Підручник Splunk для початківців: що таке Splunk Tool? Як використовувати?

Автор: Девід Картер Девід Картер
Hours оновлений

Що таке Splunk?

Сплин це програмна платформа, яка широко використовується для моніторингу, пошуку, аналізу та візуалізації машинно-генерованих даних у режимі реального часу. Він виконує захоплення, індексацію та кореляцію даних у реальному часі в контейнері з можливістю пошуку та створює графіки, сповіщення, інформаційні панелі та візуалізації. Splunk забезпечує легкий доступ до даних усієї організації для легкої діагностики та вирішення різноманітних бізнес-проблем.

Навіщо нам Splunk?

Інструмент моніторингу Splunk

Інструмент Splunk Monitoring пропонує багато переваг для організації. Деякі з переваг використання Splunk:

  • Пропонує вдосконалений графічний інтерфейс і видимість у режимі реального часу на інформаційній панелі
  • Це скорочує час пошуку та вирішення проблем, пропонуючи миттєві результати.
  • Це найкращий інструмент для аналізу першопричини.
  • Splunk дозволяє створювати графіки, сповіщення та інформаційні панелі.
  • Ви можете легко шукати та досліджувати конкретні результати за допомогою Splunk.
  • Це дозволяє усунути будь-яку несправність для покращення продуктивності.
  • Допомагає контролювати будь-які бізнес-метрики та приймати зважене рішення.
  • Splunk дозволяє включати Штучний Інтелект у вашу стратегію даних.
  • Дозволяє збирати корисне Operational Intelligence з даних вашої машини
  • Узагальнення та збір цінної інформації з різних журналів
  • Splunk дозволяє приймати будь-які типи даних, наприклад .csv, json, формати журналів тощо.
  • Пропонує найпотужніші можливості аналізу пошуку та візуалізації, щоб розширити можливості користувачів усіх типів.
  • Дозволяє створити центральне сховище для пошуку даних Splunk із різних джерел.

Особливості Splunk

Важливими функціями Splunk є:

  • Прискорення розробки та тестування
  • Дозволяє створювати програми даних у реальному часі
  • Створюйте ROI швидше
  • Гнучка статистика та звітність з архітектурою реального часу
  • Пропонує можливості пошуку, аналізу та візуалізації для розширення можливостей користувачів усіх типів

Продукція Splunk

Splunk доступний у трьох різних версіях.

  • Splunk Enterprise
  • Splunk Light
  • Splunk Cloud

Splunk Enterprise

Версія Splunk Enterprise використовується великим ІТ-бізнесом. Це допомагає вам збирати та аналізувати дані з програм, веб-сайтів, додатків тощо.

Splunk Cloud

Splunk Cloud — це розміщена платформа. Він має ті ж функції, що й корпоративна версія. Його можна отримати в Splunk або за допомогою Хмарна платформа AWS.

Splunk Light

Splunk Light є безкоштовною версією. Це дозволяє шукати, звітувати та змінювати дані журналу. У порівнянні з іншими версіями він має обмежені функціональні можливості та можливості.

Сплин Archiтектура

У цьому підручнику з основ Splunk ми дізнаємося про Splunk Archiтекстура:

Сплин Archiтектура
Сплин Archiтектура

Ось основні компоненти архітектури Splunk:

СТАТТІ ПО ТЕМІ

Універсальний форвард (UF):

Універсальний пересилач або UF – це легкий компонент, який передає дані на важкий пересилач Splunk. Ви можете встановити Universal Forward на стороні клієнта або на сервері додатків. Завданням цього компонента є лише пересилання даних журналу.

Балансувальник навантаження (LB):

Балансувальник навантаження є за замовчуванням балансувальником навантаження Splunk. Однак це також дозволяє використовувати ваш персоналізований балансир навантаження.

Важкий форвард (HF):

Важкий форвард - важкий компонент. Цей компонент Splunk дозволяє фільтрувати дані. Приклад: збір лише журналів помилок.

Індексатор (LB):

Індексатор допомагає зберігати та індексувати дані. Це покращує ефективність пошуку Splunk. За замовчуванням Splunk автоматично виконує індексацію. Наприклад, хост, джерело, дата й час.

Пошукова головка (SH):

Пошукова головка використовується для отримання інформації та створення звітів.

Сервер розгортання (DS):

Сервер розгортання допомагає розгортати конфігурацію. Наприклад, оновіть файл конфігурації UF. Ми можемо використовувати сервер розгортання для спільного використання між компонентом, який ми можемо використовувати на сервері розгортання.

Менеджер ліцензій (LM):

Ліцензія залежить від обсягу та використання — наприклад, 50 ГБ на день. Splunk регулярно перевіряє деталі ліцензування.

Як працює Splunk?

Зараз у цьому навчанні Splunk ми дізнаємося, як працює Splunk:

Як працює Splunk
Як працює Splunk

Експедитор:

Forwarder збирає дані з віддалених машин, а потім пересилає дані до індексу в режимі реального часу

Індексатор:

Індексатор обробляє вхідні дані в режимі реального часу. Він також зберігає та індексує дані на диску.

Голова пошуку:

Кінцеві користувачі взаємодіють із Splunk через Search Head. Це дозволяє користувачам здійснювати пошук, аналіз і візуалізацію.

Програми Splunk

Постановка проблеми: Mac-Donald не мав чіткого уявлення про те, які пропозиції працюють найкраще.

  • Тип пропозиції (наприклад, знижка 20%)
  • Культурні відмінності на рівні регіону
  • Час покупки
  • Пристрій, яким користується клієнт
  • Revenue, що генерується за замовлення

Їм потрібно було зрозуміти поведінку споживачів і реакцію клієнтів.

Весь процес використовує три типи джерела даних

  1. Замовлення розміщено в магазині Mac Donald Outlet
  2. Замовлення розміщене в мобільному додатку
  3. Замовляйте місця за допомогою веб-додатку
Тепер процес переходить від одного кроку до іншого, як зазначено на наведеній нижче схемі.

Як працює Splunk

вхід

Вхідні дані переходять до етапу аналізу,

Parsing

На етапі аналізу відповідні дані перетворюються на події:

  • Регіон клієнта
  • Revenue за замовлення
  • Час замовлення (ранок, день, вечір, ніч)
  • Пристрій, яким користуються клієнти (мобільний телефон, ПК, планшет)
  • Застосовуються купони на знижку

Етап індексації

На цьому етапі події сортуються та індексуються для зберігання на основі:

  • Продажі за географічним розташуванням
  • замовлення Revмісце проведення
  • Час замовлення (ранок, день, вечір, ніч)
  • Використання пристрою клієнтом
  • Пропонований купон застосовано

Голова пошуку

Він використовується для отримання розвідувальних даних і звітування.

Мак-Дональд використовував його, щоб отримати таку інформацію:

  • Яка пропозиція продажу найкраще працює в якому географічному місці?
  • Як поведінка клієнтів змінює дохід від замовлення?
  • Який найкращий час для застосування гамбургерів чи комбінованих пропозицій?

Як Splunk допоміг?

  • Показати всі замовлення, що надходять з певного регіону в реальному часі.
  • Визначте, як впливають різні рекламні пропозиції в реальному часі
  • Контролюйте продуктивність внутрішньої розробки систем торгових точок Mac Donald.
  • Співробітник може стежити за тим, що говорять клієнти, і допомогти зрозуміти очікування клієнтів.
  • Проаналізовано швидкість різних способів оплати
  • Визначити безпомилковий режим оплати

Найкращі практики використання Splunk

  • Ви повинні перевірити індекс, щоб ви могли швидко виконати тест.
  • Існують певні поля, які ви повинні отримати правильно під час індексування. Все інше ви можете створити/змінити лише після індексації.
  • Порушення подій відбувається автоматично в spunk, тому важливо перевірити, чи Splunk правильно виявив початок і кінець події.
  • Splunk може автоматично визначати позначку часу. Однак, якщо формат вашого журналу має іншу позначку часу, вам потрібно налаштувати позначку часу.

Відомі компанії, які використовують Splunk

Деякі відомі компанії, які використовують Splunk:

  • Cisco
  • Bosch
  • IBM
  • Motorola
  • PepsiCo
  • саман
  • Visa
  • Adidas
  • Facebook
  • Salesforce
  • Walmart

Альтернатива Splunk

1) Site24x7Керування журналами

Site24x7 надає централізований хмарний інструмент керування журналами для стека інфраструктури. Інструмент автоматично розпізнає всі журнали програм, забезпечуючи готову підтримку понад 100 програм.

Site24x7

Основні особливості Site24x7Інструмент керування журналами:

  • Підтримує понад 100 типів журналів, у тому числі журнали хмарної платформи
  • Дозволяє легко керувати будь-якими журналами за допомогою простого налаштування
  • Зручний пошук на основі мови запиту
  • Забезпечує підтримку широкого діапазону форматів журналів (JSON, Multiline, ключ-значення, формати XML тощо)
  • Cluster повідомлення на основі схожості шаблонів
  • ІТ-автоматизація для інцидентів автоматичного відновлення
  • Попередження тридцяти сторін за допомогою таких інструментів, як Microsoft Teams, ServiceNow, PagerDuty, Opsgenie, Jira, Webhooks, Zendeskта Zoho Cliq за ефективну співпрацю

Visit Site24x7 >>

2) Sumo Logic

Інструмент Sumo logic допомагає підтримувати інфраструктуру вашої програми. Пошук і аналіз журналів даних у реальному часі є простими. Інструмент дозволяє відстежувати та візуалізувати історичні події та події в реальному часі.

Посилання для скачування: https://www.sumologic.com/

3) Fluentd

Fluentd це безкоштовний інструмент збору даних з відкритим кодом. Це допомагає вам зберігати журнали в буфері FS. Тому ви можете отримати його, коли захочете. Він також пропонує такі послуги, як балансування навантаження, повторні спроби для підтримки надійності.

Посилання для скачування: https://www.fluentd.org/

4) стек ELK

Стек ЛОСИ дозволяє користувачам отримувати дані з будь-якого джерела в будь-якому форматі, а також шукати, аналізувати та візуалізувати ці дані. Інструмент пропонує централізоване журналювання. Ця функція корисна при спробі виявити проблеми з серверами або програмами.

Посилання для скачування: https://www.elastic.co/elk-stack

5) LogFaces

Logfaces — ще одна альтернатива spunk, яка дозволяє надсилати ваші запити електронною поштою. Цей інструмент зберігає дані журналу всередині приміщення. Інструмент поставляється з простою програмою для робочого столу.

Посилання для скачування: http://www.moonlit-software.com/

Недоліки використання Splunk

Деякі недоліки використання інструменту Splunk:

  • Splunk може виявитися дорогим для великих обсягів даних.
  • Інформаційні панелі функціональні, але не такі ефективні, як інші інструменти моніторингу.
  • Його крива навчання є жорсткою, і вам потрібне навчання Splunk, оскільки це багаторівнева архітектура. Тому вам потрібно витратити багато часу, щоб освоїти цей інструмент.
  • Пошуки важко зрозуміти, особливо регулярні вирази та синтаксис пошуку.

Підсумки

  • Splunk — це програмне забезпечення, яке використовується для моніторингу, пошуку, аналізу та візуалізації створених машиною даних у реальному часі.
  • Splunk скорочує час на пошук і вирішення проблем, пропонуючи миттєві результати.
  • Splunk доступний у трьох різних версіях: 1) Splunk Enterprise 2) Splunk Light 3) Splunk Cloud.
  • 1) Universal Forward (UF) 2) Load Balancer (LB) 3) Heavy forward (HF) 4) Indexer (LB) 5) Search head (SH) 6) Deployment Server (DS) 7) License Manager (LM) є важливими компоненти інструменту Splunk.
  • Важливі програми Splunk: 1) Інтерактивна карта 2) PromoПідтримка 3) Монітор ефективності 4) Зворотній зв’язок у реальному часі 5) Інформаційна панель і процес оплати.
  • Найважливіша найкраща практика використання Splunk полягає в тому, що ви повинні використовувати тестовий індекс, щоб ви могли швидко виконати тест.
  • Відомі компанії люблять Cisco, Бош, IBM, Motorola, Adobe, Visa використовують цей інструмент.
  • 1) SumoLogic 2) Стек ELK 3) Грані журналу 4) Fluentd є деякі альтернативи Splunk
  • Найбільшим недоліком Splunk є те, що він може виявитися дорогим для великих обсягів даних.

Вам може сподобатися: