2022 年要準備的 30 大 Splunk 面試問題

有一件事是肯定的：實施 Splunk 將改變您的業務并將其提升到一個新的水平。但是，問題是您是否具備成為 Splunker 的技能？如果是，那么請為最可怕的工作面試做好準備，因為競爭非常激烈。您可以先了解本博客中提到的最常見的 Splunk 面試問題。

想要提升自己以在職業生涯中取得成功嗎？查看熱門趨勢技術文章。

Splunk 面試問題

在收集了Splunk 認證培訓專家的意見以幫助您通過面試后，本博文中涵蓋的問題已被列入候選名單。如果您想了解 Splunk 的基礎知識，可以先閱讀我的 Splunk 教程系列中的第一篇博客：什么是 Splunk？一切順利！

一季度。什么是 Splunk？為什么使用 Splunk 來分析機器數據？

這個問題很可能是您在任何 Splunk 面試中被問到的第一個問題。你需要先說：

Splunk 是一個平臺，可讓人們了解機器數據，這些數據是從硬件設備、網絡、服務器、物聯網設備和其他來源生成的。

由于以下原因，使用 Splunk 分析機器數據：

要了解有關此主題的更多信息，您可以閱讀此博客：?什么是 Splunk？

Q2。Splunk 有哪些組件？

Splunk 架構是一個主題，它將進入任何 Splunk 面試問題集。如上一個問題所述，Splunk 的主要組件是：??Forwarders、Indexers和Search Heads。然后，您可以提到另一個名為Deployment Server（或Management Console Host）的組件將在更大的環境中出現。部署服務器：

像設置例外和組的防病毒策略服務器一樣工作，以便您可以為基于 Windows 的服務器或基于 linux 的服務器或基于 solaris 的服務器映射和創建不同的數據收集策略集

可用于從中央位置控制在不同操作系統中運行的不同應用程序

可用于從一個中心位置為不同的應用程序部署配置和設置策略。

使用部署服務器是一個優勢，因為可以使用部署服務器輕松控制獨立于每個主機/機器的內涵、路徑命名約定和機器命名約定。

Q3。解釋 Splunk 的工作原理。

這是一個有把握的問題，因為你的面試官會判斷你的這個答案，以了解你對這個概念的了解程度。轉發器就像一個啞代理，它將從源收集數據并將其轉發給索引器。索引器將數據本地存儲在主機或云上。然后使用搜索頭對存儲在索引器中的數據進行搜索、分析、可視化和執行各種其他功能。

您可以在此處找到有關 Splunk 工作的更多詳細信息：??Splunk 架構：轉發器、索引器和搜索頭教程。

第 4 季度。為什么只使用 Splunk？為什么我不能選擇開源的東西？

提出此類問題是為了了解您的知識范圍。您可以通過說 Splunk 在分析機器日志、執行商業智能、執行 IT 操作和提供安全性方面在市場上有很多競爭來回答這個問題。但是，除了 Splunk 之外，沒有任何一種工具可以完成所有這些操作，而這正是 Splunk 開箱即用并發揮作用的地方。使用 Splunk，您可以輕松擴展您的基礎設施，并從支持該平臺的公司獲得專業支持。它的一些競爭對手是日志管理云空間中的 Sumo Logic 和開源類別中的 ELK。您可以參考下表以了解 Splunk 在功能方面與其他流行工具的對比情況。本博客介紹了這些工具之間的詳細差異：Splunk 對 ELK 對相撲邏輯。

Q5.?哪些 Splunk 角色可以共享同一臺機器？

這是另一個常見的 Splunk 面試問題，將測試候選人的實踐知識。在小型部署的情況下，大多數角色可以在同一臺機器上共享，包括Indexer、Search??Head?和License??Master。但是，在大型部署的情況下，首選做法是在獨立主機上托管每個角色。下面提到了即使在較大部署的情況下也可以共享的角色的詳細信息：

從戰略上講，索引器和搜索頭應該有物理專用的機器。使用虛擬機單獨運行實例并不是解決方案，因為使用計算機資源需要遵循某些準則，并且在同一物理硬件上旋轉多個虛擬機可能會導致性能下降。

但是，許可證主服務器和部署服務器可以在同一個虛擬機上通過旋轉不同的虛擬機在同一個實例中實現。

只要Deployment master不在同一實例上的并行虛擬機上托管，您就可以在同一實例上旋轉另一個虛擬機來托管Cluster master，因為到達Deployment 服務器的連接數將非常高。

這是因為Deployment 服務器不僅要處理來自Deployment master的請求，還要處理來自Forwarders的請求。

Q6.?通過轉發器將數據導入 Splunk 實例有哪些獨特優勢？

您可以說通過轉發器將數據導入 Splunk 的好處是帶寬限制、TCP 連接和用于將數據從轉發器傳輸到索引器的加密 SSL 連接。默認情況下，轉發到索引器的數據也是負載平衡的，即使一個索引器由于網絡中斷或維護目的而關閉，該數據也始終可以在很短的時間內路由到另一個索引器實例。此外，轉發器在轉發事件之前在本地緩存事件，從而創建該數據的臨時備份。

Q7.?簡述Splunk架構

查看下圖，它提供了 Splunk 架構的綜合視圖。您可以在此鏈接中找到詳細說明：??Splunk 架構：轉發器、索引器和搜索頭教程。

Q8.?Splunk 中的 License Master 有什么用？

Splunk 中的許可證主負責確保正確數量的數據被索引。Splunk 許可證基于 24 小時窗口內進入平臺的數據量，因此，確保環境保持在購買量的限制內非常重要。

假設您在第一天獲得 300 GB 數據，第二天獲得 500 GB 數據，另一天獲得 1 TB 數據，然后在另一天突然下降到 100 GB。那么，理想情況下，您應該擁有 1 TB/天的許可模式。因此，許可證主機確保 Splunk 部署中的索引器具有足夠的容量并許可正確數量的數據。

Q9.?如果 License Master 無法訪問，會發生什么情況？

如果許可證主機無法訪問，則無法搜索數據。但是，進入索引器的數據不會受到影響。數據將繼續流入您的 Splunk 部署，索引器將繼續像往常一樣索引數據，但是您將在搜索頭或 Web UI 頂部收到一條警告消息，指出您已超出索引量，您要么需要減少傳入的數據量，或者您需要購買更高容量的許可證。

基本上，候選人應該回答索引不會停止；只有搜索停止。

Q10。從 Splunk 的角度解釋“許可證違規”。

如果超出數據限制，則會顯示“違反許可”錯誤。拋出的許可證警告將持續 14 天。在商業許可證中，您可以在 30 天滾動窗口內收到 5 條警告，在此之前您的 Indexer 的搜索結果和報告將停止觸發。然而，在免費版本中，它只會顯示 3 次警告。

Q11。給出一些知識對象的用例。

知識對象可用于許多領域。幾個例子是：

物理安全：如果您的組織處理物理安全，那么您可以利用包含有關地震、火山、洪水等信息的數據來獲得有價值的見解

應用程序監控：通過使用知識對象，您可以實時監控您的應用程序并配置警報，當您的應用程序崩潰或發生任何停機時，它會通知您

網絡安全：您可以通過將某些 IP 列入黑名單以防止其進入您的網絡來提高系統的安全性。這可以通過使用稱為查找的知識對象來完成。

員工管理：如果您想監控在通知期內服務的人員的活動，那么您可以創建這些人員的列表并創建規則以防止他們復制數據并在外部使用它們

更輕松地搜索數據：使用知識對象，您可以在開始時標記信息、創建事件類型并創建搜索約束并縮短它們，以便它們易于記憶、關聯和理解，而不是編寫冗長的搜索查詢。您放置搜索條件并縮短它們的那些約束稱為事件類型。

這些是一些可以使用知識對象從非技術角度完成的操作。知識對象是業務中的實際應用，這意味著沒有知識對象的 Splunk 面試問題是不完整的。如果您想詳細了解可用的不同知識對象及其使用方式，請閱讀此博客：??Splunk 知識對象教程

Q12。我們為什么要使用 Splunk Alert？?設置警報時有哪些不同的選項？

這是一個常見問題，針對 Splunk 管理員角色的候選人。當您希望收到系統中錯誤情況的通知時，可以使用警報。例如，當 24 小時內登錄嘗試失敗超過 3 次時，向管理員發送電子郵件通知。另一個示例是當您希望每天在特定時間運行相同的搜索查詢以提供有關系統狀態的通知時。

設置警報時可用的不同選項有：

你可以創建一個網絡鉤子，這樣你就可以寫到 hipchat 或 github。在這里，您可以向一組機器寫一封電子郵件，其中包含您的所有主題、優先級和消息正文

您可以在郵件正文中添加結果、.csv 或 pdf 或內聯，以確保收件人了解此警報在何處觸發、在什么條件下以及他已采取的操作

您還可以根據某些條件（如機器名稱或 IP 地址）創建票證和限制警報。例如，如果發生病毒爆發，您不希望觸發每個警報，因為這會導致系統中創建許多工單，這將導致過載。您可以從警報窗口控制此類警報。

您可以在此博客中找到有關此主題的更多詳細信息：Splunk 警報。

Q13.?解釋工作流操作

工作流操作就是這樣一個主題，它將出現在任何一組 Splunk 面試問題中。工作流操作對于普通 Splunk 用戶并不常見，只有完全理解它的人才能回答。因此，恰當地回答這個問題很重要。

您可以通過首先說明為什么應該使用它來開始解釋工作流操作。

一旦您分配了規則、創建了報告和計劃，然后呢？這不是路的盡頭！您可以創建將自動執行某些任務的工作流操作。例如：

您可以雙擊，這將深入到包含用戶名及其 IP 地址的特定列表，您可以進一步搜索該列表

您可以雙擊以從報告中檢索用戶名，然后將其作為參數傳遞給下一個報告

您可以使用工作流操作來檢索一些數據并將一些數據發送到其他字段。一個用例是，您可以將緯度和經度詳細信息傳遞給谷歌地圖，然后您就可以找到 IP 地址或位置所在的位置。

下面的屏幕截圖顯示了您可以在其中設置工作流操作的窗口。

Q14。解釋數據模型和樞軸

數據模型用于創建數據的結構化分層模型。當您擁有大量非結構化數據，并且希望在不使用復雜搜索查詢的情況下利用該信息時，可以使用它。

數據模型的一些用例是：

創建銷售報告：如果您有銷售報告，那么您可以輕松創建成功購買的總數，在此之下您可以創建一個包含失敗購買列表和其他視圖的子對象

設置訪問級別：如果您想要用戶及其各種訪問級別的結構化視圖，您可以使用數據模型

啟用身份驗證：如果您想在身份驗證中建立結構，您可以圍繞 VPN、root 訪問、管理員訪問、非 root 管理員訪問、各種不同應用程序的身份驗證創建一個模型，以一種規范化您的方式的方式圍繞它創建一個結構看數據。

因此，當您查看稱為身份驗證的數據模型時，Splunk 的源是什么并不重要，而且從用戶的角度來看，它變得非常簡單，因為當添加新數據源或棄用舊數據源時，您不會必須重寫所有搜索，這是使用數據模型和數據透視的最大好處。

另一方面，使用樞軸，您可以靈活地創建結果的前視圖，然后選擇最合適的過濾器以獲得更好的結果視圖。這兩個選項對于來自非技術或半技術背景的經理都很有用。您可以在此博客中找到有關此主題的更多詳細信息：Splunk 數據模型。

Q15.?解釋搜索因子 (SF) 和復制因子 (RF)

當您面試 Splunk 架構師的角色時，很可能會問到有關搜索因子和復制因子的問題。SF 和 RF 是與聚類技術（搜索頭聚類和索引器聚類）相關的術語。

搜索因子決定了索引器集群維護的可搜索數據副本的數量。搜索因子的默認值為 2。但是，在 Indexer 集群的情況下，復制因子是集群維護的數據副本數，如果是搜索頭集群，則是每個搜索工件的最小副本數，集群維護

搜索頭集群只有一個搜索因子，而索引器集群同時具有搜索因子和復制因子

需要注意的重要一點是搜索因子必須小于或等于復制因子

Q16.?哪些命令包含在“過濾結果”類別中？

短時間內將有大量事件進入 Splunk。因此，搜索和過濾數據是一項有點復雜的任務。但是，幸運的是，有像“搜索”、“哪里”、“排序”和“rex”這樣的命令可以解救。這就是為什么過濾命令也是最常見的 Splunk 面試問題之一。

搜索：“搜索”命令用于從索引中檢索事件或過濾管道中先前搜索命令的結果。您可以使用關鍵字、帶引號的短語、通配符和鍵/值表達式從索引中檢索事件。'search' 命令隱含在任何和每個搜索操作的開頭。

Where?：然而，'where' 命令使用 'eval' 表達式來過濾搜索結果。'search' 命令僅保留評估成功的結果，而 'where' 命令用于進一步深入到這些搜索結果中。例如，“搜索”可用于查找活動節點的總數，但“where”命令將返回運行特定應用程序的活動節點的匹配條件。

Sort?：'sort' 命令用于按指定字段對結果進行排序。它可以按逆序、升序或降序對結果進行排序。除此之外，排序命令還具有在排序時限制結果的功能。例如，您可以執行僅返回業務中產生收入前 5 的產品的命令。

Rex?：'rex' 命令基本上允許您從事件中提取數據或特定字段。例如，如果您想識別電子郵件 ID 中的某些字段：abc@edureka.co，“rex”命令允許您將結果分解為abc是用戶 ID，edureka.co是域名，edureka是公司名。您可以使用 rex 以您想要的方式分解、分割您的事件和每個事件記錄的部分。

Q17.?什么是?查找命令？區分輸入查找和輸出查找命令。

查找命令是大多數面試問題都涉及的主題，問題類似于：你能豐富數據嗎？您如何通過外部查找來豐富原始數據？

您將看到一個用例場景，其中有一個 csv 文件，要求您查找某些產品目錄，并要求比較原始數據和結構化 csv 或 json 數據。所以你應該準備好自信地回答這些問題。

當您希望從外部文件（例如 CSV 文件或任何基于 python 的腳本）接收某些字段以獲取事件的某些值時，使用查找命令。它用于縮小搜索結果的范圍，因為它有助于引用外部 CSV 文件中與事件數據中的字段匹配的字段。

一個inputlookup?基本上采用的輸入顧名思義。例如，它會將產品價格、產品名稱作為輸入，然后將其與產品 ID 或商品 ID 等內部字段進行匹配。而outputlookup?用于從現有字段列表生成輸出。基本上， inputlookup 用于豐富數據， outputlookup 用于構建它們的信息。

Q18.?“eval”、“stats”、“charts”和“timecharts”命令有什么區別？

“Eval”和“stats?”是 Splunk SPL 語言中最常見也是最重要的命令，它們與“search”和“where”命令一樣可以互換使用。

有時 'eval' 和 'stats' 可以互換使用，但兩者之間存在細微差別。'stats?'命令用于計算一組事件的統計信息，而 'eval' 命令允許您完全創建一個新字段，然后在后續部分中使用該字段來搜索數據。

另一個常見問題是“stats”、“charts”和“timecharts”命令之間的區別。下表中提到了它們之間的區別。

Q19.?Splunk 中有哪些不同類型的數據輸入？

這是只有作為 Splunk 管理員工作過的人才可以回答的問題。問題的答案如下。

顯而易見且最簡單的方法是使用文件和目錄作為輸入

配置網絡端口以自動接收輸入并編寫腳本以便將這些腳本的輸出推送到 Splunk 是另一種常用方法

但是經驗豐富的 Splunk 管理員應該會添加另一個稱為 Windows 輸入的選項。這些窗口輸入有 4 種類型：注冊表輸入監視器、打印機監視器、網絡監視器和活動目錄監視器。

Q20。Splunk 中每個事件的默認字段是什么？

大約有 5 個字段是默認的，它們在每個事件中都有條形碼進入 Splunk。

它們是主機、源、源類型、索引和時間戳。

Q21。解釋 Splunk 中的文件優先級。

對于管理員、開發人員和架構師來說，文件優先級是 Splunk 故障排除的一個重要方面。Splunk 的所有配置都寫在純文本 .conf 文件中。這些文件中的每一個都可能存在多個副本，因此了解這些文件在 Splunk 實例運行或重新啟動時所扮演的角色非常重要。出于多種原因，文件優先級是一個需要理解的重要概念：

能夠規劃 Splunk 升級

能夠計劃應用程序升級

能夠提供不同的數據輸入和

將配置分發到您的 splunk 部署。

為了確定配置文件副本之間的優先級，Splunk 軟件首先確定目錄方案。目錄方案是 a) 全局或 b) 應用程序/用戶。

當上下文是全局的（即沒有應用程序/用戶上下文時），目錄優先級按以下順序下降：

系統本地目錄 —最高優先級

應用本地目錄

應用默認目錄

系統默認目錄 —最低優先級

當上下文是應用程序/用戶時，目錄優先級從用戶到應用程序再到系統：

當前用戶的用戶目錄 -最高優先級

當前正在運行的應用程序的應用程序目錄（本地，默認緊隨其后）

所有其他應用程序的應用程序目錄（本地，默認為）——僅適用于導出的設置

系統目錄（本地，默認為）——最低優先級

Q22.?我們如何提取字段？

您可以通過 UI 從事件列表、側邊欄或設置菜單中提取字段。

另一種方法是在 props.conf 配置文件中編寫自己的正則表達式。

Q23.?搜索時間和索引時間字段提取有什么區別？

顧名思義，搜索時間字段提取是指在執行搜索時提取的字段，而在數據進入索引器時提取的字段稱為索引時間字段提取。您可以在轉發器級別或索引器級別設置索引器時間字段提取。

另一個區別是搜索時間字段提取的提取字段不是元數據的一部分，因此它們不占用磁盤空間。而索引時間字段提取的提取字段是元數據的一部分，因此會占用磁盤空間。

Q24.?解釋數據如何在 Splunk 中老化？

進入索引器的數據存儲在稱為桶的目錄中。隨著數據老化，存儲桶會經歷幾個階段：熱、溫、冷、凍結和解凍。隨著時間的推移，桶從一個階段“滾動”到下一個階段。

當數據第一次被索引時，它會進入一個熱桶。熱桶既可搜索又可被積極寫入。一個索引可以同時打開多個熱桶

當某些條件發生時（例如，熱存儲桶達到特定大小或splunkd重新啟動），熱存儲桶變為溫存儲桶（“滾動到溫暖”），并在其位置創建新的熱存儲桶。暖桶是可搜索的，但不會主動寫入?？梢杂泻芏鄿嘏乃?/p>

一旦滿足進一步的條件（例如，索引達到某個最大數量的暖桶），索引器開始根據它們的年齡將暖桶滾動到冷桶。它總是選擇最舊的暖桶滾動到冷。以這種方式老化時，桶會繼續變冷

一段時間后，冷存儲桶會滾動到凍結狀態，此時它們將被存檔或刪除。

存儲桶老化策略決定了存儲桶何時從一個階段移動到下一個階段，可以通過編輯 index.conf 中的屬性來修改。

Q25.?Splunk 中的摘要索引是什么？

從管理的角度來看，摘要索引是另一個重要的 Splunk 面試問題。您將被問到這個問題以了解您是否知道如何存儲分析數據、報告和摘要。這個問題的答案如下。

擁有摘要索引的最大優勢在于，即使數據已經過時，您也可以保留分析和報告。例如：

假設您的數據保留政策只有 6 個月，但是您的數據已經過時并且已經超過幾個月了。如果你還想自己做計算或者挖出一些統計值，那么在那個時候，匯總索引很有用

例如，您可以存儲過去 6 個月中每一個月發生的銷售增長百分比的摘要和統計數據，然后您可以從中提取平均收入。該平均值存儲在匯總索引中。

但是匯總索引的局限性是：

你不能像大海撈針那樣進行搜索

您無法深入了解哪些產品對收入有所貢獻

您無法從統計數據中找出排名靠前的產品

您無法深入了解并確定對該摘要的最大貢獻。

這就是摘要索引的使用，在面試中，您需要回答好處和限制這兩個方面。

Q26.?如何從 Splunk 索引中排除某些事件？

您可能不想索引 Splunk 實例中的所有事件。在這種情況下，您將如何排除事件進入 Splunk。

這方面的一個示例是應用程序開發周期中的調試消息。您可以通過將這些事件放入空隊列來排除此類調試消息。這些空隊列在轉發器級別本身放入transforms.conf中。

如果候選人能回答這個問題，那么他最有可能被錄用。

Q27. Splunk 中時區屬性的用途是什么？?什么時候最需要？

當您從安全或欺詐的角度搜索事件時，時區非常重要。如果您使用錯誤的時區搜索您的事件，那么您最終將無法完全找到該特定事件。Splunk 從您的瀏覽器設置中選取默認時區。瀏覽器依次從您正在使用的機器中獲取當前時區。Splunk 在輸入數據時選取該時區，當您搜索和關聯來自不同來源的數據時，它是最需要的。例如，您可以搜索在 IST 下午 4:00、在您的倫敦數據中心或新加坡數據中心等發生的事件。因此，時區屬性對于關聯此類事件非常重要。

Q28.?什么是 Splunk 應用程序？Splunk 應用程序和附加組件有什么區別？

Splunk Apps 被認為是報告、儀表板、警報、字段提取和查找的完整集合。Splunk 應用程序減去報表或儀表板的可視組件是 Splunk 附加組件。查找、字段提取等是 Splunk Add-on 的示例。

任何知道這個答案的候選人都會對 Splunk 的開發人員方面提出更多問題。

Q29.?如何根據 Splunk UI 中的字段名稱在圖表中分配顏色？

您需要在創建報告和呈現結果時為圖表分配顏色。大多數情況下，默認情況下會選擇顏色。但是如果你想分配自己的顏色怎么辦？例如，如果您的銷售數字低于閾值，那么您可能需要該圖表以紅色顯示圖表。那么，您將如何更改 Splunk Web UI 中的顏色？

您必須首先編輯構建在儀表板之上的面板，然后從 UI 修改面板設置。然后，您可以挑選顏色。您還可以編寫命令，通過輸入十六進制值或編寫代碼從調色板中選擇顏色。但是，Splunk UI 是首選方式，因為您可以靈活地根據條形圖或折線圖中的類型輕松地將顏色分配給不同的值。您還可以提供不同的梯度并將您的值設置為徑向計或水位計。

Q30.?Splunk 中的源類型是什么？

現在這個問題可能出現在列表的底部，但這并不意味著它在其他 Splunk 面試問題中最不重要。

Sourcetype 是一個默認字段，用于標識傳入事件的數據結構。Sourcetype 確定 Splunk Enterprise 在索引過程中如何格式化數據。可以在轉發器級別設置源類型以進行索引器提取以識別不同的數據格式。由于源類型控制 Splunk 軟件格式化傳入數據的方式，因此為數據分配正確的源類型非常重要。重要的是，即使是數據的索引版本（事件數據）也看起來像您想要的那樣，帶有適當的時間戳和事件中斷。這有助于以后更輕松地搜索數據。

例如，數據可能以 csv 的形式出現，第一行是標題，第二行是空行，然后從下一行開始是實際數據。另一個需要使用 sourcetype 的示例是，如果您想將日期字段分解為 csv 的 3 個不同列，每個列用于日、月、年，然后對其進行索引。你對這個問題的回答將是你被錄用的決定性因素。

我希望這組 Splunk 面試問題能幫助您準備面試。您可以通過閱讀有關Splunk 職業的博客來查看不同的工作角色，Splunk 熟練的專業人員負責。此外，我們還有專家制作的有關 Splunk 面試問題的視頻，可以進一步幫助您。請看一看，讓我們知道這是否對您的面試準備有幫助。

此 Splunk 教程將幫助您準備下一次 Splunk 面試。我們整理了 Splunk 工作面試中提出的熱門問題列表。我們還提供了這些問題的最佳答案。

網絡 虛擬化

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。