Tutorial Splunk pentru începători: Ce este Splunk Tool? Cum se utilizează?

prin: David Carter David Carter
Hours Actualizat

Ce este Splunk?

Splunk este o platformă software utilizată pe scară largă pentru monitorizarea, căutarea, analizarea și vizualizarea datelor generate de mașină în timp real. Efectuează capturarea, indexarea și corelarea datelor în timp real într-un container care poate fi căutat și produce grafice, alerte, tablouri de bord și vizualizări. Splunk oferă date ușor de accesat în întreaga organizație pentru diagnosticare ușoară și soluții la diferite probleme de afaceri.

De ce avem nevoie de Splunk?

Instrument de monitorizare Splunk

Instrumentul de monitorizare Splunk oferă o mulțime de beneficii pentru o organizație. Unele dintre beneficiile utilizării Splunk sunt:

  • Oferă interfață grafică îmbunătățită și vizibilitate în timp real într-un tablou de bord
  • Reduce timpul de depanare și rezolvare, oferind rezultate instantanee.
  • Este cel mai potrivit instrument pentru analiza cauzei principale.
  • Splunk vă permite să generați grafice, alerte și tablouri de bord.
  • Puteți căuta și investiga cu ușurință rezultate specifice folosind Splunk.
  • Vă permite să depanați orice condiție de defecțiune pentru o performanță îmbunătățită.
  • Vă ajută să monitorizați orice măsurători de afaceri și să luați o decizie informată.
  • Splunk vă permite să încorporați Inteligența artificială în strategia dvs. de date.
  • Vă permite să adunați utile OperaInteligență națională din datele mașinii dvs
  • Rezumarea și colectarea de informații valoroase din diferite jurnale
  • Splunk vă permite să acceptați orice tip de date, cum ar fi .csv, json, formate de jurnal etc.
  • Oferă cele mai puternice analize de căutare și capabilități de vizualizare pentru a împuternici utilizatorii de toate tipurile.
  • Vă permite să creați un depozit central pentru căutarea datelor Splunk din diverse surse.

Caracteristicile lui Splunk

Caracteristicile importante ale Splunk sunt:

  • Accelerați dezvoltarea și testarea
  • Vă permite să construiți aplicații de date în timp real
  • Generați rentabilitatea investiției mai rapid
  • Statistici agile și raportare cu arhitectură în timp real
  • Oferă capabilități de căutare, analiză și vizualizare pentru a împuternici utilizatorii de toate tipurile

Produse Splunk

Splunk este disponibil în trei versiuni diferite.

  • Splunk Enterprise
  • Splunk Light
  • Cloud Splunk

Splunk Enterprise

Ediția Splunk Enterprise este folosită de marile companii IT. Vă ajută să culegeți și să analizați datele din aplicații, site-uri web, aplicații etc.

Cloud Splunk

Splunk Cloud este o platformă găzduită. Are aceleași caracteristici ca și versiunea enterprise. Poate fi folosit de la Splunk sau folosind Platformă cloud AWS.

Splunk Light

Splunk Light este o versiune gratuită. Permite căutarea, raportarea și modificarea datelor din jurnal. Are funcționalități și caracteristici limitate în comparație cu alte versiuni.

Splunk Architectură

Acum, în acest tutorial de noțiuni fundamentale Splunk, vom afla despre Splunk Architectura:

Splunk Architectură
Splunk Architectură

Iată componentele fundamentale ale arhitecturii Splunk:

ARTICOLE SIMILARE

Universal Forward (UF):

Universal forward sau UF este o componentă ușoară care împinge datele către forwarder-ul Splunk. Puteți instala Universal Forward pe partea client sau pe serverul de aplicații. Sarcina acestei componente este doar de a transmite datele de jurnal.

Load Balancer (LB):

Echilibratorul de sarcină este echilibrul de încărcare implicit Splunk. Cu toate acestea, vă permite și să utilizați echilibrul de încărcare personalizat.

Înainte greu (HF):

Greu înainte este o componentă grea. Această componentă Splunk vă permite să filtrați datele. Exemplu: colectarea numai a jurnalelor de erori.

Indexator (LB):

Indexer vă ajută să stocați și să indexați datele. Îmbunătățește performanța căutării Splunk. În mod implicit, Splunk efectuează automat indexarea. De exemplu, gazdă, sursă și data și ora.

Cap de căutare (SH):

Capul de căutare este folosit pentru a obține informații și pentru a efectua rapoarte.

Server de implementare (DS):

Serverul de implementare ajută la implementarea configurației. De exemplu, actualizați fișierul de configurare UF. Putem folosi un server de implementare pentru a partaja între componenta pe care o putem folosi pe serverul de implementare.

Manager de licență (LM):

Licența se bazează pe volum și utilizare - de exemplu, 50 GB pe zi. Splunk verifică regulat detaliile de licență.

Cum funcționează Splunk?

Acum, în acest antrenament Splunk, vom afla cum funcționează Splunk:

Cum funcționează Splunk
Cum funcționează Splunk

Expeditor:

Forwarder colectează datele de la mașini la distanță, apoi transmite datele către Index în timp real

Indexator:

Indexator procesează datele primite în timp real. De asemenea, stochează și indexează datele de pe disc.

Cap de căutare:

Utilizatorii finali interacționează cu Splunk prin Search Head. Permite utilizatorilor să facă căutare, analiză și vizualizare.

Aplicații ale lui Splunk

Declarație de problemă: Mac-Donald nu avea o vizibilitate clară asupra ofertelor care funcționează cel mai bine.

  • Tipul ofertei (de exemplu, 20% reducere)
  • Diferențele culturale la nivel de regiune
  • Momentul cumpărării
  • Dispozitiv folosit de client
  • Revsuma generată pe comandă

Aveau nevoie de o perspectivă asupra comportamentului consumatorilor și a răspunsului clienților.

Întregul proces utilizând trei tipuri de surse de date

  1. Comanda plasată în Mac Donald Outlet
  2. Comanda plasată în aplicația mobilă
  3. Comandați locuri folosind aplicația web
Acum procesul a trecut de la un pas la altul, așa cum se menționează în diagrama de mai jos.

Cum funcționează Splunk

Intrare

Datele de intrare trec în etapa de analiză,

Analizare

În etapa de analiză, datele relevante sunt convertite în evenimente:

  • Regiunea Clientului
  • Revsume pe comanda
  • Ora comenzii (dimineata, dupa-amiaza, seara, noaptea)
  • Un dispozitiv folosit de clienți (Mobil, PC, Tabletă)
  • Cupoane de reducere aplicate

Etapa de indexare

În această etapă, evenimentele sunt sortate și indexate pentru stocare pe baza:

  • Vânzări în funcție de locație geografică
  • Order Revenue
  • Ora comenzii (dimineata, dupa-amiaza, seara, noaptea)
  • Utilizarea dispozitivului de către client
  • Cuponul oferit este aplicat

Căutare Cap

Este folosit pentru a obține informații și pentru a efectua rapoarte.

Mac-Donald l-a folosit pentru a obține următoarele informații:

  • Ce ofertă de vânzare funcționează cel mai bine în ce locație geografică?
  • Cum se schimbă comportamentul clienților în veniturile din comenzi?
  • Care este cel mai bun moment pentru a aplica oferte de burger sau combo?

Cum a ajutat Splunk?

  • Afișați toate comenzile care provin din întreaga regiune în timp real.
  • Stabiliți modul în care diferitele oferte promoționale au impact în timp real
  • Monitorizați performanța sistemelor interne de dezvoltare a punctelor de vânzare de la Mac Donald.
  • Un angajat poate monitoriza ceea ce spun clienții și poate ajuta la înțelegerea așteptărilor clienților.
  • A analizat viteza diferitelor moduri de plată
  • Determinați modul de plată fără erori

Cele mai bune practici de utilizare a Splunk

  • Ar trebui să testați indexul pentru a putea efectua rapid testul.
  • Există câmpuri specifice pe care trebuie să le obțineți corect la momentul indexării. Orice altceva le puteți crea/modifica numai după indexare.
  • Ruperea evenimentului are loc automat în spunk, așa că este important să verificați dacă Splunk a detectat corect începutul și sfârșitul unui eveniment.
  • Splunk poate detecta automat marca temporală. Cu toate acestea, dacă formatul dvs. de jurnal are un marcaj de timp diferit, trebuie să configurați marcajul de timp.

Companii celebre care folosesc Splunk

Unele companii celebre care folosesc Splunk sunt:

  • Cisco
  • Bosch
  • IBM
  • Motorola
  • PepsiCo
  • chirpici
  • Viza
  • Adidas
  • Facebook
  • Salesforce
  • Walmart

Alternativă la Splunk

1) Site24x7Managementul jurnalului lui

Site24x7 oferă un instrument de gestionare a jurnalelor centralizat, bazat pe cloud, pentru stiva dvs. de infrastructură. Instrumentul recunoaște automat toate jurnalele de aplicații, oferind asistență imediată pentru peste 100 de aplicații.

Site24x7

Caracteristici cheie ale Site24x7instrumentul de gestionare a jurnalelor lui:

  • Acceptă peste 100 de tipuri de jurnal, inclusiv jurnalele platformei cloud
  • Permite gestionarea ușoară a oricăror jurnaluri cu personalizare simplă
  • Căutare bazată pe limbaj de interogare ușor de utilizat
  • Oferă suport pentru o gamă largă de formate de jurnal (JSON, Multiline, cheie-valoare, formate XML și multe altele)
  • Cluster mesaje bazate pe asemănarea modelelor
  • Automatizare IT pentru incidente de auto-vindecare
  • Alerta de treizeci de părți prin instrumente precum Microsoft Teams, ServiceNow, PagerDuty, Opsgenie, Jira, Webhooks, Zendeskși Zoho Cliq pentru o colaborare eficientă

Vizita Site24x7 >>

2) Sumo Logic

Instrumentul de logică Sumo vă ajută să mențineți infrastructura aplicației dvs. Căutarea și analizarea jurnalelor de date în timp real este simplă. Instrumentul vă permite să monitorizați și să vizualizați evenimente istorice și în timp real.

Download link: https://www.sumologic.com/

3) Fluentd

Fluentd este un instrument de colectare de date gratuit și open source. Vă ajută să salvați jurnalele în bufferul FS. Prin urmare, îl puteți recupera oricând doriți. De asemenea, oferă servicii precum echilibrarea sarcinii, reîncercări pentru menținerea robusteței.

Download link: https://www.fluentd.org/

4) Stiva ELK

ELK Stack permite utilizatorilor să acceseze date din orice sursă, în orice format și să caute, să analizeze și să vizualizeze acele date. Instrumentul oferă înregistrare centralizată. Această caracteristică este utilă atunci când încercați să identificați probleme cu servere sau aplicații.

Download link: https://www.elastic.co/elk-stack

5) LogFaces

Logfaces este o altă alternativă de spunk care vă permite să trimiteți interogările prin e-mail. Acest instrument păstrează datele de jurnal în incintă. Instrumentul vine cu o aplicație simplă pentru desktop.

Download link: http://www.moonlit-software.com/

Dezavantajele utilizării Splunk

Unele dezavantaje ale utilizării instrumentului Splunk sunt:

  • Splunk se poate dovedi costisitor pentru volume mari de date.
  • Tablourile de bord sunt funcționale, dar nu la fel de eficiente ca altele instrumente de monitorizare.
  • Curba sa de învățare este rigidă și aveți nevoie de antrenament Splunk, deoarece este o arhitectură cu mai multe niveluri. Deci, trebuie să petreceți mult timp pentru a învăța acest instrument.
  • Căutările sunt greu de înțeles, în special expresiile regulate și sintaxa de căutare.

Rezumat

  • Splunk este un software care este utilizat pentru monitorizarea, căutarea, analizarea și vizualizarea datelor generate de mașină în timp real.
  • Splunk reduce timpul de depanare și de rezolvare, oferind rezultate instantanee.
  • Splunk este disponibil în trei versiuni diferite: 1) Splunk Enterprise 2) Splunk Light 3) Splunk Cloud.
  • 1) Universal Forward (UF) 2) Load Balancer (LB) 3) Heavy forward (HF) 4) Indexer (LB) 5) Search Head (SH) 6) Deployment Server (DS) 7) License Manager (LM) sunt esențiale componente ale instrumentului Splunk.
  • Aplicațiile importante ale Splunk sunt: ​​1) Harta interactivă 2) PromoAsistență națională 3) Monitor de performanță 4) Feedback în timp real 5) Tabloul de bord și procesul de plată.
  • Cea mai importantă practică de utilizare a Splunk este că ar trebui să utilizați indexul de testare pentru a putea efectua rapid testul.
  • Companii celebre ca Cisco, Bosch, IBM, Motorola, Adobe, Visa folosesc acest instrument.
  • 1) SumoLogic 2) Stivă ELK 3) Fețe de bușteni 4) Fluentd sunt câteva alternative la Splunk
  • Cel mai mare dezavantaj al lui Splunk este că se poate dovedi costisitor pentru volume mari de date.