Splunk测试工具学习任务
目录
目录 .................................................................................................................................................. 2 一.Splunk基础知识 ...................................................................................................................... 4 二. Splunk的功能特性 ................................................................................................................ 5
1. 多平台支持 .......................................................................................................................... 5 2. 从任意源索引任意数据 ...................................................................................................... 5 3. 从远程系统转发数据 .......................................................................................................... 5 4. 关联复杂事件 ...................................................................................................................... 6 5. 专为大型数据构建 .............................................................................................................. 6 6. 在整个数据中心扩展 .......................................................................................................... 6 7. 提供角色行的安全性 .......................................................................................................... 6 三.Splunk导览 .............................................................................................................................. 7
1. 索引任何数据 ...................................................................................................................... 7 2. 搜索与调查 .......................................................................................................................... 8 3. 与搜索结果互动 .................................................................................................................. 8 4. 新增知识 .............................................................................................................................. 9 5. 关联复杂事件 ...................................................................................................................... 9 6. 监视和警报 ........................................................................................................................ 10 7. 报告与分析 ........................................................................................................................ 10 8. 自定义仪表板与视图 ........................................................................................................ 11 9. 构建于部署Splunk应用程序 .......................................................................................... 11 四. Splunk各版本之间的功能比较 .......................................................................................... 12 五.Splunk的独特优势 ................................................................................................................ 14
1、无风险快速回报 ............................................................................................................... 14 2、受到用户喜爱 ................................................................................................................... 14 3、处理您所有的机器数据 ................................................................................................... 14 4、适应动态环境 ................................................................................................................... 14 5、适用于所有类型的用户 ................................................................................................... 15 6、满足整个 IT 行业的策略需求 ....................................................................................... 15 7、从笔记本电脑扩展至数据中心 ....................................................................................... 15 六. Splunk安装过程 .................................................................................................................. 16
1. 客户端下载地址: ............................................................................................................ 16 2. 双击,开始安装: ............................................................................................................ 16 3. 打开客户端,端口号配置: ............................................................................................ 20 4. Splunk配置过程 ................................................................................................................ 20 5. 重启Splunk服务 .............................................................................................................. 20
6. 客户端计算机名称 ............................................................................................................ 22 七. Splunk的使用 ...................................................................................................................... 23
1. 登录Splunk ....................................................................................................................... 23 2. 欢迎使用界面 .................................................................................................................... 23
2.1 欢迎标签: .............................................................................................................. 24 3. 在Splunk中添加数据 ...................................................................................................... 24
3.1 向Splunk中添加示例数据 .................................................................................... 24 4. 开始在Splunk中搜索数据 .............................................................................................. 31
4.1 摘要仪表板 .............................................................................................................. 32 4.2 仪表板涵盖的内容 .................................................................................................. 32 4.3 开始搜索 .................................................................................................................. 33 4.4 搜索结果显示 ........................................................................................................ 34 4.5 Splunk停止搜索 ................................................................................................... 35 4.6 搜索助手 .................................................................................................................. 35 4.7 搜索结果中的关键字高亮 ...................................................................................... 36 5. 使用时间轴 ........................................................................................................................ 36
5.1 搜索 .......................................................................................................................... 36 5.2 滑动鼠标,选中一个柱状体 .................................................................................. 36 5.3 双击一个柱状体 ...................................................................................................... 37 5.4 通配符* .................................................................................................................... 37 5.5 字段菜单 .................................................................................................................. 38 6. 字段选取 ............................................................................................................................ 38
6.1 在字段菜单中点击“字段选取”链接 .................................................................. 38 6.2 滚动浏览可见字段列表 .......................................................................................... 39
八. 字段值报表 ........................................................................................................................... 40
8.1 使用字段菜单 .................................................................................................................. 40 8.2 访问报表创建器 .............................................................................................................. 41 8.3 实例:失败交易计数 ...................................................................................................... 42 九. 仪表板 ................................................................................................................................... 47
9.1 创建仪表板 ...................................................................................................................... 47 9.2 定义仪表板面板搜索 ..................................................................................................... 48 十.性能指标的添加和搜索 ......................................................................................................... 49
10.1 添加数据,选择Windows性能指标 ........................................................................... 49 10.2 开始在本机上进行Windows性能指标收集 ............................................................... 49 10.3 开始搜索 ........................................................................................................................ 51 10.4 查看搜索结果 ................................................................................................................ 52 十一.IIS日志的添加和搜索 ....................................................................................................... 53
11.1 添加数据,选择添加IIS日志 ..................................................................................... 53 11.2 开始在本地Splunk搜索服务器上的IIS日志 ............................................................ 53 11.3 开始搜索iis日志文件 .................................................................................................. 56 11.4 查看搜索结果 ................................................................................................................ 57 总结 ................................................................................................................................................ 58
一.Splunk基础知识
Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备(物理、虚拟和云中)生成的快速移动型计算机数据 。从一个位置搜索并分析所有实时和历史数据。 使用 Splunking 处理计算机数据,可让您在几分钟内(而不是几个小时或几天)解决问题和调查安全事件。监视您的端对端基础结构,避免服务性能降低或中断。以较低成本满足合规性要求。关联并分析跨越多个系统的复杂事件。获取新层次的运营可见性以及 IT 和业务智能。
二. Splunk的功能特性
1. 多平台支持
Splunk是一个可以在所有主流操作系统上运行的软件包 - 只需选择您的平台,然后下载并安装即可。您需要处理和运行的是用户使用的 Web 界面,以及用于索引计算机数据的引擎。
目前Splunk支持的平台有Windows XP, Vista, 7, and 8 (32-bit/-bit)/Windows Server 2003, 2003 R2, 2008, and 2008 R2 (32-bit/-bit)、2.6+ kernel Linux distributions(32-bit/-bit)、Solaris(8,9,10,11)、OSX(10.5,10.6,10.7)、FreeBSD 7,8(32-bit/-bit)、AIX (5.3,6.1,7.1) 、HP-UX(11i v2,11i v3).
2. 从任意源索引任意数据
Splunk 可以从任何源实时索引任何类型的计算机数据。可以在 Splunk 中指向您的服务器或网络设备的系统日志、设置 WMI 轮询、监视实时日志文件,并能够监视您的文件系统或 Windows 注册表中的更改,或安排脚本获取系统指标。Splunk 可以索引您的所有机器数据,而无需购买、编写或维护任何特定的分析器或适配器。原始数据和丰富索引均存储在高效、已压缩的、基于文件系统的数据存储中,并提供可选数据签名和数据的完整性审核。
3. 从远程系统转发数据
在无法通过网络提供所需数据,或安装了 Splunk 的服务器上看不见所需数据的情况下,可以部署 Splunk Forwarder。Splunk forwarder 为成千上万的端点提供安全、分布式实时全局数据收集。它们可以监视本地应用程序日志文件、捕获有关时间表的状态命令输出、获取来自虚拟或非虚拟来源的性能指标,或监控配置、权限和属性变化的文件系统。它们都是属于可以快速部署的轻量级服务器,而且不会产生任何额外费用。
4. 关联复杂事件
借助 Splunk,您可以跨许多数据来源关联整个工作环境中的复杂事件。Splunk 支持五种关联类型。基于时间的关联,用于根据时间、接近性或距离来确定关系。基于交易的关联,用于跟踪构成单次交易的一系列相关事件,进而评估时间长度、状态或进行其它分析。子搜索,用于获取其中一个搜索的结果并在其它搜索中使用这些结果。查找,用于关联 Splunk 以外的外部数据来源。连接,用于支持类似 SQL 的内部和外部连接。关联 Splunk 中的事件有助于从机器数据中获得更丰富的分析和洞察力,为 IT 和业务提供更好的可见性和智能。
5. 专为大型数据构建
使用 Splunk ,每天可收集和索引成千上万太字节的数据。其可扩展性体系结构基于 MapReduce,因此,随着日常数据量和数据来源不断增长,您只需添加更多商品服务器即可扩展效能。自动负载平衡可以优化工作负载和响应时间,并提供内置故障转移机制。开箱即用的报告和分析功能可避免部署第三方报告工具的需要。还可以配置 Splunk 使用 SAN 或其它存储设备,以满足长期存储需求。
6. 在整个数据中心扩展
Splunk 分布式体系结构可让您在一个数据中心跨多个部署进行搜索,或在您的所有数据中心进行全局搜索。借助基于角色的访问,您可以控制指定用户的搜索将要跨越的范围。区域用户可以查看区域系统的数据,而企业范围内用户则可以查看所有数据中心的数据。Splunk 愿景是让每一位已授权员工都能够看到他们需要的计算机数据;并将数据用于调查、报告和仪表板或分析,以便不断提高 IT 运营并获得有价值的业务洞察力。花几分钟时间安全连接您的 Splunk 安装,能让您设计一个可管理的企业数据结构。
7. 提供角色行的安全性
从各个方面来说,Splunk 均可谓是一种强大的安全模型。各项 Splunk 交易均会得到验证,其中包括通过 Web 用户界面和命令行接口执行的用户活动,以及通过 Splunk API 执行的系统活动。使用一整套按用户类型来功能的记录控制点,您可以自己为 Splunk 用户定义角色。这些精细的访问控制可以搜索、警报、报告、仪表板以及不同 Splunk 角色可以查看的视图。Splunk 还可以集成兼容 LDAP 的外部目录服务器和 Active Directory 服务器,以执行企业范围内的安全策略。此外,还提供单一登录集成,以启动对用户凭据的传递身份验证。由于进行故障排除、调查安全事件和证明合规所需的全部数据都保存在 Splunk 中,您可以严格访问生产服务器。
三.Splunk导览
Splunk 实时收集并索引所有机器数据(物理、虚拟和云中)。它允许您访问、使用数据,并发掘数据价值。它能够对各项事宜进行索引,以便深入了解、商讨和解决问题。它可以在您与您的小组共享有用的搜索时,进行智能辅助,并添加您的 IT 环境所特有的知识。它能创建临时报告,以确认趋势或证明合规控制;构建实时仪表板,以便监视安全事件和攻击、应用程序 SLA 和其他关键性能指标;实时分析用户交易、客户行为、机器行为、安全威胁、欺诈活动等。
1. 索引任何数据
2. 搜索与调查
3. 与搜索结果互动
4. 新增知识
5. 关联复杂事件
6. 监视和警报
7. 报告与分析
8. 自定义仪表板与视图
9. 构建于部署Splunk应用程序
四. Splunk各版本之间的功能比较
Splunk Free 专供个人使用。Splunk Enterprise 添加了支持多用户和分布式部署的功能,并包括警报、基于角色的安全、单一登录、预设的 PDF 交付以及对无限数据量的支持。 功能 索引量 全局索引 索引整个 IT 领域的任何数据 - 任何来源、格式或位置 搜索 搜索实时流式处理数据和历史数据 报告 制定有关实时流式处理 IT 数据或历史 IT 数据的专项报告 知识图 新增有关事件、字段、交易、模式和统计资料的知识至您的 IT 数据 仪表板 创建集成多个图表、报告和表格的实时仪表板 监视和警报 预设针对不断监视和警报简单或复杂事件的搜索 PDF 报表交付 预设任何 Splunk 仪表板、视图、搜索或报告的 PDF 报表交付 分布式搜索 搜索整个分布式 Splunk 部署,支持负载平衡和故障转移 数据接收 接收来自其它 Splunk 实例的数据 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 每天的索引量 500MB/天 无限(基于许可证) 支持 说明 Splunk Free Splunk Enterprise
数据转发 将可靠数据实时转发至其它 Splunk 实例 支持 支持 访问控制 提供用户验证和基于角色的访问控制 支持 支持 单一登录 集成到企业单一登录解决方案 支持 社区应用程序 运行社区网站 Splunkbase 提供的应用程序和插件 支持 高级应用程序 支持由 Splunk 和合作伙伴分配的高级应用程序 支持 开发人员 API 记录的 API 可将 Splunk 集成到任何业务或开发工作流程 支持 支持 标准支持 访问完整的产品文档、论坛和 IRC,以便对基本技术问题作出回答 支持 支持 企业级支持服务 通过电话直接访问我们能够在线管理案例(也提供定制的支持水平)的客户支持团队 支持
五.Splunk的独特优势
1、无风险快速回报
作为一种免费下载或低成本的企业许可证,Splunk 部署简单并可以从单一服务器部署扩展至全局大规模运营,以及提供快速的投资回报。在您的笔记本电脑或任何商品服务器上免费下载和安装 Splunk 只需五分钟,然后可以输入任何机器数据并启动 Splunking。Splunk 通常在紧急时刻首次部署。正在发生的重大服务中断或安全事件会使人伤透脑筋,但您可以使用 Splunk 便能在几分钟内完成调查,而不是几个小时或几天。
2、受到用户喜爱
大多数用户很快就会成为 Splunk 的忠实用户,因为我们的开发人员专注于开发他们自己想要使用的软件。所有相关人员 - 系统管理员、安全分析师、网络工程师、开发人员、服务台和支持人员 - 均可以即刻部署 Splunk 并能够更好、更快和更轻松地完成他们很难完成的部分工作。Splunk Web 界面非常直观且快速,并支持快速、临时深入分析搜索结果。
3、处理您所有的机器数据
与其它需要您花费几天或几周时间来开发或配置特定分析器和自定义连接器的系统管理、SIEM 和日志管理产品不同,Splunk 可以连接至任何数据来源。即时未提供连接器,您也无需依赖某个厂商来生产特定连接器。Splunk 能够实时持续索引您的所有机器数据 - 日志、配置数据、变化事件、诊断命令输出、API 和消息队列中的数据,甚至自定义应用程序中的日志。现在,您可以轻松处理对解决问题、调查安全事件、报告合法性和其它有价值的任务至关重要的企业数据。如果机器可以生成数据,则 Splunk 就可以对其进行索引、搜索,并用其生成警报和报告。
4、适应动态环境
在当今动态和可视化的数据中心,唯一不变的常量就是变化。传统的 IT 管理和安全技术假设您知道前方的所有可能失败和风险,且您的数据格式将不会发生变化,但这种做法已经不再有效。Splunk 能够实时持续索引您的所有计算机数据,不会依赖脆性架构来灵活性,当数据格式发生变化时也不会中断。您需要对数据进行的任何解释,例如提取共同的字段或标记主机的子集,都可以在搜索时轻松完成,无需格式转换。这就是您从全球 Splunk 用户了解到的重要事情之一,即 Splunk 拥有卓越的灵活性的原因。
5、适用于所有类型的用户
Splunk 可以轻松创建自定义仪表板和报告,使您能够清楚地处理大量数据。将预定义的搜索、图表和报告合并成一个强大的仪表板,或使用其它基于网络的应用程序创建聚合应用程序,例如 Tivoli、SAP、Oracle 和安全控制台等。Splunk 有助于网络工程师、系统管理员、安全和合法性分析师、开发人员、支持人员、服务台工作人员,甚至业务用户及时了解在 IT 基础结构中发生的任何事件。
6、满足整个 IT 行业的策略需求
Splunk 发明了一种用来管理机器数据和释放其巨大价值的新方法。将 Splunk 用作引擎来搜索和分析计算机数据,不但能改变用户完成其工作的方式,而且还能提升 IT 在组织中的作用。这样能使用户大大提高生产率,使企业增加更多正常运行时间并减少收入中断,从而使客户更加满意。许多客户开始使用 Splunk 来解决具体问题领域,使他们的初始使用案例快速成为内部成功案例,然后将 Splunk 部署到其它 IT 关键领域(如应用程序管理、安全与合规性、基础结构与运营管理),并获取新的商业智能。
7、从笔记本电脑扩展至数据中心
您必须以更低的成本、更快的速度,完成更多工作。Splunk 能让您在一台商业服务器上,在几秒内便可搜索数十亿个事件。它的并行架构意味着,其搜索和索引效能将跨整个 CPU 核心和商品服务器线性攀升。Splunk 使用它自己的高效数据存储,这样不会受到传统数据库的吞吐量或僵化架构的,从而使它成为搜索企业数据,进行警报和报告的最快和最灵活的方法。
六. Splunk安装过程
1. 客户端下载地址:
http://www.splunk.com/download/universalforwarder
2. 双击,开始安装:
3. 打开客户端,端口号配置:
4. Splunk配置过程
Cmd输入:cd {splunk安装目录}/bin/
splunk.exe add forward-server <192.168.6.174:9997> 用户名 admin 密码 changeme
5. 重启Splunk服务
6. 客户端计算机名称
七. Splunk的使用
1. 登录Splunk
Splunk的界面在Web服务器上运行,启动后,Splunk将显示Splunk网页界面的地址。打开浏览器,转到该地址。
Splunk网站默认在安装有Splunk主机上的端口8000上运行。如果您正在本地电脑上运行Splunk,则访问Splunk网站的URL为http://localhost:8000。
如果您使用的是企业版的许可证,则第一次启动Splunk将把您带入此登录界面。使用默认的许可证证明以下信息:
注:如果您使用的是免费的许可证,您可以直接使用Splunk不需要证明。在此情况下,当启动Splunk时,不会见到此登录界面。您将直接进入运行应用程序界面,或您的账户默认的应用程序界面。
2. 欢迎使用界面
当您第一次登录Splunk,您将看到此运行应用程序界面。此应用界面将帮助您开始使用Splunk。在您开始使用Splunk之前,您需要先输入一些数据。
2.1 欢迎标签:
· 添加数据:通过此链接,您将进入数据输入定义界面
· 搜索:通过此链接,您将进入Splunk的搜索界面,可以在此界面上搜索数据。 · 右上角的定位菜单:使用右上角的定位菜单,可访问您Splunk服务器上的任何应用程序及配置界面。Splunk的每一页面都有改菜单,但没页面上的菜单的内容不尽相同。
3. 在Splunk中添加数据 3.1 向Splunk中添加示例数据
登录Splunk之后,您将进入运行应用程序界面。如果您登录后未看到此视图,请从应用程序菜单中选择运行应用程序。
3.1.1 在运行应用程序界面点击添加数据。
将打开管理员—>数据输入页面
· 在MacOSX平台上,此试图将显示4种类型。
· 在Windows平台上,此视图将显示更多的输入类型。
3.1.2 在活动栏下的文件盒目录输入出点击添加新数据
点击后,将显示主页>>添加数据>>文件或文件目录视图。您可以再次界面上传实例数据文件。一般来说,您只需要上传输实例数据文件,Splunk将执行剩下的操作,不需要做任何改动。
3.1.3 点击“下一步”,选择浏览服务器并浏览刚上传的示例数据文件
进入选择后,将以文件或目录的路径名来选择本地的文件。
3.1.4 选择是否需要预览文件数据
· 若选择“在索引之前预览数据”,则会出现以下界面,来设置来源类型:
选择来源类型中,如果您选择“开始新来源类型”,则页面跳到数据浏览页面,在数据浏览前,需要先行加载数据至成功
之后,选择检查设置,需要输入“新来源类型的名字”以及创建props.conf文件:
创建新类型成功后,对新类型进行设置:
点击保存后,就可以看到页面提示:成功!正在Splunk中简历您数据的索引
·若选择“跳过预览”,则会出现以下界面:
直接进入新增数据源界面,而跳过预览过程。保存后,则会看到页面提示:成功!正在Splunk中简历您数据的索引
4. 开始在Splunk中搜索数据
使用右上角的应用程序菜单选择搜索应用程序选项:
4.1 摘要仪表板
搜索应用程序的摘要仪表盘显示您刚上传至此Splunk服务器上的数据信息,并为您提供数据搜索方式:
此仪表盘上心事的度量是由您访问和再装入此页面时幕后已经保存的搜索生成。
4.2 仪表板涵盖的内容
此搜索应用包括不同的仪表板和视图。目前只需要了解一下两种: ·摘要:您目前所在位置 ·搜索:您进行搜索的位置
使用搜索定位菜单定位并访问此应用程序的不同视图。当您点击链接时,Splunk将把您带入所连接仪表板。如果您正在访问该仪表板,刷新此页。 · 搜索与报告:列出所有您已经保存的搜索和报告。
· 搜索栏及时间范围选择:您可以输入您要搜索的内容,并选择时间范围来检索事件。 · 全球摘要界面:此界面显示您的事件数据索引的度量,包括您Splunk索引中的事件总数,以及最早和最新的索引事件的时间信息。此界面还将显示最近更新的事件(或您最近重新载入此仪表板的时间)。 · 所有索引数据界面:此界面显示您plunk服务器上的主要数据源、数据源类型及主机。 如果您使用的是新安装的Splunk服务器,就只能看到您刚上传的示例数据文件。由于该文件是一次性上传文件,因此数据并不会变化。当添加更多的数据时,此仪表板上将显示更多的信息。如果您所添加数据的来源为非静止(如某程序编写的日志文件),则摘要页面上显示的数目将根据数据源而更改。如果您使用的Splunk服务器是企业用共享或预安装的服务器,则此仪表板上将可能显示更多的信息
4.3 开始搜索
在摘要仪表板仔细查看所有索引数据界面
您可以在Apache Web服务器日志和mySQL数据库日志查看您刚上传的log文件。如果您熟悉Apache Web服务器日志,您可以自己识别。
在Splunk中所有的互动性非常好。尽管柴窑仪表板只有一个搜索栏,但您还不需要输入任何内容。所有索引数据界面所列的每一数据源、数据类型及主机都有链接。您仅需要打开这些链接即可开始搜索了。
在搜索空白栏中输入需要搜索的文件,Splunk提供联想功能,输入关键字的前几个字母,会自动匹配到所有相关的术语及数量。
也可以对文件的时间进行筛选。点击“所有时间”,选择时间段
4.4 搜索结果显示
搜索结果分三个部分:
1. 匹配事件时间轴:时间轴是每一时间点出现的时间数目的直观表示。当时间轴随着搜索结 果不断更新时,您可能会注意到有条状图案。每一条状图案的高度表示时间记录。时间轴的峰值和谷值可表示活动高峰期或服务器停机。因此,此时间轴可有效用于强调时间模式或调查各事件活动的高峰期可低谷期。时间轴选项位于时间轴上方。您可以放大、缩小或更改图表的大小。
2. 字段菜单:前面我们提过在您将数据编入索引时,Splunk可自动按名称和值的格式识别并生成数据信息,我们把这称作是字段。当您进行搜索时,Splunk将把其从字段菜单上识别的所有字段列在搜索结果旁边。您可以选择其他字段来显示您搜索的事件。 ♦ 所选字段都已被设置为搜索结果可见格式。将默认显示主机、源及源类型。 ♦其它字段是Splunk从您的搜索结果中抽取的。
3. 事件详情:事件查看器将显示Splunk搜索到的与您的搜索相匹配的事件。事件查看器位于时间轴下方。事件默认显示为列表,您也可以用表格查看。当您选择按表格形式查看事件时,表格只显示已选字段。
4.5 Splunk停止搜索
如果您运行搜索的Splunk上载有的数据更多,搜索时间就可能会更长。如果搜索时间超过30秒,Splunk将自动停止搜索。如果弹出搜索停止提示信息,点击继续搜索。
4.6 搜索助手
当您在搜索栏中输入的同时,会弹出Splunk“搜索助手”。
搜索助手可显示您的“typehead”或“上下文匹配结果”以及您在搜索栏中输入关键词的搜索结果。这些匹配结果是根据您输入的数据生成的。匹配条目之下的上下文匹配结果将根据您所输入的内容更新,因为更改输入内容可能会出现其他搜索结果。
搜索助手也可显示就所搜索的内容得到的匹配条目的数目,使您对Splunk将返回的搜索结果数量有个大致了解。若在您的数据中未能发现任何条目或短语,则搜索助手将不会列出任何有关结果。
搜索助手可识别您所键入的为IP地址,因此建议您使用与您的搜索相匹配的Splunk自动CIDR(无类别域际路由选择)子网,以便您确定IP地址的子网。您仅仅只是在搜索一个唯一的IP地址,无需有其他顾虑。
搜索助手可识别您所键入的为IP地址,因此建议您使用与您的搜索相匹配的Splunk自动CIDR(无类别域际路由选择)子网,以便您确定IP地址的子网。您仅仅只是在搜索一个唯一的IP地址,无需有其他顾虑。
4.7 搜索结果中的关键字高亮
每次搜索时,Splunk均将在结果中对您在搜索栏中输入的内容标上荧光色
5. 使用时间轴 5.1 搜索
时间轴上的各柱状体代表搜索的匹配事件发生的时间。
5.2 滑动鼠标,选中一个柱状体
将弹出工具提示,并显示时间数目和该柱距的原始时间戳,1个柱状体=1小时。
5.3 双击一个柱状体
这样您的搜索将仅被于您所选定的1小时内所发生的事件。
注意,该步骤将覆盖时间范围控件,现在将显示“自定义时间”。(您将在下文中了解到更多关于时间范围的内容)另外,现在每个柱状体代表1分钟(1柱=1分钟)。 在该时间范围内还有许多事件,让我们作进一步分析。
5.4 通配符*
Splunk支持使用星号(*)通配符来搜索“所有”或根据关键词的部分进行模糊检索事件。该搜索可告诉Splunk您希望看到在这段时间内发生的所有事件:
此次搜索可将所有日志(而不仅仅只是网络服务器日志)上的事件返回到您的服务器上。浏览搜索结果,您会看到其他用户的网络活动——部分可能是来自不同的主机。现在,您可以将此发现报告给IT操作小组。
5.5 字段菜单
当Splunk 检索到这些事件时,字段菜单(左边蓝色领域)与已选字段和其他有趣的字段一同更新。在您运行搜索后,Splunk从您的数据中选取的所有字段会出现在这个列表中。注意所有默认字段、数据源和数据源类型都为已选择字段并包含在您的搜索结果中。
6. 字段选取
6.1 在字段菜单中点击“字段选取”链接
字段空间将打开,显示所有Splunk选取的字段。
· 出现的字段是Splunk从您当前搜索的实践中找到的(其中一些字段列在“其他有趣字段”栏中)
· 选择字段则是您所选择的的字段(从出现的字段中选择)、显示在您的搜索结果中(通过选择默认、主机、数据源、数据源类型)
6.2 滚动浏览可见字段列表
在您进行搜索后,您已熟悉 Splunk从Web访问日志中选取的字段。您也会看到 Splunk定义的其他字段,这些字段中有一些是每个事件的时间戳(每个事件以日期为开头编号)、标点和位置(索引)。
八. 字段值报表
Splunk提供强大的报表能力,能够将搜寻结果以各项清晰的图表呈现,更可弹性化地产制出组织和机构管理阶层所想要的报告内容。
搜集搜索结果之后,Splunk可显著更新已生成的图表。开始搜索之后,您可在搜索完成之前创建报表。您可利用字段菜单快速创建简单的、预定义报表或利用报表创建器定义、生成和微调报表的格式,包括您打算新建的图表类型和打算在图表上显示的内容。
8.1 使用字段菜单
运行搜索之后,点击字段菜单中任一字段停止字段交互式菜单。例如,搜索sourcetype=access_*与打开状态交互式菜单。
本菜单显示字段信息,包括数值字段或非数值字段,甚至显示字段最大值的列表式报表。 根据选中的字段信息,您将会发现预定义报表链接,包括平均超时、最大值超时和最小值超时或按时间换分的最大值与所有的最大值。
点击这些链接中的一个之后,Splunk打开报表创建器的格式报表页。接着,您可微调预定义图表。
8.2 访问报表创建器
启动报表创建器,运行搜索。点击时间轴上方工作状态栏中的创建报表进行链接。Splunk在弹出窗口中显示报表创建器,在完善报表参数时,您可轻易地回到搜索页面并检查搜索结果。
报表创建器工作可分为两个阶段:定义报表内容和格式报表。定义报表内容页面显示预
加载搜索的搜索栏以及时间范围控件清单。您可在其中更改报表时间范围。
定义报表内容页面的基于表单模式有助于通过列表字段建立报表参数。在这种模式下,无法在搜索栏中手动更新语言。但是,利用表单建立报表参数时,您将看到搜索栏随着相应的报表指令不同自动更新。
注:在使用表单界面的任何一点时,可切换至搜索语言模式以完善报表指令。 一旦确定了报告内容,返回格式报表页面。Splunk可在此生成图表和相应的表格(后面可观察到)。可在这个页面微调图标格式(格式化选项),检查相关结构表,保存、打印和输出结果。
8.3 实例:失败交易计数
(1) 搜索sourcetype = msi
(2) 点击创建报表:
打开“定义报表内容”窗口
(3) 点击下一步:格式报表
打开格式报表窗口。
(4) 格式化选项下:
·更改图表类型为直线型;
·在图表标题下,为“失败交易计数”图表命名。
·由于我们仅有一个数据,因此更改图列位置为无
(5) 点击应用
将上述更改内容应用到图表
(6) 点击保存
打开保存报表对话窗口。
九. 仪表板
9.1 创建仪表板
利用Splunk可视化仪表板编辑器可快速创建简单的仪表板,无需涉及XML。仅需启动保存搜索和报表。Splunk可通过保存的搜索和报表并采用有效的度量和图表填写仪表板面板。
启动:
1. 打开操作下拉式清单和点击创建新仪表板。
2. 命名新仪表板。选定一个特定的ID。富裕它一个顶层导航菜单可识别的名称。
3. 新建,以创建一个仪表板。
4. 新仪表板为空。点击编辑仪表板,打开可视化仪表板编辑器,以定义面板。
在可视化仪表板编辑器中,首先选中面板类型。您可通过可视化仪表板编辑器新建四类仪表板面板,包括数据表、图表、事件列表和单值面板(此外还有两种面板,即列表面板和超文本置标语言(HTML)。仅可通过直接运作简易可扩展置标语言(XML)以为仪表板新建这两个面板)。
• 数据表面板类型以列表形式显示报表结果。 • 图表面板类型以图表形式显示报表结果。 • 单值面板类型以结果形式显示单数值。
• 事件列表面板类型显示搜索所返回的一系列事件。
选中面板类型后,输入名字,并选中保存搜索或与之相关的报表。点击添加面板,在面板板式部分添加新面板。
9.2 定义仪表板面板搜索
所搜仪表板面板均与搜索相关。可确定面板是否偏离了预定义保存搜索,或面板是否采用了特殊设计且与内联形式与面板关联的搜索。
在搜索指令部分,选中保存搜索或内联搜索字符串。
•假设选中保存搜索,可从所有保存搜索列表中选中面板保存搜索。保存搜索与原应用相关(编辑仪表板时的母应用)。每次开启或更新时,仪表板都会运行面板搜索。 •若选中内联搜索字符串,可定义面板特定的搜索字符串。通过在最初时间和最迟时间字段中设置相对时间修改器规定内联搜索时间范围。
注:切记:使用可视化仪表板编辑器无法建立图表面板格式化参数。若设计带内联搜索的图表面板且需要调整图标格式,需对仪表板后的简易可扩展置标语言(XML)进行编辑。 更改仪表板权限
选中编辑许可扩大或仪表板基于角色的读取和写入许可。设置仪表板许可时,可定义应用有效性。仪表板可能:
• 为仅供用户使用的私人视图。
• 仅适用于一个应用(设计的应用)以及获得许可的用户。
• 基本上适用于系统中的所有Splunk应用(因此,适用于所有Splunk用户)。
十.性能指标的添加和搜索
10.1 添加数据,选择Windows性能指标
10.2 开始在本机上进行Windows性能指标收集
选择收集此Splunk服务器的Windows性能指标,点击下一步,开始选择收集设定
开始设置:
可用对象最好是选择存在可用实例的对象,这样便于快速搜索。
同时,在计数器的设置过程中,最好将轮询时间设置地越短越好,这样,便于Splunk快速搜索。同时,在设置目标索引的同时,需要设置器索引方式,这里我设置的是“main”方式,即主目录索引,当然,也可以设置“history”、“summary”和“default”三种索引方式。
10.3 开始搜索
保存后,开始搜索,点击“开始搜索”按钮,进入搜索界面
键入想要搜索的内容,会联想出相应的匹配术语和匹配数量。
10.4 查看搜索结果
结果可以按照上时间进行划分查看;如上图的矩阵时间轴,可以点击时间轴上的矩阵,进入详细分析界面,在这里可以看到点击选中的某段时间内,Windows下的所有性能指数的相应日志,通过这些日志可以判断Windows系统在这段时间内的性能情况:
当然,也可以选择搜索结果左侧的字段报表,查看事件下的相应搜索结果已经所占时间容量的比例:
十一.IIS日志的添加和搜索
11.1 添加数据,选择添加IIS日志
11.2 开始在本地Splunk搜索服务器上的IIS日志
点击“下一步”,开始添加IIS日志
添加数据输入:
在这里选择“在索引之前浏览数据”,使Splunk指向代表你需要索引的单个文件,在这里我们可以索引本机系统中的IIS文件。Win7的操作系统中,IIS日志文件的存放地址是C:\\Windows\\System32\\config 这里面存放的多有.log文件都是IIS日志文件文件。这里需要导入单个文件,在单个文件中搜索我们需要的内容。
首先载入文件的路径。这里的路径是指单个log文件所在地址,而非该日志文件所在的文件夹。
在设置来源类型中,由于iis文件来源在Splunk中已经存在,无需添加,因此,在这里选择应用现有来源类型即可,现在iis类型,点击继续。
新增事件的设置中,建议保持它的默认设置,不做过多改动。
保存后,就可以开始索引所需要的iis日志文件了:
11.3 开始搜索iis日志文件
键入想要搜索的内容,会联想出相应的匹配术语和匹配数量。
11.4 查看搜索结果
结果可以按照上时间进行划分查看;如上图的矩阵时间轴,可以点击时间轴上的矩阵,进入详细分析界面,在这里可以看到点击选中的某段时间内,Windows下的所有IIS日志文件:
当然,也可以选择搜索结果左侧的字段报表,查看事件下的相应搜索结果已经所占时间容量的比例:
总结
Splunk可以通过功能强大的事实搜索功能在所有虚拟堆叠中关联相关事件,提供了需要快速排除问题故障中所需的可视性,实现了更高的可用性。灵活的告警和报告功能,可以在变更虚拟的环境时提供持续的可视性。但你在测试一个新的虚拟部署,或管理一个现有的基础奢侈,Splunk都会出你一臂之力!
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- huatuo9.cn 版权所有 赣ICP备2023008801号-1
违法及侵权请联系:TEL:199 18 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务