Splunk 面试常见问题

借助 Splunk,企业可以使用本地数据中心、公共云、应用程序、服务和第三方技术从数据中提取有洞察力的信息。作为 Splunk 管理分析师,有多种机会在全球一些顶级企业中提升职业发展。这里提供了一些最重要的 Splunk 管理员面试问题和答案,以帮助您选择职业道路。

定义 Splunk

Splunk 基本上是一种用于查找、显示和跟踪机器生成的大量数据的软件。它跟踪许多日志文件类型并将数据保存在索引器中。

列出 Splunk 使用的常见端口

Splunk 经常使用以下端口:

  • HTTP 端口 8000

  • 控制端口:8089

  • 514 网络端口

  • 索引复制端口:8080

  • 索引端口:9997

  • 存储 KV:8191

描述 Splunk 组件

以下是 Splunk 的核心组件:

  • 轻量级通用转发组件将数据插入 Splunk 转发器。

  • 我们所说的“重型转发器”是指一个重量级组件,它允许您过滤必要的数据。

  • 搜索头的这部分用于收集情报并执行报告。

  • 许可证管理器:许可证取决于使用情况和数量。您每天允许使用 50 GB。Splunk 通常会验证许可证信息。

  • 负载均衡器:除了内置 Splunk 加载器的功能外,您还可以使用自己的自定义负载均衡器。

Splunk 索引器的意义是什么?

此 Splunk Enterprise 组件构建和维护索引。索引器的两个主要任务是:

  • 将原始数据索引到索引中,以及

  • 搜索和管理索引数据。

使用 Splunk 的缺点是什么?

使用 Splunk 工具存在一些缺点。

  • 对于大量数据,Splunk 可能成本较高。

  • 虽然有用,但仪表板在有效性方面不及其他一些监控技术。

  • 由于其多层设计和陡峭的学习曲线,需要进行 Splunk 培训。因此,学习如何使用此工具需要大量时间。

  • 在执行搜索时,正则表达式和搜索语法特别难以理解。

通过 Splunk 实例中的转发器输入数据

使用转发器将数据输入 Splunk 的优势在于 TCP 连接、带宽限制和用于传输转发器到索引器的重要数据的安全 SSL 连接。

定义许可证主服务器在 Splunk 中的作用

Splunk 的许可证主服务器确保索引了适当数量的数据。它确保环境保持在已购买数量的范围内,因为 Splunk 的许可证基于 24 小时内进入平台的数据量。

列出一些 Splunk 配置文件

典型的 Splunk 配置文件包括:

  • 打开文件

  • 修改文件

  • 服务器上的索引文件

  • 图片文件

描述 Splunk 许可证违规

当您超过分配的数据量时,会出现警告错误。此错误消息将保持活动状态 14 天。在商业许可证下,您的索引器搜索结果和报告可能会在一个滚动的一个月内触发多达 5 个警告,然后才会停止触发。但是,免费版中的许可证违规警报仅显示三个警告实例。

Splunk 警报的作用是什么?

当您需要监视某些事件并对其做出反应时,警报可能很有用。例如,当 24 小时内有超过三次不成功的登录尝试时,用户可能会收到一封电子邮件通知作为警报,以检查登录尝试的来源。

解释 Map-Reduce 算法

Splunk 使用 Map-Reduce 算法作为加速数据搜索的方法。它借鉴了两个有用的编程特性。(1) cut ((2) map ()。在这里,map() 和 reduce() 函数分别连接到 Mapper 和 Reducer 类。

Splunk 中有哪些不同的数据输入?

以下列表包含 Splunk 的许多数据输入:

  • 来自文件和目录的输入

  • 设置网络端口以自动接受输入

  • 包括 Windows 输入。这些 Windows 输入有四种类型:活动目录、打印机、网络和注册表输入是前四个监视器。

Splunk 如何索引重复日志?

您可以使用 Splunk 在 fish buckets 目录中跟踪已索引的事件。您正在索引的文件具有 CRC 和查找点,如果 Splunk 之前已读取过这些文件,则会阻止 Splunk 读取它们。

描述 Splunk 中的数据模型和枢轴

使用枢轴生成输出的前端视图。然后,我们使用最合适的过滤器来更好地查看输出。具有非技术或半技术背景的人员可以从提供的任何一个选项中受益。数据模型最常见的用途是构建分层数据模型。但如果您有大量非结构化数据,也可以使用它。由于它,您可以更有效地利用这些信息,而无需使用复杂的搜索词。

定义“汇总索引”一词

汇总索引是一个用于保存 Splunk 计算结果的唯一索引。这是一种经济高效且快速的方法来执行较长时间的查询。

如何阻止 Splunk 索引我的事件?

调试消息应放置在空队列中,以将其从 Splunk 对事件的索引中排除。transforms.conf 文件本身的转发器级别必须维护空队列。

定义 Splunk DB Connect

它是一个 SQL 数据库插件,允许通过导入其表、行和列来添加数据库。借助 Splunk DB Connect,可以以可靠且可扩展的方式集成数据库和 Splunk Enterprise。

结论

上面列出了 17 个最常被问到的 Splunk 面试问题,这些问题将帮助您进行最后一刻的复习,并根据您对 Splunk 知识的理解进行自我分析。除此之外,这 17 个问题能够帮助刚接触 Splunk 的初学者,并持续采取措施探索、学习和实施 Splunk,以便对学习成果进行自我测试。

更新于: 2022-12-27

312 次浏览

开启您的 职业生涯

通过完成课程获得认证

立即开始
广告