頂級Splunk管理員面試問題

---

藉助Splunk，企業可以利用本地資料中心、公共雲、應用程式、服務和第三方技術，從資料中提取有見地的資訊。作為Splunk管理員分析師，在全球一些頂級企業中有很多提升的機會。這裡提供了一些最重要的Splunk管理員面試問題和答案，以幫助您規劃職業道路。

Splunk定義

"谷歌"我們的計算機生成資料。它是一段軟體或引擎，可用於搜尋、視覺化、跟蹤、報告等我們的企業資料。透過圖表、警報、報告等方式提供對我們資料的即時洞察，Splunk將有價值的機器資料轉化為強大的運營資訊。什麼是DevOps工程師？

描述Splunk的工作原理

Splunk的工作分為三個階段：資料輸入、資料儲存和資料搜尋階段。

• 資料輸入階段 − Splunk從多個來源獲取原始資料，並將其劃分為64K塊。然後將元資料的鍵新增到這些塊中。

• 資料儲存階段 − 在解析階段，接下來檢查資料以從中提取相關資料。然後，在索引階段將解析的事件寫入索引佇列。

• 資料搜尋階段 − 此階段涉及許多操作，包括使用者訪問、顯示和使用索引資料。

Splunk如何處理資料老化？

資料透過一系列熱、溫、冷、凍和解凍儲存桶進行老化。

• 資料在索引後進入熱儲存桶。熱儲存桶的資料不斷寫入且可主動搜尋。

• 當Splunk重啟或熱儲存桶達到其指定容量時，資料從熱儲存桶滾動到溫儲存桶。溫儲存桶上的資料可以搜尋，但不會主動寫入。

• 當溫儲存桶達到最大容量時，資料再次從溫儲存桶轉移到冷儲存桶，最舊的溫儲存桶資料首先轉移到冷儲存桶。

Splunk的資料模型和樞軸點是什麼意思？

當存在大量非結構化資料時，Splunk的資料模型非常有用，因為它們可以用於將非結構化資料轉換為結構化的層次模型，而無需複雜的搜尋查詢。使用者可以使用樞軸點生成結果的前端檢視，並選擇合適的過濾器以更好地瞭解結果。

Splunk提供哪些型別的警報？

在Splunk中，有兩種型別的警報：計劃警報和即時警報。您可以根據您的實用程式選擇一種警報型別。與計劃警報（可以根據選擇的定時引數進行程式設計搜尋）不同，即時警報會持續搜尋，並在找到搜尋結果時立即觸發。

定義“搜尋因子”和“複製因子”。

搜尋因子和複製因子是與搜尋頭叢集和索引叢集相關的函式。

• 搜尋因子與索引叢集相關，有助於確定索引叢集保留多少份可搜尋材料的副本。搜尋因子預設設定為2。

• 複製因子是確定索引器叢集將保留多少份資料副本以及搜尋頭叢集將至少保留多少份搜尋工件副本的重要因素。複製因子與搜尋頭叢集和索引叢集相關。複製因子的預設值為3。

如何啟動和停止Splunk服務？

可以使用以下命令來停止或啟動Splunk服務：

• ./splunk start 用於啟動Splunk服務。

• ./splunk stop 用於停止Splunk服務。

時區屬性在Splunk中有什麼作用？

無論資料型別如何，Splunk都會在提交任何資料時自動確定時區。新增新的時區時，Splunk會選擇瀏覽器中指定的時區。時區也根據您的計算機系統由您的瀏覽器確定。只有在正確的時區搜尋時，才能找到特定的事件。

列出Splunk中的主要搜尋命令？

在Splunk上，可以使用以下主要搜尋命令：

• 摘要 − 建立並顯示文字的摘要版本，而不是原始文字，以便提供搜尋結果文字的簡潔概述。

• Addtotals − Addtotals用於彙總數值欄位，它還允許您專門選擇要彙總的欄位，而不是對所有欄位都進行彙總。

• Accum - Accum是一個命令，有助於計算數值欄位的累積總和。

• Filldown − 您可以使用Filldown命令將一組NULL值替換為給定欄位的最新非NULL值。當未指定欄位列表時，您可以將Filldown應用於每個欄位。

• Typer − 它有助於確定與特定型別的事件相對應的搜尋結果的eventtype欄位。

• Rename − 此命令用於重新命名特定欄位，您可以使用萬用字元來選擇多個欄位以使用此命令。

• Anomalies − 使用anomalies命令確定特定事件的“意外”分數。

描述工作流操作

分配規則、排程和建立報表後，您可以使用工作流操作來自動化某些流程。工作流操作可用於深入瞭解特定資訊列表（例如ID地址和使用者名稱），以及檢索特定資料集並將其傳送到其他欄位。

描述Splunk索引器。Splunk索引包含哪些階段？

Splunk索引器負責管理和構建索引。索引器的主要職責如下：

• 索引新到達的資料

• 搜尋索引資訊

結論

上面列出的十大最常被問到的Splunk管理員面試問題將幫助您進行最後一刻的複習，並對您對該主題的理解和知識進行自我分析。