2022 年要准备的 30 大 Splunk 面试问题

网友投稿 1225 2022-05-29

有一件事是肯定的:实施 Splunk 将改变您的业务并将其提升到一个新的水平。但是,问题是您是否具备成为 Splunker 的技能?如果是,那么请为最可怕的工作面试做好准备,因为竞争非常激烈。您可以先了解本博客中提到的最常见的 Splunk 面试问题。

想要提升自己以在职业生涯中取得成功吗?查看热门趋势技术文章。

Splunk 面试问题

在收集了Splunk 认证培训专家的意见以帮助您通过面试后,本博文中涵盖的问题已被列入候选名单。如果您想了解 Splunk 的基础知识,可以先阅读我的 Splunk 教程系列中的第一篇博客:什么是 Splunk?一切顺利!

一季度。什么是 Splunk?为什么使用 Splunk 来分析机器数据?

这个问题很可能是您在任何 Splunk 面试中被问到的第一个问题。你需要先说:

Splunk 是一个平台,可让人们了解机器数据,这些数据是从硬件设备、网络、服务器、物联网设备和其他来源生成的。

由于以下原因,使用 Splunk 分析机器数据:

要了解有关此主题的更多信息,您可以阅读此博客: 什么是 Splunk?

Q2。Splunk 有哪些组件?

Splunk 架构是一个主题,它将进入任何 Splunk 面试问题集。如上一个问题所述,Splunk 的主要组件是:  Forwarders、Indexers和Search Heads。然后,您可以提到另一个名为Deployment Server(或Management Console Host)的组件将在更大的环境中出现。部署服务器:

像设置例外和组的防病毒策略服务器一样工作,以便您可以为基于 Windows 的服务器或基于 linux 的服务器或基于 solaris 的服务器映射和创建不同的数据收集策略集

可用于从中央位置控制在不同操作系统中运行的不同应用程序

可用于从一个中心位置为不同的应用程序部署配置和设置策略。

使用部署服务器是一个优势,因为可以使用部署服务器轻松控制独立于每个主机/机器的内涵、路径命名约定和机器命名约定。

Q3。解释 Splunk 的工作原理

这是一个有把握的问题,因为你的面试官会判断你的这个答案,以了解你对这个概念的了解程度。转发器就像一个哑代理,它将从源收集数据并将其转发给索引器。索引器将数据本地存储在主机或云上。然后使用搜索头对存储在索引器中的数据进行搜索、分析、可视化和执行各种其他功能。

您可以在此处找到有关 Splunk 工作的更多详细信息:  Splunk 架构:转发器、索引器和搜索头教程。

第 4 季度。为什么只使用 Splunk?为什么我不能选择开源的东西?

提出此类问题是为了了解您的知识范围。您可以通过说 Splunk 在分析机器日志、执行商业智能、执行 IT 操作和提供安全性方面在市场上有很多竞争来回答这个问题。但是,除了 Splunk 之外,没有任何一种工具可以完成所有这些操作,而这正是 Splunk 开箱即用并发挥作用的地方。使用 Splunk,您可以轻松扩展您的基础设施,并从支持该平台的公司获得专业支持。它的一些竞争对手是日志管理云空间中的 Sumo Logic 和开源类别中的 ELK。您可以参考下表以了解 Splunk 在功能方面与其他流行工具的对比情况。本博客介绍了这些工具之间的详细差异:Splunk 对 ELK 对相扑逻辑。

Q5. 哪些 Splunk 角色可以共享同一台机器?

这是另一个常见的 Splunk 面试问题,将测试候选人的实践知识。在小型部署的情况下,大多数角色可以在同一台机器上共享,包括Indexer、Search  Head 和License  Master。但是,在大型部署的情况下,首选做法是在独立主机上托管每个角色。下面提到了即使在较大部署的情况下也可以共享的角色的详细信息:

从战略上讲,索引器和搜索头应该有物理专用的机器。使用虚拟机单独运行实例并不是解决方案,因为使用计算机资源需要遵循某些准则,并且在同一物理硬件上旋转多个虚拟机可能会导致性能下降。

但是,许可证主服务器和部署服务器可以在同一个虚拟机上通过旋转不同的虚拟机在同一个实例中实现。

只要Deployment master不在同一实例上的并行虚拟机上托管,您就可以在同一实例上旋转另一个虚拟机来托管Cluster master,因为到达Deployment 服务器的连接数将非常高。

这是因为Deployment 服务器不仅要处理来自Deployment master的请求,还要处理来自Forwarders的请求。

Q6. 通过转发器将数据导入 Splunk 实例有哪些独特优势?

您可以说通过转发器将数据导入 Splunk 的好处是带宽限制、TCP 连接和用于将数据从转发器传输到索引器的加密 SSL 连接。默认情况下,转发到索引器的数据也是负载平衡的,即使一个索引器由于网络中断或维护目的而关闭,该数据也始终可以在很短的时间内路由到另一个索引器实例。此外,转发器在转发事件之前在本地缓存事件,从而创建该数据的临时备份。

Q7. 简述Splunk架构

查看下图,它提供了 Splunk 架构的综合视图。您可以在此链接中找到详细说明:  Splunk 架构:转发器、索引器和搜索头教程。

Q8. Splunk 中的 License Master 有什么用?

Splunk 中的许可证主负责确保正确数量的数据被索引。Splunk 许可证基于 24 小时窗口内进入平台的数据量,因此,确保环境保持在购买量的限制内非常重要。

假设您在第一天获得 300 GB 数据,第二天获得 500 GB 数据,另一天获得 1 TB 数据,然后在另一天突然下降到 100 GB。那么,理想情况下,您应该拥有 1 TB/天的许可模式。因此,许可证主机确保 Splunk 部署中的索引器具有足够的容量并许可正确数量的数据。

Q9. 如果 License Master 无法访问,会发生什么情况?

如果许可证主机无法访问,则无法搜索数据。但是,进入索引器的数据不会受到影响。数据将继续流入您的 Splunk 部署,索引器将继续像往常一样索引数据,但是您将在搜索头或 Web UI 顶部收到一条警告消息,指出您已超出索引量,您要么需要减少传入的数据量,或者您需要购买更高容量的许可证。

基本上,候选人应该回答索引不会停止;只有搜索停止。

Q10。从 Splunk 的角度解释“许可证违规”。

如果超出数据限制,则会显示“违反许可”错误。抛出的许可证警告将持续 14 天。在商业许可证中,您可以在 30 天滚动窗口内收到 5 条警告,在此之前您的 Indexer 的搜索结果和报告将停止触发。然而,在免费版本中,它只会显示 3 次警告。

Q11。给出一些知识对象的用例。

知识对象可用于许多领域。几个例子是:

物理安全:如果您的组织处理物理安全,那么您可以利用包含有关地震、火山、洪水等信息的数据来获得有价值的见解

应用程序监控:通过使用知识对象,您可以实时监控您的应用程序并配置警报,当您的应用程序崩溃或发生任何停机时,它会通知您

网络安全:您可以通过将某些 IP 列入黑名单以防止其进入您的网络来提高系统的安全性。这可以通过使用称为查找的知识对象来完成。

员工管理:如果您想监控在通知期内服务的人员的活动,那么您可以创建这些人员的列表并创建规则以防止他们复制数据并在外部使用它们

更轻松地搜索数据:使用知识对象,您可以在开始时标记信息、创建事件类型并创建搜索约束并缩短它们,以便它们易于记忆、关联和理解,而不是编写冗长的搜索查询。您放置搜索条件并缩短它们的那些约束称为事件类型。

这些是一些可以使用知识对象从非技术角度完成的操作。知识对象是业务中的实际应用,这意味着没有知识对象的 Splunk 面试问题是不完整的。如果您想详细了解可用的不同知识对象及其使用方式,请阅读此博客:  Splunk 知识对象教程

Q12。我们为什么要使用 Splunk Alert? 设置警报时有哪些不同的选项?

这是一个常见问题,针对 Splunk 管理员角色的候选人。当您希望收到系统中错误情况的通知时,可以使用警报。例如,当 24 小时内登录尝试失败超过 3 次时,向管理员发送电子邮件通知。另一个示例是当您希望每天在特定时间运行相同的搜索查询以提供有关系统状态的通知时。

设置警报时可用的不同选项有:

你可以创建一个网络钩子,这样你就可以写到 hipchat 或 github。在这里,您可以向一组机器写一封电子邮件,其中包含您的所有主题、优先级和消息正文

您可以在邮件正文中添加结果、.csv 或 pdf 或内联,以确保收件人了解此警报在何处触发、在什么条件下以及他已采取的操作

您还可以根据某些条件(如机器名称或 IP 地址)创建票证和限制警报。例如,如果发生病毒爆发,您不希望触发每个警报,因为这会导致系统中创建许多工单,这将导致过载。您可以从警报窗口控制此类警报。

您可以在此博客中找到有关此主题的更多详细信息:Splunk 警报。

Q13. 解释工作流操作

工作流操作就是这样一个主题,它将出现在任何一组 Splunk 面试问题中。工作流操作对于普通 Splunk 用户并不常见,只有完全理解它的人才能回答。因此,恰当地回答这个问题很重要。

您可以通过首先说明为什么应该使用它来开始解释工作流操作。

一旦您分配了规则、创建了报告和计划,然后呢?这不是路的尽头!您可以创建将自动执行某些任务的工作流操作。例如:

您可以双击,这将深入到包含用户名及其 IP 地址的特定列表,您可以进一步搜索该列表

您可以双击以从报告中检索用户名,然后将其作为参数传递给下一个报告

您可以使用工作流操作来检索一些数据并将一些数据发送到其他字段。一个用例是,您可以将纬度和经度详细信息传递给谷歌地图,然后您就可以找到 IP 地址或位置所在的位置。

下面的屏幕截图显示了您可以在其中设置工作流操作的窗口。

Q14。解释数据模型和枢轴

数据模型用于创建数据的结构化分层模型。当您拥有大量非结构化数据,并且希望在不使用复杂搜索查询的情况下利用该信息时,可以使用它。

数据模型的一些用例是:

创建销售报告:如果您有销售报告,那么您可以轻松创建成功购买的总数,在此之下您可以创建一个包含失败购买列表和其他视图的子对象

设置访问级别:如果您想要用户及其各种访问级别的结构化视图,您可以使用数据模型

启用身份验证:如果您想在身份验证中建立结构,您可以围绕 VPN、root 访问、管理员访问、非 root 管理员访问、各种不同应用程序的身份验证创建一个模型,以一种规范化您的方式的方式围绕它创建一个结构看数据。

因此,当您查看称为身份验证的数据模型时,Splunk 的源是什么并不重要,而且从用户的角度来看,它变得非常简单,因为当添加新数据源或弃用旧数据源时,您不会必须重写所有搜索,这是使用数据模型和数据透视的最大好处。

另一方面,使用枢轴,您可以灵活地创建结果的前视图,然后选择最合适的过滤器以获得更好的结果视图。这两个选项对于来自非技术或半技术背景的经理都很有用。您可以在此博客中找到有关此主题的更多详细信息:Splunk 数据模型。

Q15. 解释搜索因子 (SF) 和复制因子 (RF)

当您面试 Splunk 架构师的角色时,很可能会问到有关搜索因子和复制因子的问题。SF 和 RF 是与聚类技术(搜索头聚类和索引器聚类)相关的术语。

搜索因子决定了索引器集群维护的可搜索数据副本的数量。搜索因子的默认值为 2。但是,在 Indexer 集群的情况下,复制因子是集群维护的数据副本数,如果是搜索头集群,则是每个搜索工件的最小副本数,集群维护

搜索头集群只有一个搜索因子,而索引器集群同时具有搜索因子和复制因子

需要注意的重要一点是搜索因子必须小于或等于复制因子

Q16. 哪些命令包含在“过滤结果”类别中?

短时间内将有大量事件进入 Splunk。因此,搜索和过滤数据是一项有点复杂的任务。但是,幸运的是,有像“搜索”、“哪里”、“排序”和“rex”这样的命令可以解救。这就是为什么过滤命令也是最常见的 Splunk 面试问题之一。

2022 年要准备的 30 大 Splunk 面试问题

搜索:“搜索”命令用于从索引中检索事件或过滤管道中先前搜索命令的结果。您可以使用关键字、带引号的短语、通配符和键/值表达式从索引中检索事件。'search' 命令隐含在任何和每个搜索操作的开头。

Where :然而,'where' 命令使用 'eval' 表达式来过滤搜索结果。'search' 命令仅保留评估成功的结果,而 'where' 命令用于进一步深入到这些搜索结果中。例如,“搜索”可用于查找活动节点的总数,但“where”命令将返回运行特定应用程序的活动节点的匹配条件。

Sort :'sort' 命令用于按指定字段对结果进行排序。它可以按逆序、升序或降序对结果进行排序。除此之外,排序命令还具有在排序时限制结果的功能。例如,您可以执行仅返回业务中产生收入前 5 的产品的命令。

Rex :'rex' 命令基本上允许您从事件中提取数据或特定字段。例如,如果您想识别电子邮件 ID 中的某些字段:abc@edureka.co,“rex”命令允许您将结果分解为abc是用户 ID,edureka.co是域名,edureka是公司名。您可以使用 rex 以您想要的方式分解、分割您的事件和每个事件记录的部分。

Q17. 什么是 查找命令?区分输入查找和输出查找命令。

查找命令是大多数面试问题都涉及的主题,问题类似于:你能丰富数据吗?您如何通过外部查找来丰富原始数据?

您将看到一个用例场景,其中有一个 csv 文件,要求您查找某些产品目录,并要求比较原始数据和结构化 csv 或 json 数据。所以你应该准备好自信地回答这些问题。

当您希望从外部文件(例如 CSV 文件或任何基于 python 的脚本)接收某些字段以获取事件的某些值时,使用查找命令。它用于缩小搜索结果的范围,因为它有助于引用外部 CSV 文件中与事件数据中的字段匹配的字段。

一个inputlookup 基本上采用的输入顾名思义。例如,它会将产品价格、产品名称作为输入,然后将其与产品 ID 或商品 ID 等内部字段进行匹配。而outputlookup 用于从现有字段列表生成输出。基本上, inputlookup 用于丰富数据, outputlookup 用于构建它们的信息。

Q18. “eval”、“stats”、“charts”和“timecharts”命令有什么区别?

“Eval”和“stats ”是 Splunk SPL 语言中最常见也是最重要的命令,它们与“search”和“where”命令一样可以互换使用。

有时 'eval' 和 'stats' 可以互换使用,但两者之间存在细微差别。'stats '命令用于计算一组事件的统计信息,而 'eval' 命令允许您完全创建一个新字段,然后在后续部分中使用该字段来搜索数据。

另一个常见问题是“stats”、“charts”和“timecharts”命令之间的区别。下表中提到了它们之间的区别。

Q19. Splunk 中有哪些不同类型的数据输入?

这是只有作为 Splunk 管理员工作过的人才可以回答的问题。问题的答案如下。

显而易见且最简单的方法是使用文件和目录作为输入

配置网络端口以自动接收输入并编写脚本以便将这些脚本的输出推送到 Splunk 是另一种常用方法

但是经验丰富的 Splunk 管理员应该会添加另一个称为 Windows 输入的选项。这些窗口输入有 4 种类型:注册表输入监视器、打印机监视器、网络监视器和活动目录监视器。

Q20。Splunk 中每个事件的默认字段是什么?

大约有 5 个字段是默认的,它们在每个事件中都有条形码进入 Splunk。

它们是主机、源、源类型、索引和时间戳。

Q21。解释 Splunk 中的文件优先级。

对于管理员、开发人员和架构师来说,文件优先级是 Splunk 故障排除的一个重要方面。Splunk 的所有配置都写在纯文本 .conf 文件中。这些文件中的每一个都可能存在多个副本,因此了解这些文件在 Splunk 实例运行或重新启动时所扮演的角色非常重要。出于多种原因,文件优先级是一个需要理解的重要概念:

能够规划 Splunk 升级

能够计划应用程序升级

能够提供不同的数据输入和

将配置分发到您的 splunk 部署。

为了确定配置文件副本之间的优先级,Splunk 软件首先确定目录方案。目录方案是 a) 全局或 b) 应用程序/用户。

当上下文是全局的(即没有应用程序/用户上下文时),目录优先级按以下顺序下降:

系统本地目录 —最高优先级

应用本地目录

应用默认目录

系统默认目录 —最低优先级

当上下文是应用程序/用户时,目录优先级从用户到应用程序再到系统:

当前用户的用户目录 -最高优先级

当前正在运行的应用程序的应用程序目录(本地,默认紧随其后)

所有其他应用程序的应用程序目录(本地,默认为)——仅适用于导出的设置

系统目录(本地,默认为)——最低优先级

Q22. 我们如何提取字段?

您可以通过 UI 从事件列表、侧边栏或设置菜单中提取字段。

另一种方法是在 props.conf 配置文件中编写自己的正则表达式。

Q23. 搜索时间和索引时间字段提取有什么区别?

顾名思义,搜索时间字段提取是指在执行搜索时提取的字段,而在数据进入索引器时提取的字段称为索引时间字段提取。您可以在转发器级别或索引器级别设置索引器时间字段提取。

另一个区别是搜索时间字段提取的提取字段不是元数据的一部分,因此它们不占用磁盘空间。而索引时间字段提取的提取字段是元数据的一部分,因此会占用磁盘空间。

Q24. 解释数据如何在 Splunk 中老化?

进入索引器的数据存储在称为桶的目录中。随着数据老化,存储桶会经历几个阶段:热、温、冷、冻结和解冻。随着时间的推移,桶从一个阶段“滚动”到下一个阶段。

当数据第一次被索引时,它会进入一个热桶。热桶既可搜索又可被积极写入。一个索引可以同时打开多个热桶

当某些条件发生时(例如,热存储桶达到特定大小或splunkd重新启动),热存储桶变为温存储桶(“滚动到温暖”),并在其位置创建新的热存储桶。暖桶是可搜索的,但不会主动写入。可以有很多温暖的水桶

一旦满足进一步的条件(例如,索引达到某个最大数量的暖桶),索引器开始根据它们的年龄将暖桶滚动到冷桶。它总是选择最旧的暖桶滚动到冷。以这种方式老化时,桶会继续变冷

一段时间后,冷存储桶会滚动到冻结状态,此时它们将被存档或删除。

存储桶老化策略决定了存储桶何时从一个阶段移动到下一个阶段,可以通过编辑 index.conf 中的属性来修改。

Q25. Splunk 中的摘要索引是什么?

从管理的角度来看,摘要索引是另一个重要的 Splunk 面试问题。您将被问到这个问题以了解您是否知道如何存储分析数据、报告和摘要。这个问题的答案如下。

拥有摘要索引的最大优势在于,即使数据已经过时,您也可以保留分析和报告。例如:

假设您的数据保留政策只有 6 个月,但是您的数据已经过时并且已经超过几个月了。如果你还想自己做计算或者挖出一些统计值,那么在那个时候,汇总索引很有用

例如,您可以存储过去 6 个月中每一个月发生的销售增长百分比的摘要和统计数据,然后您可以从中提取平均收入。该平均值存储在汇总索引中。

但是汇总索引的局限性是:

你不能像大海捞针那样进行搜索

您无法深入了解哪些产品对收入有所贡献

您无法从统计数据中找出排名靠前的产品

您无法深入了解并确定对该摘要的最大贡献。

这就是摘要索引的使用,在面试中,您需要回答好处和限制这两个方面。

Q26. 如何从 Splunk 索引中排除某些事件?

您可能不想索引 Splunk 实例中的所有事件。在这种情况下,您将如何排除事件进入 Splunk。

这方面的一个示例是应用程序开发周期中的调试消息。您可以通过将这些事件放入空队列来排除此类调试消息。这些空队列在转发器级别本身放入transforms.conf中。

如果候选人能回答这个问题,那么他最有可能被录用。

Q27. Splunk 中时区属性的用途是什么? 什么时候最需要?

当您从安全或欺诈的角度搜索事件时,时区非常重要。如果您使用错误的时区搜索您的事件,那么您最终将无法完全找到该特定事件。Splunk 从您的浏览器设置中选取默认时区。浏览器依次从您正在使用的机器中获取当前时区。Splunk 在输入数据时选取该时区,当您搜索和关联来自不同来源的数据时,它是最需要的。例如,您可以搜索在 IST 下午 4:00、在您的伦敦数据中心或新加坡数据中心等发生的事件。因此,时区属性对于关联此类事件非常重要。

Q28. 什么是 Splunk 应用程序?Splunk 应用程序和附加组件有什么区别?

Splunk Apps 被认为是报告、仪表板、警报、字段提取和查找的完整集合。Splunk 应用程序减去报表或仪表板的可视组件是 Splunk 附加组件。查找、字段提取等是 Splunk Add-on 的示例。

任何知道这个答案的候选人都会对 Splunk 的开发人员方面提出更多问题。

Q29. 如何根据 Splunk UI 中的字段名称在图表中分配颜色?

您需要在创建报告和呈现结果时为图表分配颜色。大多数情况下,默认情况下会选择颜色。但是如果你想分配自己的颜色怎么办?例如,如果您的销售数字低于阈值,那么您可能需要该图表以红色显示图表。那么,您将如何更改 Splunk Web UI 中的颜色?

您必须首先编辑构建在仪表板之上的面板,然后从 UI 修改面板设置。然后,您可以挑选颜色。您还可以编写命令,通过输入十六进制值或编写代码从调色板中选择颜色。但是,Splunk UI 是首选方式,因为您可以灵活地根据条形图或折线图中的类型轻松地将颜色分配给不同的值。您还可以提供不同的梯度并将您的值设置为径向计或水位计。

Q30. Splunk 中的源类型是什么?

现在这个问题可能出现在列表的底部,但这并不意味着它在其他 Splunk 面试问题中最不重要。

Sourcetype 是一个默认字段,用于标识传入事件的数据结构。Sourcetype 确定 Splunk Enterprise 在索引过程中如何格式化数据。可以在转发器级别设置源类型以进行索引器提取以识别不同的数据格式。由于源类型控制 Splunk 软件格式化传入数据的方式,因此为数据分配正确的源类型非常重要。重要的是,即使是数据的索引版本(事件数据)也看起来像您想要的那样,带有适当的时间戳和事件中断。这有助于以后更轻松地搜索数据。

例如,数据可能以 csv 的形式出现,第一行是标题,第二行是空行,然后从下一行开始是实际数据。另一个需要使用 sourcetype 的示例是,如果您想将日期字段分解为 csv 的 3 个不同列,每个列用于日、月、年,然后对其进行索引。你对这个问题的回答将是你被录用的决定性因素。

我希望这组 Splunk 面试问题能帮助您准备面试。您可以通过阅读有关Splunk 职业的博客来查看不同的工作角色,Splunk 熟练的专业人员负责。此外,我们还有专家制作的有关 Splunk 面试问题的视频,可以进一步帮助您。请看一看,让我们知道这是否对您的面试准备有帮助。

此 Splunk 教程将帮助您准备下一次 Splunk 面试。我们整理了 Splunk 工作面试中提出的热门问题列表。我们还提供了这些问题的最佳答案。

网络 虚拟化

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:【Redis二三事】Redis的主从复制机制
下一篇:源码即设计:程序员也是时尚大师
相关文章