顶级Splunk管理员面试问题

---

借助Splunk，企业可以利用本地数据中心、公共云、应用程序、服务和第三方技术，从数据中提取有见地的信息。作为Splunk管理员分析师，在全球一些顶级企业中有很多提升的机会。这里提供了一些最重要的Splunk管理员面试问题和答案，以帮助您规划职业道路。

Splunk定义

"谷歌"我们的计算机生成数据。它是一段软件或引擎，可用于搜索、可视化、跟踪、报告等我们的企业数据。通过图表、警报、报告等方式提供对我们数据的实时洞察，Splunk将有价值的机器数据转化为强大的运营信息。什么是DevOps工程师？

描述Splunk的工作原理

Splunk的工作分为三个阶段：数据输入、数据存储和数据搜索阶段。

• 数据输入阶段 − Splunk从多个来源获取原始数据，并将其划分为64K块。然后将元数据的键添加到这些块中。

• 数据存储阶段 − 在解析阶段，接下来检查数据以从中提取相关数据。然后，在索引阶段将解析的事件写入索引队列。

• 数据搜索阶段 − 此阶段涉及许多操作，包括用户访问、显示和使用索引数据。

Splunk如何处理数据老化？

数据通过一系列热、温、冷、冻和解冻存储桶进行老化。

• 数据在索引后进入热存储桶。热存储桶的数据不断写入且可主动搜索。

• 当Splunk重启或热存储桶达到其指定容量时，数据从热存储桶滚动到温存储桶。温存储桶上的数据可以搜索，但不会主动写入。

• 当温存储桶达到最大容量时，数据再次从温存储桶转移到冷存储桶，最旧的温存储桶数据首先转移到冷存储桶。

Splunk的数据模型和枢轴点是什么意思？

当存在大量非结构化数据时，Splunk的数据模型非常有用，因为它们可以用于将非结构化数据转换为结构化的层次模型，而无需复杂的搜索查询。用户可以使用枢轴点生成结果的前端视图，并选择合适的过滤器以更好地了解结果。

Splunk提供哪些类型的警报？

在Splunk中，有两种类型的警报：计划警报和实时警报。您可以根据您的实用程序选择一种警报类型。与计划警报（可以根据选择的定时参数进行编程搜索）不同，实时警报会持续搜索，并在找到搜索结果时立即触发。

定义“搜索因子”和“复制因子”。

搜索因子和复制因子是与搜索头集群和索引集群相关的函数。

• 搜索因子与索引集群相关，有助于确定索引集群保留多少份可搜索材料的副本。搜索因子默认设置为2。

• 复制因子是确定索引器集群将保留多少份数据副本以及搜索头集群将至少保留多少份搜索工件副本的重要因素。复制因子与搜索头集群和索引集群相关。复制因子的默认值为3。

如何启动和停止Splunk服务？

可以使用以下命令来停止或启动Splunk服务：

• ./splunk start 用于启动Splunk服务。

• ./splunk stop 用于停止Splunk服务。

时区属性在Splunk中有什么作用？

无论数据类型如何，Splunk都会在提交任何数据时自动确定时区。添加新的时区时，Splunk会选择浏览器中指定的时区。时区也根据您的计算机系统由您的浏览器确定。只有在正确的时区搜索时，才能找到特定的事件。

列出Splunk中的主要搜索命令？

在Splunk上，可以使用以下主要搜索命令：

• 摘要 − 创建并显示文本的摘要版本，而不是原始文本，以便提供搜索结果文本的简洁概述。

• Addtotals − Addtotals用于汇总数值字段，它还允许您专门选择要汇总的字段，而不是对所有字段都进行汇总。

• Accum - Accum是一个命令，有助于计算数值字段的累积总和。

• Filldown − 您可以使用Filldown命令将一组NULL值替换为给定字段的最新非NULL值。当未指定字段列表时，您可以将Filldown应用于每个字段。

• Typer − 它有助于确定与特定类型的事件相对应的搜索结果的eventtype字段。

• Rename − 此命令用于重命名特定字段，您可以使用通配符来选择多个字段以使用此命令。

• Anomalies − 使用anomalies命令确定特定事件的“意外”分数。

描述工作流操作

分配规则、调度和创建报表后，您可以使用工作流操作来自动化某些流程。工作流操作可用于深入了解特定信息列表（例如ID地址和用户名），以及检索特定数据集并将其发送到其他字段。

描述Splunk索引器。Splunk索引包含哪些阶段？

Splunk索引器负责管理和构建索引。索引器的主要职责如下：

• 索引新到达的数据

• 搜索索引信息

结论

上面列出的十大最常被问到的Splunk管理员面试问题将帮助您进行最后一刻的复习，并对您对该主题的理解和知识进行自我分析。