Splunk 的使用者介面提供許多功能。請逐一閱讀下列主題,進一步瞭解如何巡覽與使用 Splunk 安裝。
Splunk 是由應用程式組成的。應用程式會從各種檢視、儀表板和設定的組合,為您的資料建立不同脈絡。現在,您正位於 [開始使用] 應用程式中。另外還有可讓您建立搜尋的搜尋應用程式,以及讓您啟動其他應用程式的預設應用程式 [Splunk 主目錄]。您還可從 Splunkbase 新增新應用程式,或自行建立。
在應用程式間巡覽
若要巡覽至另一個應用程式,請使用右上角的 [應用程式] 下拉式清單。
若要檢視目前安裝於 Splunk 執行個體的應用程式清單,可按一下本頁面右上角的 [應用程式] 功能表並選擇 [主目錄] 回到 [主目錄]。這樣會帶您離開 [開始使用] 應用程式,但您仍可再次從 [主目錄] 或 [應用程式] 功能表選擇 [開始使用] 以回到這裡。
先前使用過 Splunk 嗎?想找回熟悉的感覺嗎?
若您曾經使用過 Splunk,可能會想要尋找 [搜尋] 應用程式。若要取得 [搜尋] 應用程式,請從右上角的 [應用程式] 功能表選擇 [搜尋]。
Splunk 的大部分管理選項都可透過 Splunk 網站 (Splunk 的 使用者介面) 取得。請注意,某些設定僅限具備管理員權限的 Splunk 使用者使用。若您無法存取本應用程式中討論的設定,可能是您沒有存取權限。
使用 Splunk 管理員
以 [Splunk 管理員] 管理您的設定與應用程式。幾乎所有設定變更都可透過 [Splunk 管理員] 完成。按一下右上角的 [管理員] 連結前往 [管理員]:
使用工作管理員
以 [工作管理員] 管理您的搜尋。您的所有搜尋都會以工作型態執行。您可按一下右上角的 [工作] 連結,列出並控制執行於系統的所有搜尋。
新增更多應用程式
若要瀏覽與下載更多 Splunk 應用程式,請回到 [主目錄] 並按一下 [瀏覽更多應用程式] 標籤。
您亦可製作自己的應用程式。請參閱開發人員手冊以取得更多資訊。
機器可以產生的資料,Splunk 都能進行檢索。是的,Splunk 無須自訂剖析器、連接器或配接器,就能檢索結構化與未結構化的任何資料。從 Unix 伺服器與網路裝置的系統記錄、Windows 的 [事件記錄檔],到自訂應用程式記錄檔甚至設定與系統衡量標準,都可交給 Splunk 處理,然後您就能了解整個作業的完整脈絡。
您可使用 Splunk 的取得資料工作流程,找出可新增至 Splunk 的各類資料。根據資料所在位置,可使用多種方法將資料放進 Splunk。
Splunk 能以連續或單次方式,檢索任何本機資料。請透過 [Splunk 管理員],設定讓 Splunk 檢索檔案或目錄。您亦可在檢索之前預覽資料,或自訂規則以讓 Splunk 知道如何處理您的資料。
使用 Splunk 從您網路上的電腦收集 Windows 資料。根據您網路的設定方式,有一些選項可用:
使用 Splunk 從您網路上的非 Windows 電腦收集資料。根據您網路的設定方式,有一些選項可用:
使用此方法擷取透過 TCP 或 UDP 連接埠傳送的資料。例如,設定 Splunk 監聽 UDP 514,以擷取系統記錄資料。
還有其他方法可將資料放進 Splunk。以下是一些熱門選項:
從分散式環境的多部電腦收集資料
想知道如何從將資料從分散式環境 (如應用程式伺服器陣列或本機登入的網路伺服器) 放進 Splunk 嗎?Splunk 的通用轉送器是一套輕量型代理程式,可部署於數十、數百或數千部伺服器,即時擷取資料並寄送到中央 Splunk 索引器。使用通用轉送器,將資料從其他系統寄送給 Splunk。從 [Splunk 管理員] 設定轉送。
撰寫自己的指令式輸入
為您的自訂資料來源建立指令式輸入。對於 vmstat、iostat、netstat、top 等命令列工具而言,指令式輸入非常實用。從 API 和其他遠端資料介面和訊息佇列取得資料,並從使用中系統與 vmstat、iostat 等應用程式狀態命令產生衡量標準與狀態資料。SplunkBase 有許多應用程式可讓您對特定應用程式進行指令式輸入。從 [Splunk 管理員] 設定指令式輸入。
監視檔案系統變更
希望瞭解檔案系統上發生的變更嗎?設定檔案系統變更監視,即可於發生時檢視各項變更。使用此方法可監視關鍵檔案、設定檔,和法規要求所需的其他檔案,並可針對安全性與操作方面,找出影響系統的變更與未授權的變更。
一旦 Splunk 中有了資料,就可使用 [搜尋] 應用程式調查安全性事件、排除應用程式、伺服器與網路問題,或單純主動審查系統與使用者活動。
搜尋您希望在資料中找到的任何文字。
在資料到達 Splunk 時即時搜尋。
您的搜尋結果與時間表一樣是互動式的。您將於本節中瞭解,如何透過單次點選,對搜尋新增、移除或排除詞彙。
自由格式搜尋簡單而功能強大,但並不總是能提供您想要的答案。例如,您可能希望排除 HTTP 狀態代碼為 200 的事件。但若您只搜尋「NOT 200」,也會移除您可能希望保留的事件,如 IP 位址含有 200,但狀態代碼是「503」的事件。
Splunk 檢索原始資料中的每個詞彙時,會根據名稱/值配對、標頭或在不同方面一目了然的其他資訊探索與新增欄位。例如,Splunk 會自動將資料來源等相關資訊新增至主機、來源和來源類型欄位。Splunk 亦可識別資料的其他部份,如 IP 位址、HTTP 狀態代碼等。您亦可如本應用程式「新增知識」一節所述,新增自己的欄位。
顯示於您搜尋結果的欄位都會列於 [所選欄位] 標題下。您可選擇顯示更多欄位。Splunk 自動探索的其他欄位會列於 [關注欄位] 下。
時間表以視覺方式表現出各時間點發生的事件數。因此您可使用時間表強調顯示事件模式,或調查事件活動中的高點與低點。
搜尋助理是快速的產品內參考工具,可供使用者用於建構搜尋,也會提供搜尋命令的相關詳細資訊,包括使用範例,並建議其他命令供您使用。
Splunk 會從您的 IT 資料自動擷取知識,並讓您飛快的增加自己的知識,將搜尋這件事帶往前所未有的境界。您可將資料中的事件、欄位、交易、模式和統計等相關資訊新增為知識,亦可識別、命名與標記這些資料。
Splunk 會在搜尋時間對映這些所有知識,讓您無須重新檢索資料,即可依需要隨時新增新欄位與事件類型。您不但能以特定使用者名稱尋找所有事件,也能立即取得特定使用者活動的統計資料。
當您搜尋資料時,實際上是剔除所有不想見到的事件;因此您的搜尋結果就是有著共同特徵的事件,而您可給予一個共同名稱,或是「事件類型」。事件類型的名稱會以值的形式新增至 eventtype 欄位中。這表示您可使用搜尋任何欄位的相同方式,搜尋這些事件群組。下列範例逐步帶您瞭解,如何將搜尋儲存為 eventtype 再搜尋該欄位。
若您經常執行搜尋以調查 sshd 登入或防火牆被拒等 SSH 與防火牆活動,可將這些搜尋儲存為事件類型。同時,若您看到難以理解的錯誤訊息,可使用更具有描述性的名稱,將其儲存為事件類型。
Splunk 會在您檢索新資料時自動為您擷取知識;您亦可無須重新檢索資料,隨時依需要加入新知識。本節說明如何使用欄位擷取器,互動式的擷取與儲存新欄位。
標記可協助您將共用欄位值的搜尋結果分組。標記是附加到事件類型、主機、來源或來源類型等欄位之特定值的名稱。例如,您可以服務名稱標記主機值,或以 PCI 等規範名稱註記法規遵循性。
一般而言,您可使用標記完成下列動作:
有兩種方式可搜尋標記;您可跨所有事件搜尋標記,或在特定欄位中搜尋。
還有更多方式,可讓您發揮並擴大 Splunk 的應用,以能滿足您企業需求的方式處理您的資料。在您長遠以來最佳化、維護與擴充 Splunk 佈署的過程中,可查閱知識管理員手冊以進一步了解。
知識管理員手冊可教導您:
使用 Splunk 識別並找出系統問題後,可善用監視與警示功能的優點,在狀況重複發生時獲得通知。儲存搜尋以隨時執行,或設定警示以進行監視。設定當搜尋結果符合您定義的條件時,觸發警示。您甚至可以針對即時發生的事件進行警示。
您可將任何搜尋轉換成警示。警示會以電子郵件或 RSS 通知您。亦可設定觸發指令碼的警示。
以 Splunk 內建視覺化工具建立報告。Splunk 在報告方面提供廣泛的選項。您可直接從搜尋結果建立簡單的 [隨時間變化的最高值] 報告、使用 [報告建置器] 定義與格式化複雜的圖表,或使用 Splunk 強大的統計命令,手動定義報告。最後,您可以快速建立儀表板,並與他人分享您的最佳報告。
執行搜尋後,可快速啟動報告,得知搜尋結果欄位相關的基本資訊。
啟動報告建置器以建立並格式化您的報告。
使用 [報告建置器] 下拉式清單定義報告時,您會注意到 Splunk 透過用來產生報告的統計報告命令來更新 [報告建置器] 搜尋方塊。本節說明如何直接從搜尋列使用這些報告命令。
註:下列範例搜尋運用了具備管理員權限的使用者才能使用的 Splunk 內部索引。
產生報告時,Splunk 可讓您在產生過程中預覽報告結果。此功能可節省您的時間,尤其當搜尋範圍是很長一段期間時。請注意,使用報告命令進行的搜尋預設已啟用報告預覽,因此製作長期間報告時可以試試看。
建立儀表板,以儲存並共用您的搜尋與報告。儀表板會儲存最實用而資訊豐富的報告,讓其他使用者得以使用。您可從無到有建立儀表板,或在建立報告時製作。
您亦可從無到有建立儀表板。