Splunk 初学者教程:什么是 Splunk 工具?如何使用?
大卫卡特
什么是Splunk?
Splunk的 是一个广泛用于实时监控、搜索、分析和可视化机器生成的数据的软件平台。它在可搜索的容器中执行捕获、索引和关联实时数据,并生成图表、警报、仪表板和可视化。Splunk 为整个组织提供易于访问的数据,以便轻松诊断和解决各种业务问题。
为什么我们需要 Splunk?
Splunk 监控工具为组织提供了许多好处。使用 Splunk 的一些好处包括:
- 在仪表板中提供增强的 GUI 和实时可视性
- 它通过提供即时结果来减少故障排除和解决时间。
- 它是最适合根本原因分析的工具。
- Splunk 允许您生成图表、警报和仪表板。
- 您可以使用 Splunk 轻松搜索和调查特定结果。
- 它允许您排除任何故障情况,以提高性能。
- 帮助您监控任何业务指标并做出明智的决策。
- Splunk 允许您整合 人工智能 融入您的数据策略中。
- 让你收集有用的 Opera来自机器数据的国家智能
- 从不同的日志中总结并收集有价值的信息
- Splunk 允许您接受任何数据类型,如 .csv、json、日志格式等。
- 提供最强大的搜索分析和可视化功能,为各类用户提供支持。
- 允许您创建一个中央存储库,用于搜索来自各种来源的 Splunk 数据。
Splunk 的功能
Splunk的重要功能包括:
- 加速开发和测试
- 允许您构建实时数据应用程序
- 更快地产生投资回报
- 采用实时架构的敏捷统计和报告
- 提供搜索、分析和可视化功能,为各类用户提供支持
Splunk 产品
Splunk 有三个不同版本。
- Splunk Enterprise
- Splunk 光
- Splunk云
Splunk Enterprise
Splunk Enterprise 版本供大型 IT 企业使用。它可以帮助您收集和分析来自应用程序、网站、应用程序等的数据。
Splunk云
Splunk Cloud 是一个托管平台。它具有与企业版相同的功能。它可从 Splunk 或使用 AWS 云平台.
Splunk 光
Splunk Light 是免费版本。它允许搜索、报告和更改您的日志数据。与其他版本相比,它的功能和特性有限。
Splunk的 Archi质地
现在,在本 Splunk 基础教程中,我们将学习 Splunk Archi結構:
以下是 Splunk 架构的基本组件:
通用转发 (UF):
Universal Forward 或 UF 是一个轻量级组件,它将数据推送到重型 Splunk 转发器。您可以在客户端或应用程序服务器上安装 Universal Forward。此组件的工作只是转发日志数据。
负载均衡器 (LB):
负载均衡器是默认的 Splunk 负载均衡器。但是,它也允许您使用个性化的负载均衡器。
重前锋(HF):
Heavy Forward 是一个重量级组件。这个 Splunk 组件允许您过滤数据。例如:仅收集错误日志。
索引器(LB):
索引器可帮助您存储和索引数据。它可提高 Splunk 搜索性能。默认情况下,Splunk 会自动执行索引。例如,主机、源以及日期和时间。
搜索头(SH):
搜索头用于获取情报并执行报告。
部署服务器 (DS):
部署服务器有助于部署配置。例如,更新UF配置文件。我们可以使用部署服务器在组件之间共享我们可以使用部署服务器。
许可证管理器 (LM):
许可证基于容量和使用情况 — 例如,每天 50 GB。Splunk 会定期检查许可详细信息。
Splunk 如何工作?
现在,在本次 Splunk 培训中,我们将了解 Splunk 的工作原理:
货代:
转发器从远程机器收集数据,然后实时转发数据到索引
索引器:
索引器实时处理传入的数据。它还将数据存储并索引到磁盘上。
搜索头:
最终用户通过 Search Head 与 Splunk 进行交互。它允许用户进行搜索、分析和可视化。
Splunk 的应用
问题陈述:麦当劳并不清楚什么样的优惠最有效。
- 优惠类型(例如 20% 折扣)
- 区域层面的文化差异
- 购买时间
- 客户使用的设备
- Rev每个订单生成
他们需要深入了解消费者行为和客户反应。
整个过程使用三种类型的数据源
- 在 Mac Donald Outlet 下单
- 在移动应用程序中下订单
- 使用 Web 应用程序订购
输入
输入数据进入解析阶段,
解析
在解析阶段,相关数据被转换成事件:
- 客户地区
- Rev按订单执行
- 订购时间(早上、下午、傍晚、夜间)
- 客户使用的设备(手机、电脑、平板电脑)
- 折扣券已使用
索引阶段
在此阶段,将根据以下内容对事件进行排序和索引以进行存储:
- 按地理位置划分的销售额
- 下单 Rev埃努埃
- 订购时间(早上、下午、晚上、夜间)
- 客户使用设备
- 优惠券已使用
搜索头
它用于获取情报和进行报告。
麦克唐纳利用它获得了以下信息:
- 哪种销售优惠在哪个地理位置最有效?
- 顾客行为对订单收入有何变化?
- 什么时候最适合申请汉堡或套餐优惠?
Splunk 如何提供帮助?
- 实时显示来自特定区域的所有订单。
- 确定不同促销优惠的实时影响
- 监控麦当劳内部开发的销售点系统的性能。
- 员工可以监控顾客的言论并帮助了解顾客的期望。
- 分析不同支付方式的速度
- 确定无错误付款模式
使用 Splunk 的最佳实践
- 您应该测试索引,以便可以快速执行测试。
- 有些特定字段必须在索引时正确获取。其他所有字段只能在索引后创建/修改。
- 事件中断在 spunk 中自动发生,因此检查 Splunk 是否正确检测到事件的开始和结束非常重要。
- Splunk 可以自动检测时间戳。但是,如果您的日志格式有不同的时间戳,则需要配置时间戳。
使用 Splunk 的知名公司
一些使用 Splunk 的著名公司有:
- Cisco
- Bosch
- IBM
- 摩托罗拉
- 百事公司
- Adobe
- 签证
- Adidas
- Salesforce
- 沃尔玛
Splunk 的替代方案
1) Site24x7的日志管理
Site24x7 为您的基础架构堆栈提供集中式、基于云的日志管理工具。该工具可自动识别所有应用程序日志,为 100 多个应用程序提供开箱即用的支持。
的主要特点 Site24x7的日志管理工具:
- 支持100多种日志类型,包括云平台日志
- 通过简单的定制即可轻松管理任何日志
- 用户友好的基于查询语言的搜索
- 提供对多种日志格式的支持(JSON、多行、键值、XML 格式等)
- Cluster 基于模式相似性的消息
- 用于自动修复事件的 IT 自动化
- 通过以下工具向第三方发出警报 Microsoft Teams、ServiceNow、PagerDuty、Opsgenie、Jira、Webhooks、 Zendesk以及 Zoho Cliq 实现有效协作
2) Sumo Logic
Sumo 逻辑工具可帮助您维护应用程序的基础架构。实时搜索和分析数据日志非常简单。该工具允许您监控和可视化历史和实时事件。
下载链接: https://www.sumologic.com/
3) Fluentd
Fluentd 是一款免费的开源数据收集工具。它可以帮助您将日志保存在 FS 缓冲区中。因此,您可以随时检索它。它还提供负载平衡、重试等服务以保持稳健性。
下载链接: https://www.fluentd.org/
4)ELK 堆栈
麋鹿栈 允许用户从任何来源、任何格式获取数据,并搜索、分析和可视化这些数据。该工具提供集中式日志记录。此功能在尝试识别服务器或应用程序的问题时非常有用。
下载链接: https://www.elastic.co/elk-stack
5)LogFaces
Logfaces 是 spunk 的另一种替代方案,它允许您通过电子邮件发送查询。此工具将日志数据保存在场所内。该工具附带一个易于使用的桌面应用程序。
下载链接: http://www.moonlit-software.com/
使用 Splunk 的缺点
使用 Splunk 工具的一些缺点是:
- 对于大数据量来说,Splunk 的成本可能比较高。
- 仪表盘功能齐全,但效果不如其他一些 监控工具.
- 它的学习难度很高,而且由于它是多层架构,所以需要接受 Splunk 培训。因此,你需要花费大量时间来学习此工具。
- 搜索很难理解,尤其是正则表达式和搜索语法。
总结
- Splunk 是一款用于实时监控、搜索、分析和可视化机器生成的数据的软件。
- Splunk 通过提供即时结果来减少故障排除和解决时间。
- Splunk 有三个不同版本:1)Splunk Enterprise 2) Splunk Light 3) Splunk Cloud。
- 1)通用转发(UF)2)负载均衡器(LB)3)重型转发(HF)4)索引器(LB)5)搜索头(SH)6)部署服务器(DS)7)许可证管理器(LM)是 Splunk 工具的重要组成部分。
- Splunk的重要应用有:1)交互式地图2) Promo国家支持 3)性能监控 4)实时反馈 5)仪表板和支付流程。
- 使用 Splunk 最重要的最佳实践是您应该使用测试索引,以便您可以快速执行测试。
- 知名公司如 Cisco,博世, IBM、摩托罗拉、Adobe、Visa 都在使用该工具。
- 1)SumoLogic 2)ELK 堆栈 3)日志面 4) Fluentd 有哪些 Splunk 的替代品
- Splunk 的最大缺点是处理大量数据时成本较高。
