪問日誌的特定文件夾上啟用審核。
  • 在 Windows 機器上安裝 Splunk Universal Forwarder。
  • 配置通用轉發器以將安全日誌發送到 Splunk 索引器。

30、Splunk如何避免日誌的重複索引?

Splunk 索引器跟踪目錄中的所有索引事件 - Fishbuckets 目錄包含當前索引的所有文件的查找指針和 CRC。 因此,如果有任何已讀取的查找指針或 CRC,splunkd 會指出它。

31、Splunk中的配置文件優先級是什麼?

Splunk中配置文件的優先級如下:

  • 系統本地目錄(最高優先級)
  • 應用本地目錄
  • 應用默認目錄
  • 系統默認目錄(最低優先級)

32. 定義“搜索因子”和“複製因子”。

搜索因子 (SF) 和復制因子 (RF) 都是 Splunk 中的聚類術語。 SF(默認值為 2)決定了 Indexer 集群維護的可搜索數據副本的數量,而 RF 表示 Indexer 集群維護的數據副本的數量。 要記住的重要一點是,SF 必須始終小於或等於復制因子。 此外,Search Head 集群只有一個 Search Factor,而 Indexer 集群同時具有 SF 和 RF。

33、為什麼要用區分在 Splunk 中,當您想要從外部文件(例如,基於 Python 的腳本或 CSV 文件)接收特定字段以獲取事件值時,會使用查找命令。 它通過引用與事件數據中的字段匹配的外部 CSV 文件中的字段來幫助縮小搜索結果。

當您想要輸入時使用 inputlookup 命令。 例如,該命令可以將產品價格或產品名稱作為輸入,然後將其與產品 ID 等內部字段匹配。 相反, outputlookup 命令用於從現有字段列表中生成輸出。

34. 區分 Splunk SDK 和 Splunk Framework。

Splunk SDK 主要旨在幫助用戶從頭開始開發應用程序。 它們不需要 Splunk Web 或 Splunk 應用程序框架中的任何其他組件即可運行。 Splunk SDK 單獨從 Splunk 獲得許可。 與此相反,Splunk 應用程序框架位於 Splunk Web 服務器中。 它允許用戶自定義產品隨附的 Splunk Web UI。 雖然它允許您開發 Splunk 應用程序,但您必須使用 Splunk Web 服務器來完成。

從世界頂級大學在線學習軟件開發課程獲得行政 PG 課程、高級證書課程或碩士課程,以加快您的職業生涯。

結論

我們希望這些Splunk 面試問題能幫助您進入流程並為您的 Splunk 面試做準備!

如果您想了解更多關於 splunk 和其他 DevOps 工具的信息,請查看 IIIT-B 和 upGrad 在全棧軟件開發計劃中的執行 PG 計劃。

為未來的職業做準備

立即申請全棧開發的執行 PG 計劃