Splunk 面試常見問題

藉助 Splunk,企業可以使用本地資料中心、公共雲、應用程式、服務和第三方技術從資料中提取有洞察力的資訊。作為 Splunk 管理分析師,有多種機會在全球一些頂級企業中提升職業發展。這裡提供了一些最重要的 Splunk 管理員面試問題和答案,以幫助您選擇職業道路。

定義 Splunk

Splunk 基本上是一種用於查詢、顯示和跟蹤機器生成的大量資料的軟體。它跟蹤許多日誌檔案型別並將資料儲存在索引器中。

列出 Splunk 使用的常見埠

Splunk 經常使用以下埠:

  • HTTP 埠 8000

  • 控制埠:8089

  • 514 網路埠

  • 索引複製埠:8080

  • 索引埠:9997

  • 儲存 KV:8191

描述 Splunk 元件

以下是 Splunk 的核心元件:

  • 輕量級通用轉發元件將資料插入 Splunk 轉發器。

  • 我們所說的“重型轉發器”是指一個重量級元件,它允許您過濾必要的資料。

  • 搜尋頭的這部分用於收集情報並執行報告。

  • 許可證管理器:許可證取決於使用情況和數量。您每天允許使用 50 GB。Splunk 通常會驗證許可證資訊。

  • 負載均衡器:除了內建 Splunk 載入器的功能外,您還可以使用自己的自定義負載均衡器。

Splunk 索引器的意義是什麼?

此 Splunk Enterprise 元件構建和維護索引。索引器的兩個主要任務是:

  • 將原始資料索引到索引中,以及

  • 搜尋和管理索引資料。

使用 Splunk 的缺點是什麼?

使用 Splunk 工具存在一些缺點。

  • 對於大量資料,Splunk 可能成本較高。

  • 雖然有用,但儀表板在有效性方面不及其他一些監控技術。

  • 由於其多層設計和陡峭的學習曲線,需要進行 Splunk 培訓。因此,學習如何使用此工具需要大量時間。

  • 在執行搜尋時,正則表示式和搜尋語法特別難以理解。

透過 Splunk 例項中的轉發器輸入資料

使用轉發器將資料輸入 Splunk 的優勢在於 TCP 連線、頻寬限制和用於傳輸轉發器到索引器的重要資料的安全 SSL 連線。

定義許可證主伺服器在 Splunk 中的作用

Splunk 的許可證主伺服器確保索引了適當數量的資料。它確保環境保持在已購買數量的範圍內,因為 Splunk 的許可證基於 24 小時內進入平臺的資料量。

列出一些 Splunk 配置檔案

典型的 Splunk 配置檔案包括:

  • 開啟檔案

  • 修改檔案

  • 伺服器上的索引檔案

  • 圖片檔案

描述 Splunk 許可證違規

當您超過分配的資料量時,會出現警告錯誤。此錯誤訊息將保持活動狀態 14 天。在商業許可證下,您的索引器搜尋結果和報告可能會在一個滾動的一個月內觸發多達 5 個警告,然後才會停止觸發。但是,免費版中的許可證違規警報僅顯示三個警告例項。

Splunk 警報的作用是什麼?

當您需要監視某些事件並對其做出反應時,警報可能很有用。例如,當 24 小時內有超過三次不成功的登入嘗試時,使用者可能會收到一封電子郵件通知作為警報,以檢查登入嘗試的來源。

解釋 Map-Reduce 演算法

Splunk 使用 Map-Reduce 演算法作為加速資料搜尋的方法。它借鑑了兩個有用的程式設計特性。(1) cut ((2) map ()。在這裡,map() 和 reduce() 函式分別連線到 Mapper 和 Reducer 類。

Splunk 中有哪些不同的資料輸入?

以下列表包含 Splunk 的許多資料輸入:

  • 來自檔案和目錄的輸入

  • 設定網路埠以自動接受輸入

  • 包括 Windows 輸入。這些 Windows 輸入有四種類型:活動目錄、印表機、網路和登錄檔輸入是前四個監視器。

Splunk 如何索引重複日誌?

您可以使用 Splunk 在 fish buckets 目錄中跟蹤已索引的事件。您正在索引的檔案具有 CRC 和查詢點,如果 Splunk 之前已讀取過這些檔案,則會阻止 Splunk 讀取它們。

描述 Splunk 中的資料模型和樞軸

使用樞軸生成輸出的前端檢視。然後,我們使用最合適的過濾器來更好地檢視輸出。具有非技術或半技術背景的人員可以從提供的任何一個選項中受益。資料模型最常見的用途是構建分層資料模型。但如果您有大量非結構化資料,也可以使用它。由於它,您可以更有效地利用這些資訊,而無需使用複雜的搜尋詞。

定義“彙總索引”一詞

彙總索引是一個用於儲存 Splunk 計算結果的唯一索引。這是一種經濟高效且快速的方法來執行較長時間的查詢。

如何阻止 Splunk 索引我的事件?

除錯訊息應放置在空佇列中,以將其從 Splunk 對事件的索引中排除。transforms.conf 檔案本身的轉發器級別必須維護空佇列。

定義 Splunk DB Connect

它是一個 SQL 資料庫外掛,允許透過匯入其表、行和列來新增資料庫。藉助 Splunk DB Connect,可以以可靠且可擴充套件的方式整合資料庫和 Splunk Enterprise。

結論

上面列出了 17 個最常被問到的 Splunk 面試問題,這些問題將幫助您進行最後一刻的複習,並根據您對 Splunk 知識的理解進行自我分析。除此之外,這 17 個問題能夠幫助剛接觸 Splunk 的初學者,並持續採取措施探索、學習和實施 Splunk,以便對學習成果進行自我測試。

更新於: 2022-12-27

312 次瀏覽

開啟您的 職業生涯

透過完成課程獲得認證

立即開始
廣告