Splunk 的使用者介面擁有許多吸引人的特色, 請跟著下列的主題來了解如何操作及管理您的 Splunk.
Splunk 是由各種不同的應用(App)所組成. Splunk 的各式應用都是透過視頁(view), 組合視頁(dashboard)和設定檔等構件, 讓您可以從不同的面向來分析及呈現系統資訊. 現在, 您正在使用的就是一個應用 -- Splunk 的 "Getting Started" 應用. Splunk 提供了多種應用供您選用, 比方說, Splunk 特別為您目前所使用的電腦作業系統設計了一個專屬應用. 您在佈建 Splunk 時可以將自製應用或 Splunk 內建的應用一併包括在內. Splunk 的預設包裝裏, 內建有 "Search" 應用, 在入門導覽裏所提供的所有範例, 就是以 "Search" 應用為範本. 為便於您的操作及閱讀, "Search" 應用將透過跳出視窗來呈現.(若您使用的瀏覽器是 Firefox, 則會呈現於新的頁籤).
應用切換
請使用本頁右上角的應用(App)下拉選單來切換到其他應用:
若您想知道目前 Splunk 已安裝了那些應用, 您可以點選本頁右上角的應用選單裏的 "Launcher" 選項前往 "Launcher" 應用. 這樣的操作動作, 會將您帶離入門導覽, 但您還是可以透過 "Launcher" 或應用選單點選 "Getting Started" 返回.
曾經使用過 Splunk 嗎? 想找到您熟悉的功能?
若您曾使用過 Splunk, 您或許就想看看搜尋應用. 您可以點選本頁右上角的應用選單裏的 "Launcher" 選項前往 "Launcher" 應用, 然後從已安裝應用清單裏點選 "Search" 應用.
大部份的 Splunk 管理工作已可透過 Splunk 的網頁來完成. 但, 其中有些設定是只有管理者權限的使用者才可以異動的. 若您無法存取本處所討論到的一些設定, 那表示您可能沒有權限進行那些操作.
使用 Splunk 的管理畫面
您可以使用管理畫面來管理 Splunk 的裝設資料及應用. 絕大部份的設定都可經由 Splunk 管理畫面來異動. 請點選本頁右上角的管理(Manager)連結, 即可前往 Splunk 管理畫面:
使用 Splunk 的工作畫面
您可以使用工作畫面來管理搜尋指示. 在 Splunk, 一個搜尋的執行皆被視為一個工作. 請點選本頁右上角的工作(Jobs)連結來檢視及監控在此系統執行的所有搜尋指示:
安裝更多應用
若您想瀏覽或下載更多的應用, 您可以前往 "Launcher" 應用, 然後點選[更多應用資訊]頁籤.
您也可以自行設計應用, 相關資訊請參閱 ${_("Developer Manual")}.
只要機器能產生的資料, Splunk 就有辦法能檢索這些資料. 沒錯, 就是這樣 -- 任何的資料, 無論是來自那裏或是什麼樣的格式, Splunk 就是可以為這些資料編建索引, 不需要透過任何額外客製的解譯程式, 通訊連結程式, 或是資料橋接程式. 您可以傳餵任何資料給 Splunk, 包括 Unix 的系統記錄檔, 網路設備記錄檔, 微軟視窗系統的事件記錄檔, 客製應用系統的記錄檔, 甚至是設定檔以及系統量測記錄資料等, 也就是說, 整個維運最後將一目了然於您眼下.
什麼是系統資訊資料? 請點這取得相關資訊.
Splunk 提供了多種方法讓您可以將資料匯入.
您可以透過 Splunk 的管理畫面, 上載本地端機器的檔案.
設定 Splunk 讀取那些正被其他程式或設備寫入資料的檔案. 這讓您可以即時監測應用系統的記錄檔, 包括 J2EE, 或 .Net 應用系統, 網站存取記錄等等. Splunk 會持續在資料進入這些檔案或目錄時進行索引編建, 而這些檔案或目錄當然要能為目前您所使用的 Splunk 主機能夠存取得到.
使用這個方式接收透過 TCP 或 UDP 通訊埠傳送的原始資料. 比方說, 設定 Splunk 接收 514 通訊埠來截收系統記錄(syslog)資料.
Splunk 標準安裝裏, 已為電腦作業系統事先內建了專屬應用, 如微軟視窗或 *nix (Unix, Linux). 這些作業系統專屬應用讓您可以監控系統效能, 事件記錄檔, 以及檔案系統和登錄異動. 您可以透過應用的啟用來設定這些應用的匯入資料. 您也可以從 SplunkBase 下載其他適用的應用, 好比說 Blue Coat.
切換並啟用 "Windows" 或 "*NIX" 應用:
除了上述的方法外, 尚有其他方法讓您可以將資料匯入 Splunk. 幾個較普遍使用的方法如下:
指令碼匯入(Scripted input)
建立一個${_("指令碼匯入")}來處理特殊專有資料. 指令碼匯入對於匯集指令列指令所產出的資訊是很有用的, 比方說, 收集 vmstat, iostat, netstat, top 等指令所產出的資訊. 透過指令碼匯入您可以藉由 APIs 或其他遠端資料介面或訊息佇列來匯收資料, 也可以從現行系統產生的系統量測記錄及狀態資料, 以及系統狀態指令, 如 vmstat, iostat 等等來取得資料. 在 SplunkBase 上很多的應用就是以指令碼匯入來收集特定應用系統的資料. 透過 Splunk 管理畫面, 您即可進行指令碼匯入的設定.
檔案系統異動偵測
想知道您的檔案系統有什麼異動嗎? 您可以啟用${_("檔案系統異動偵測")}, 一旦有異動發生時, Splunk 會主即通知您. 這個方法可以監測系統關鍵檔案, 及設定檔等的異動, 符合監理規範的要求, 同時也能滿足系統安全及維運上的考量, 用以偵測是否有影響系統層面或未經授權的異動發生.
分散式架構的資料收集
您了解如何從一個分散式系統架構將資料匯收於 Splunk 嗎? 直接讓一羣應用或網站伺服器登入系統? 我們可以將 Splunk 裝設成一台簡易型的資訊傳收器, 即時地接收數十台或數百台甚至數千台伺服器的資料, 然後送到一個集中的 Splunk 索引主機. 透過 ${_("Splunk 資訊傳收器")} 將其他系統的資料送到 Splunk. 我們可以透過 Splunk 管理畫面的資料傳收設定來建構這個架構.
當您將資料匯入了 Splunk, 您即可使用 "Search" 應用來探究系統安全事件, 軟體檢修記錄, 伺服器及網路問題, 或主動地對系統和使用者作業進行檢視.
搜尋任何您認為會於資料中出現的字串.
您可以像使用時間軸那般地互動方式來操作及瀏覽搜尋結果. 在這個單元, 您將體驗如何只要左點滑鼠一下就能新增, 移除搜尋條件, 或設定除外條件.
隨想隨搜功能雖簡便又強大, 但通常所獲得的結果可能不是您想要的. 舉例來說, 您想要將 HTTP 200 的事件資料排除, 若您輸入除外條件 "NOT 200", 您可能同時也將您想要的資料排除掉了. 比如說, 一個來自 IP 位址內有 "200" 的 "HTTP 503" 的事件資料就會因符合除外條件而被剔除.
當 Splunk 在為原始資料裏的字詞編建索引時, Splunk 會依欄位名稱及欄值組, 標頭, 或其他意義明顯的資訊來新增欄位. 比方說, Splunk 會自動地增加資料來源主機, 來源和來源類別等欄位. Splunk 也能辨識資料裏的其他資訊, 如 IP 位址, HTTP 狀態碼等等. 使用者亦可自訂欄位, 您可以在"知識物件"單元找到這方面的資訊.
在搜尋結果區所顯示的欄位皆列在 "已選欄位(Selected fields)" 標頭下. 您可以自行增加欲顯示的欄位. 其他 Splunk 自動解析出但未顯示於搜尋結果的欄位則列示在 "其他相關欄位" 的標頭下.
時間軸是以視覺圖示來表示每一個時間點所發生的事件數. 藉此, 您可以使用時間軸(Timeline)來突顯事件的發生模式, 或探究事件活動的高低峰值.
搜尋助手是一個產品內建快速參考資料, 供使用者於建構搜尋語法時用. 它提供了搜尋指令詳細說明, 包括使用範例, 以及建議其他可使用的指令.
Splunk 在處理一個從未搜尋過的資料時, 能夠自動地從資料中擷取出有意義的資訊, 讓您可以直接地新增系統知識. 您可在您的資料內新增有關事件, 欄位, 交易, 模式, 及統計等知識, 同時, 也可給予這些資訊識別碼, 名稱或標記.
Splunk 在執行搜尋時, 才會參照這些知識資訊. 所以, 不管何時只要您需要的時候都可新增欄位或事件類型, 而且不需因新增了這些知識資訊而要重新編建索引. 來, 一起來看看如何搜尋某個特定使用者的所有相關資料, 以及即時地取得某一特定作業的統計資料.
搜尋, 主要的目的在於過濾掉不想要的資料, 相對地, 被搜尋出來的資料通常都具有某些共同特性. 您可以給予這些搜尋出來的資料一個共同名稱, 或將其訂成一種"事件類型". 您所訂定的"事件類型"會加存於 eventtype 這個欄位, 這表示日後您可以直接用 eventtype 這個欄位將這些資料再度搜尋出來. 以下的步驟將示範如何為已搜尋出來的結果訂定"事件類型", 然後利用它再將資料搜尋出來.
假設您會經常性地搜尋及檢視 SSH 和防火牆的訊息記錄, 看看是不是有諸如 sshd 登入或防火牆拒絕等狀況發生, 您可以將這些搜檢出來的訊息儲存成一個事件類型. 這些訊息的描述或許不是太容易讓人了解, 您可以在儲存事件類型時, 透過名稱命名, 將訊息欲表達的資訊描述的更清楚.
Splunk 在編建資料索引時, 會自動地分析摘錄出知識資訊. 您可以自行新增知識, 任何時候只要有需要時都可以, 而且, 知識新增後並不需重新編建資料索引. 這個單元將示範如何使用互動式欄位定義功能來擷取及儲存新欄位, 建立新知識.
標記功能讓您可以針對搜尋結果中某欄位有相同欄值的事件資料進行分組歸類. 您可以為欄位(如, eventtype, host, source, 或 sourcetype)的某一欄值給予註記, 比方說, 為不同的主機(host 欄位所存的各主機名稱)註記其所提供的服務名稱, 或是標註該主機所遵行的法規規範, 如PCI.
概括而言, 您可以將標記用來:
使用標記搜尋的方式有二, 搜尋所有事件, 或只搜尋某一欄位找到欲搜尋的標記.
Splunk 還有很多的知識物件值得您探索利用, 讓 Splunk 能有效並擴大資料的運用, 滿足您企業經營上的要求. 您可以參閱 ${_("知識管理手冊(Knowledge Manager manual)")}, 對您未來不時需要進行的系統優化, 維護, 或 Splunk 的擴充等工作將有很大的幫助.
知識管理手冊將告訴您:
當您使用 Splunk 找出並確定了系統問題之後, 您可以使用 Splunk 的監測及通知功能, 讓這些問題再度發生時, 能即使地通知到您. 請排程執行搜尋, 並設定這些已排程的搜尋, 在搜尋結果符合您所設定的條件時, 能發出通知給您. 注意: 此功能未包含於 Splunk 的免費版本. 若您現在使用的是 Splunk 企業試用版, 在試用期滿後您將無權使用此功能.
一旦您完成了搜尋的排程, 即可設定通知.
Splunk 內建的視覺化工具提供了豐富的報表選項協助您建立報表. 請直接從您的搜尋結果產生一個簡單的 "最常現值時序圖" 報表. 您也可以使用報表編輯器來定義及編排出精緻的圖表, 或者使用 Splunk 強大的統計轉換指令來定義報表. 最後, 您可以很快的新建一個組合視頁來與其他使用者分享這些設計很棒的報表.
在您完成一個搜尋後, 您可以很快地依搜尋結果各欄值產生基本報表
啟動報表編輯器來產生及編排您的報表.
當您使用報表編輯器裏的下拉選單來定義報表時, 您會發現 Splunk 把產生報表所需的報表統計指令更新在報表編輯器的搜尋指令欄. 這個單元將解釋如何直接於搜尋列使用報表統計指令.
注意: 下方所舉的搜尋範例, 使用的是 Splunk 的內部索引檔, 只有具有管理者權限的使用者才可以存取.
當您在產出一個報表時, Splunk 能夠在您搜尋執行中就可即時顯示報表當時的執行狀況. 這個功能特性節省了您的時間, 特別是搜尋長期間內的資料時. 請注意, 在您使用報表統計指令時, 報表預視功能是預設勾選的. 那麼, 就來試試選擇長時間區間條件來產生報表.
透過組合視項(dashboard)的建立, 將搜尋及報表嵌入網頁讓使用者可以操作使用, 這讓您資訊豐富且有用的報表可以分享給其他使用者調閱. 如何做呢? 您唯一要做的就是事先準備好您想要顯示在組合視頁上的搜尋指示.
想知道更多 Splunk 的功能及如何使用它們嗎? 此處我們提供了一些 Splunk 線上文件的連結, 供您參考.