Die 102 wichtigsten Fragen und Antworten zu Splunk-Interviews (2025)

Hier finden Sie Fragen und Antworten zu Splunk-Interviews für Erstsemester und erfahrene Kandidaten, die ihren Traumjob bekommen möchten.


1) Definieren Sie Splunk

Dabei handelt es sich um eine Softwaretechnologie, die zur Suche, Visualisierung und Überwachung maschinell generierter Big Data eingesetzt wird. Es überwacht verschiedene Arten von Protokolldateien und speichert Daten in Indexern.

Kostenloser PDF-Download: Fragen und Antworten zum Splunk-Interview


2) Listen Sie die von Splunk häufig verwendeten Ports auf.

Von Splunk häufig verwendete Ports sind folgende:

  • Webport: 8000
  • Verwaltungsport: 8089
  • Netzwerkport: 514
  • Indexreplikationsport: 8080
  • Indizierungsport: 9997
  • KV-Store: 8191

3) Erklären Sie die Splunk-Komponenten

Die grundlegenden Komponenten von Splunk sind:

  • Universal Forward: Es handelt sich um eine leichtgewichtige Komponente, die Daten in den Splunk-Forwarder einfügt.
  • Heavy Forward: Es handelt sich um eine schwere Komponente, mit der Sie die erforderlichen Daten filtern können.
  • Suchkopf: Diese Komponente wird verwendet, um Informationen zu gewinnen und Berichte durchzuführen.
  • Lizenzmanager: Die Lizenz richtet sich nach Volumen und Nutzung. Damit können Sie 50 GB pro Tag nutzen. Splunk überprüft regelmäßig die Lizenzdetails.
  • Load Balancer: Zusätzlich zur Funktionalität des standardmäßigen Splunk Loaders können Sie damit auch Ihren personalisierten Load Balancer verwenden.

4) Was meinst du mit Splunk-Indexer?

Es ist eine Komponente von Splunk Enterprise, die Indizes erstellt und verwaltet. Die Hauptfunktionen eines Indexers sind 1) das Indizieren von Rohdaten in einen Index und 2) das Suchen und Verwalten indizierter Daten.


5) Welche Nachteile hat die Verwendung von Splunk?

Einige Nachteile der Verwendung des Splunk-Tools sind:

  • Splunk kann sich bei großen Datenmengen als teuer erweisen.
  • Dashboards sind funktional, aber nicht so effektiv wie einige andere Überwachungstools.
  • Die Lernkurve ist anspruchsvoll und Sie benötigen eine Splunk-Schulung, da es sich um eine mehrschichtige Architektur handelt. Sie müssen also viel Zeit aufwenden, um dieses Tool zu erlernen.
  • Suchvorgänge sind schwer zu verstehen, insbesondere reguläre Ausdrücke und Suchsyntax.
Splunk-Interviewfragen
Splunk-Interviewfragen

6) Welche Vorteile bietet es, Daten mithilfe von Weiterleitungen in eine Splunk-Instanz zu übertragen?

Die Vorteile der Übertragung von Daten in Splunk über Weiterleitungen sind eine TCP-Verbindung, Bandbreitendrosselung und eine sichere SSL-Verbindung für die Übertragung wichtiger Daten von einer Weiterleitung an einen Indexer.


7) Welche Bedeutung hat der Lizenzmaster in Splunk?

Der Lizenzmaster in Splunk stellt sicher, dass die richtige Datenmenge indiziert wird. Dadurch wird sichergestellt, dass die Umgebung innerhalb der Grenzen des erworbenen Volumens bleibt, da die Splunk-Lizenz vom Datenvolumen abhängt, das innerhalb eines 24-Stunden-Fensters auf der Plattform ankommt.


8) Nennen Sie einige wichtige Konfigurationsdateien von Splunk

Häufig verwendete Splunk-Konfigurationsdateien sind:

  • Eingabedatei
  • Transformiert die Datei
  • Serverdatei
  • Indexdatei
  • Props-Datei

9) Erklären Sie Lizenzverletzungen in Splunk.

Es handelt sich um einen Warnfehler, der auftritt, wenn Sie das Datenlimit überschreiten. Dieser Warnfehler bleibt 14 Tage lang bestehen. Bei einer kommerziellen Lizenz erhalten Sie innerhalb eines fortlaufenden Zeitfensters von einem Monat möglicherweise 5 Warnungen, bevor Ihre Indexer-Suchergebnisse und -Berichte nicht mehr ausgelöst werden. In einer kostenlosen Version werden in der Lizenzverletzungswarnung jedoch nur drei Warnungen angezeigt.

Splunk-Interviewfragen
Splunk-Interviewfragen

10) Wozu dient Splunk Alert?

Warnungen können verwendet werden, wenn Sie bestimmte Ereignisse überwachen und darauf reagieren müssen. Senden Sie beispielsweise eine E-Mail-Benachrichtigung an den Benutzer, wenn innerhalb von 24 Stunden mehr als drei Anmeldeversuche fehlgeschlagen sind.


11) Erklären Sie den Kartenreduzierungsalgorithmus

Der Map-Reduce-Algorithmus ist eine von Splunk verwendete Technik, um die Geschwindigkeit der Datensuche zu erhöhen. Es ist von zwei funktionalen Programmierfunktionen inspiriert: 1) Reduce () und 2) Map (). Hier ist die Funktion „map()“ der Mapper-Klasse und die Funktion „reduc()“ einer Reducer-Klasse zugeordnet.


12) Verschiedene Arten der Dateneingabe in Splunk erklären?

Im Folgenden sind verschiedene Arten der Dateneingabe in Splunk aufgeführt:

  • Verwenden von Dateien und Verzeichnissen als Eingabe
  • Konfigurieren von Netzwerkports für den automatischen Empfang von Eingaben
  • Fügen Sie Windows-Eingaben hinzu. Es gibt vier Arten dieser Windows-Eingaben: 1) aktives Verzeichnis Monitor, 2) Druckermonitor, 3) Netzwerkmonitor und 4) Registry-Eingabemonitor.

13) Wie vermeidet Splunk eine doppelte Protokollindizierung?

Mit Splunk können Sie indizierte Ereignisse in einem Fish-Bucket-Verzeichnis verfolgen. Es enthält CRCs und sucht nach Zeigern für die Dateien, die Sie indizieren, sodass Splunk dies nicht kann, wenn es sie bereits gelesen hat.


14) Erklären Sie Pivot- und Datenmodelle.

Pivots werden verwendet, um die Vorderansichten Ihrer Ausgabe zu erstellen und dann den richtigen Filter auszuwählen, um eine bessere Ansicht dieser Ausgabe zu erhalten. Beide Optionen sind für Personen mit halbtechnischem oder nichttechnischem Hintergrund von Vorteil. Datenmodelle werden am häufigsten zum Erstellen eines hierarchischen Datenmodells verwendet. Es kann jedoch auch verwendet werden, wenn Sie über große Mengen unstrukturierter Daten verfügen. Es hilft Ihnen, diese Informationen zu nutzen, ohne komplizierte Suchanfragen durchführen zu müssen.


15) Suchfaktor und Replikationsfaktor erklären?

Der Suchfaktor bestimmt die Anzahl der vom Indexercluster verwalteten Daten. Es bestimmt die Anzahl der durchsuchbaren Kopien, die im Bucket verfügbar sind. Der Replikationsfaktor bestimmt die Anzahl der vom Cluster verwalteten Kopien sowie die Anzahl der Kopien, die jeder Standort verwaltet.


16) Wozu dient der Lookup-Befehl?

Der Lookup-Befehl wird im Allgemeinen verwendet, wenn Sie einige Felder aus einer externen Datei abrufen möchten. Es hilft Ihnen, die Suchergebnisse einzugrenzen, da es dabei hilft, auf Felder in einer externen Datei zu verweisen, die mit Feldern in Ihren Veranstaltungsdaten übereinstimmen.


17) Erklären Sie Standardfelder für ein Ereignis in Splunk

Es gibt 5 Standardfelder, die bei jedem Ereignis in Splunk mit einem Barcode versehen werden. Dies sind: 1) Host, 2) Quelle, 3) Quelltyp, 4) Index und 5) Zeitstempel.


18) Wie können Sie Felder extrahieren?

Um Felder aus der Seitenleiste, den Ereignislisten oder dem Einstellungsmenü über die Benutzeroberfläche zu extrahieren. Eine andere Möglichkeit, Felder in Splunk zu extrahieren, besteht darin, Ihre regulären Ausdrücke in eine Props-Konfigurationsdatei zu schreiben.


19) Was meinen Sie mit zusammenfassendem Index?

Ein Zusammenfassungsindex ist ein spezieller Index, der das von Splunk berechnete Ergebnis speichert. Er ist eine schnelle und kostengünstige Möglichkeit, eine Abfrage über einen längeren Zeitraum auszuführen.


20) Wie kann verhindert werden, dass Ereignisse von Splunk indiziert werden?

Sie können verhindern, dass das Ereignis von Splunk indiziert wird, indem Sie Debug-Nachrichten ausschließen, indem Sie sie in die Nullwarteschlange stellen. Sie müssen die Nullwarteschlange in der Datei transforms.conf auf der Weiterleitungsebene selbst belassen.


21) Definieren Sie die Splunk-DB-Verbindung

Es ist ein SQL Datenbank-Plugin, das den Import von Tabellen, Zeilen und Spalten aus einer Datenbank ermöglicht und die Datenbank hinzufügt. Splunk DB Connect hilft bei der Bereitstellung einer zuverlässigen und skalierbaren Integration zwischen Datenbanken und Splunk Enterprises.


22) Definieren Sie Splunk-Buckets

Dies ist das Verzeichnis, das von Splunk Enterprise zum Speichern von Daten und indizierten Dateien verwendet wird. Diese Indexdateien enthalten verschiedene Buckets, die nach dem Alter der Daten verwaltet werden.


23) Welche Funktion hat der Alert Manager?

Der Alert-Manager fügt Splunk einen Workflow hinzu. Der Zweck des Alert Managers ist die Bereitstellung einer gemeinsamen App mit Dashboards zur Suche nach Alarmen oder Ereignissen.


24) Wie können Sie Splunk-Leistungsprobleme beheben?

Drei Möglichkeiten zur Behebung von Splunk-Leistungsproblemen.

  • Siehe Serverleistungsprobleme.
  • Suchen Sie nach Fehlern in splunkd.log.
  • Installieren Sie die Splunk-App und prüfen Sie das Dashboard auf Warnungen und Fehler.

25) Was ist der Unterschied zwischen Indexzeit und Suchzeit?

Die Indexzeit ist der Zeitraum, in dem die Daten verbraucht und auf die Festplatte geschrieben werden. Die Suchzeit vergeht, während die Suche ausgeführt wird, da Ereignisse durch die Suche zusammengestellt werden.


26) Wie setze ich das Splunk-Administratorkennwort zurück?

Um das Administratorkennwort zurückzusetzen, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich bei dem Server an, auf dem Splunk installiert ist
  2. Benennen Sie die Passwortdatei um und starten Sie dann erneut den Splunk.
  3. Danach können Sie sich beim Server anmelden, indem Sie entweder den Benutzernamen „Administrator“ oder „Administrator“ mit einem Passwort ändern.

27) Benennen Sie den Befehl, der für die Kategorie „Ergebnisse filtern“ verwendet wird

Der Befehl, der für die Kategorie „Ergebnisse filtern“ verwendet wird, lautet: „where“, „Sort“, „rex“ und „search“.


28) Listen Sie verschiedene Arten von Splunk-Lizenzen auf

Es gibt folgende Arten von Splunk-Lizenzen:

  • Freie Lizenz
  • Beta-Lizenz
  • Lizenz für Suchköpfe
  • Cluster-Mitgliederlizenz
  • Spediteurlizenz
  • Unternehmenslizenz

29) Listen Sie die Anzahl der Kategorien der SPL-Befehle auf.

Die SPL-Befehle sind in fünf Kategorien eingeteilt: 1) Ergebnisse filtern, 2) Ergebnisse sortieren, 3) Gruppierungsergebnisse filtern, 4) Felder hinzufügen und 5) Ergebnisse melden.


30) Was ist der Eval-Befehl?

Mit diesem Befehl wird ein Ausdruck berechnet. Der Befehl „Eval“ wertet boolesche Ausdrücke, Zeichenfolgen und mathematische Artikulationen aus. Sie können mehrere Auswertungsausdrücke in einer einzigen Suche verwenden, indem Sie ein Komma verwenden.


31) Benennen Sie die Befehle, die in der Kategorie „Berichtsergebnisse“ enthalten sind

Im Folgenden sind die Befehle aufgeführt, die in der Kategorie „Berichtsergebnisse“ enthalten sind:

  • Rare
  • Chart
  • Zeitdiagramm
  • Nach oben
  • Stats

32) Was ist SOS?

Splunk on Splunk oder SOS ist eine Splunk-App, die Sie bei der Analyse und Fehlerbehebung der Leistung und Probleme der Splunk-Umgebung unterstützt.


33) Was ist ein Ersetzungsbefehl?

Dieser Befehl sucht und ersetzt angegebene Feldwerte durch Ersatzwerte.


34) Nennen Sie Funktionen, die in der kostenlosen Splunk-Version nicht verfügbar sind?

In der kostenlosen Splunk-Version fehlen die folgenden Funktionen:

  • Verteilte Suche
  • Weiterleitung in HTTP oder TCP
  • Agile Statistiken und Berichte mit Echtzeitarchitektur
  • Bietet Analyse-, Such- und Visualisierungsfunktionen, um Benutzern aller Art zu helfen.
  • Erzielen Sie schneller einen ROI

35) Was ist eine Nullwarteschlange?

Eine Nullwarteschlange ist ein Ansatz zum Herausfiltern unerwünschter eingehender Ereignisse, die von Splunk Enterprise gesendet werden.


36) Erklären Sie die Arten von Suchmodi in Splunk?

Es gibt drei Arten von Suchmodulen. Sie sind:

  • Schnellmodus: Erhöht die Suchgeschwindigkeit durch Begrenzung der Suchdaten.
  • Ausführlicher Modus: Dieser Modus gibt alle möglichen Felder und Ereignisdaten zurück.
  • Smart-Modus: Dies ist eine Standardeinstellung in einer Splunk-App. Der Smart-Modus schaltet das Suchverhalten basierend auf Transformationsbefehlen um.

37) Was ist der Hauptunterschied zwischen Quelle und Quellentyp?

Die Quelle identifiziert als Quelle des Ereignisses, aus dem ein bestimmtes Ereignis stammt, während der Quelltyp bestimmt, wie Splunk den eingehenden Datenstrom entsprechend seiner Art in Ereignisse verarbeitet.


38) Was ist ein Join-Befehl?

Es wird verwendet, um die Ergebnisse einer Untersuche mit den Ergebnissen der eigentlichen Suche zu kombinieren. Hier müssen die Felder allen Ergebnismengen gemeinsam sein. Sie können einen Suchergebnissatz auch mit dem Befehl „selfjoin“ in Splunk zu sich selbst kombinieren.


39) Wie starte und stoppe ich den Splunk-Dienst?

Zum Starten und Stoppen von Splunk-Diensten können die folgenden Befehle verwendet werden:

./splunk start
./splunk stop

40) Wo kann ich Splunk Cloud herunterladen?

Besuche die Website: https://www.splunk.com/ um eine kostenlose Testversion von Splunk Cloud herunterzuladen.


41) Was ist der Unterschied zwischen Statistiken und dem Timechart-Befehl?

Parameter Stats Zeitdiagramm
Zweck Sie werden verwendet, um numerische Daten im Tabellenformat darzustellen. Zeitdiagramm wird verwendet, um Suchergebnisse in einer grafischen Ansicht darzustellen.
Feldnutzung Statistiken können mehr als ein Feld verwenden. Es verwendet _time als Standardfeld im Diagramm.

42) Definieren Sie den Bereitstellungsserver

Der Bereitstellungsserver ist eine Splunk-Instanz, die als zentraler Konfigurationsmanager fungiert. Es wird verwendet, um die Konfiguration auf anderen Splunk-Instanzen bereitzustellen.


43) Was ist die Zeitzoneneigenschaft in Splunk?

Die Eigenschaft „Zeitzone“ stellt die Ausgabe für eine bestimmte Zeitzone bereit. Splunk übernimmt die Standardzeitzone aus den Browsereinstellungen. Der Browser übernimmt die aktuelle Zeitzone vom Computersystem, das gerade verwendet wird. Splunk verwendet diese Zeitzone, wenn Benutzer Massendaten aus anderen Quellen durchsuchen und korrelieren.


44) Was ist der Anschluss der Splunk-Soundeinheit?

Splunk Sound Unit ist ein Plugin, das das Hinzufügen von Infodaten zu Splunk-Berichten ermöglicht. Es hilft bei der Bereitstellung einer zuverlässigen und aufsteigenden Integration zwischen relativen Datenbanken und Splunk-Unternehmen.


45) Wie installiere ich die Weiterleitung aus der Ferne?

Sie können ein Bash-Skript verwenden, um den Forwarder remote zu installieren.


46) Wozu dient der Syslog-Server?

Der Syslog-Server wird verwendet, um Daten von verschiedenen Geräten wie Routern und Switches sowie Anwendungsprotokolle vom Webserver zu sammeln. Sie können den Befehl R syslog oder syslog NG verwenden, um einen Syslog-Server zu konfigurieren.


47) Wie überwacht man Spediteure?

Verwenden Sie die Registerkarte „Weiterleitung“ in der DMC (Distributed Management Console), um den Status der Weiterleitungen zu überwachen und den Bereitstellungsserver zu verwalten.


48) Wozu dient Splunk Btool?

Es handelt sich um ein Befehlszeilentool, das zur Lösung konfigurationsbezogener Probleme entwickelt wurde.


49) Nennen Sie Splunk-Alternativen

Einige Splunk-Alternativen sind:

  • Sumo-Logik
  • Loglogic
  • Loggy
  • Logstasch

50) Was ist der KV-Store in Splunk?

Key Value (KV) ermöglicht das Speichern und Abrufen von Daten in Splunk. KV hilft Ihnen auch dabei:

  • Jobwarteschlange verwalten
  • Metadaten speichern
  • Untersuchen Sie den Arbeitsablauf

51) Was meinst du mit Deployer in Splunk?

Deployer ist ein Splunk Enterprise Instant, der zum Bereitstellen von Apps auf dem Cluster-Head verwendet wird. Es kann auch verwendet werden, um Informationen für App und Benutzer zu konfigurieren.


52) Wann sollte auto_high_volume in Splunk verwendet werden?

Es wird verwendet, wenn die Indizes ein großes Volumen haben, z. B. 10 GB Daten.


53) Was ist ein Stat-Befehl?

Es handelt sich um einen Splunk-Befehl, der zum Anordnen von Berichtsdaten im Tabellenformat verwendet wird.


54) Was ist ein Regex-Befehl?

Der Regex-Befehl entfernt Ergebnisse, die nicht mit dem gewünschten regulären Ausdruck übereinstimmen.


55) Was ist ein Eingabesuchbefehl?

Dieser Splunk-Befehl gibt eine Nachschlagetabelle im Suchergebnis zurück.


56) Was ist der Ausgabe-Suchbefehl?

Der Ausgabe-Suchbefehl durchsucht das Ergebnis nach einer Nachschlagetabelle auf der Festplatte.


57) Listen Sie verschiedene Phasen des Bucket-Lebenszyklus auf

Die Phasen des Bucket-Lebenszyklus sind wie folgt:

  • Hot
  • Warm
  • Kälte
  • Frozen
  • Aufgetaut

58) Namensstufen des Splunk-Indexers

Die Stufen des Splunk-Indexers sind:

  • Eingang
  • Parsing
  • Indizierung
  • Suchen

59) Erklären Sie den Unterschied zwischen Splunk und Spark

Parameter Splunk Spark
Zweck Sammeln Sie große Mengen computergenerierter Daten. Wird für die Verarbeitung großer Datenmengen verwendet
Vorzug Lässt sich problemlos integrieren Hadoop Es wird bevorzugter und kann mit Apache-Projekten verwendet werden.
Model Streaming-Modus Streaming sowie Batch-Modus

60) Erklären Sie, wie Splunk funktioniert.

Es gibt drei Phasen, in denen Splunk funktioniert:

  • Die erste Phase: Es werden Daten generiert und Anfragen aus verschiedenen Quellen gelöst.
  • Die zweite Phase: Die Daten werden zur Lösung der Anfrage verwendet.
  • Dritte Phase: Es werden die Antworten in Form einer Grafik, eines Berichts oder eines Diagramms angezeigt, die für das Publikum verständlich sind.

61) Was sind drei Versionen von Splunk?

Splunk ist in drei verschiedenen Versionen erhältlich. Diese Versionen sind 1) Splunk Enterprise, 2) Splunk Light, 3) Splunk Cloud.

  • Splunk-Unternehmen: Die Splunk Enterprise Edition wird von vielen IT-Organisationen verwendet. Es hilft Ihnen, die Daten verschiedener Websites und Anwendungen zu analysieren.
  • Splunk Cloud: Splunk Cloud ist ein SaaS (Software as a Service) und bietet nahezu ähnliche Funktionen wie die Unternehmensversion, einschließlich APIs, SDKs und Apps.
  • Splunk-Licht: Splunk Light ist eine kostenlose Version, mit der Sie einen Bericht erstellen, Ihre Protokolldaten durchsuchen und bearbeiten können. Die Splunk Light-Version verfügt im Vergleich zu anderen Versionen über eingeschränkte Funktionalitäten und Features.

62) Nennen Sie Unternehmen, die Splunk nutzen

Bekannte Unternehmen, die das Splunk-Tool verwenden, sind:

  • Cisco
  • Facebook
  • Bosch
  • Adobe
  • IBM
  • Walmart
  • Salesforce

63) Was ist SLP?

Search Processing Language oder SLP ist eine Sprache, die Funktionen, Befehle und Argumente enthält. Es wird verwendet, um die gewünschte Ausgabe aus der Datenbank zu erhalten.


64) Definieren Sie die Überwachung in Splunk

Überwachung ist ein Begriff, der sich auf Berichte bezieht, die Sie visuell überwachen können.


65) Benennen Sie den Bereich, in dem Wissensobjekte verwendet werden können

Im Folgenden sind einige Bereiche aufgeführt, in denen Wissensobjekte verwendet werden können:

  • Anwendungsüberwachung
  • Mitarbeitermanagement
  • Physische Sicherheit
  • Netzwerksicherheit

66) Wie viele Rollen gibt es in Splunk?

In Splunk gibt es drei Rollen: 1) Admin, 2) Power und 3) User.


67) Wird bei Suchbegriffen in Splunk die Groß-/Kleinschreibung beachtet?

Nein, bei Suchbegriffen in Splunk wird die Groß-/Kleinschreibung nicht beachtet.


68) Können Suchergebnisse verwendet werden, um die bestehende Suche zu ändern?

Ja, das Suchergebnis kann verwendet werden, um Änderungen an einer bestehenden Suche vorzunehmen.


69) Listen Sie Layoutoptionen für Suchergebnisse auf.

Im Folgenden finden Sie einige Layoutoptionen für Suchergebnisse:

  • Liste
  • Tisch
  • Roh

70) In welchen Formaten können Suchergebnisse exportiert werden?

Das Suchergebnis kann exportiert werden JSON, CSV, XML und PDF.


71) Erklären Sie die Arten boolescher Operatoren in Splunk.

Splunk unterstützt drei Arten boolescher Operatoren; sie sind:

  • UND: Es steht zwischen zwei Begriffen und muss daher nicht geschrieben werden.
  • ODER: Es bestimmt, dass eines der beiden Argumente wahr sein sollte.
  • HINWEIS: Wird verwendet, um Ereignisse herauszufiltern, die ein bestimmtes Wort enthalten.

72) Erklären Sie die Verwendung des Top-Befehls in Splunk

Der obere Befehl wird verwendet, um die allgemeinen Werte eines Feldes mit ihrem Prozentsatz und ihrer Anzahl anzuzeigen.


73) Wozu dient der Befehl stats?

Es berechnet aggregierte Statistiken über einen Datensatz, z. B. Anzahl, Summe und Durchschnitt.


74) Welche Arten von Warnungen gibt es in Splunk?

In Splunk sind hauptsächlich drei Arten von Warnungen verfügbar:

  • Geplanter Alarm: Es handelt sich um eine Warnung, die auf einer historischen Suche basiert. Es läuft regelmäßig nach einem festgelegten Zeitplan.
  • Pro Ergebniswarnung: Diese Warnung basiert auf einer Echtzeitsuche, die über die gesamte Zeit läuft.
  • Rollfensterwarnung: Eine Warnung, die auf einer Echtzeitsuche basiert. Diese Suche wird so eingestellt, dass sie innerhalb eines bestimmten, von Ihnen definierten rollierenden Zeitfensters ausgeführt wird.

75) Listen Sie verschiedene Arten von Splunk-Dashboards auf.

  • Dynamische formularbasierte Dashboards
  • Dashboards als geplante Berichte
  • Echtzeit-Dashboards

76) Wozu dienen Tags in Splunk?

Sie dienen dazu, bestimmten Feld- und Wertepaaren Namen zuzuordnen. Die Felder können Ereignistyp, Quelle, Quelltyp und Host sein.


77) Wie kann die Größe des Splunk-Datenspeichers erhöht werden?

Um die Größe des Datenspeichers zu erhöhen, können Sie entweder mehr Speicherplatz für den Index hinzufügen oder weitere Indexer hinzufügen.


78) Unterscheiden Sie zwischen Splunk-Apps und Add-ons

Es gibt nur einen Unterschied zwischen Splunk-Apps und Add-ons: Splunk-Apps enthalten integrierte Berichte, Konfigurationen und Dashboards. Splunk-Add-ons enthalten jedoch nur integrierte Konfigurationen, keine Dashboards oder Berichte.


79) Versandverzeichnis in Splunk definieren?

Das Dispatch-Verzeichnis speichert den Status „Läuft“ oder „Abgeschlossen“.


80) Was ist der Hauptunterschied zwischen den Befehlen stats und eventstats?

Der Befehl „Stats“ stellt zusammenfassende Statistiken zu vorhandenen Feldern bereit, die in der Suchausgabe verfügbar sind, und speichert sie dann als Werte in neuen Feldern. Andererseits werden im Befehl „eventstats“ Aggregationsergebnisse hinzugefügt, sodass jedes Ereignis nur dann erfolgt, wenn die Aggregation auf dieses bestimmte Ereignis angewendet wird.


81) Was meinst du mit Quelltyp in Splunk?

Das Quellfeld ist ein Standardfeld, das das findet Datenstruktur eines Ereignisses. Es bestimmt, wie Splunk die Daten während der Indizierung formatiert.


82) Berechnete Felder definieren?

Berechnete Felder sind die Felder, die die Berechnung der Werte zweier Felder durchführen, die in einem bestimmten Ereignis verfügbar sind.


83) Listen Sie einige Splunk-Suchbefehle auf

Im Folgenden sind einige Suchbefehle aufgeführt, die in Splunk verfügbar sind:

  • Abstrakt
  • Erex
  • Summen
  • Akkum
  • Abfüllen
  • typer
  • Umbenennen
  • Anomalien

84) Was macht der Befehl xyseries?

Der Befehl xyseries konvertiert die Suchergebnisse in ein Format, das für die grafische Darstellung geeignet ist.


85) Wozu dient der Spath-Befehl?

Der Befehl spath wird zum Extrahieren von Feldern aus strukturierten Datenformaten wie JSON und verwendet XML.


86) Wie fügt man zusammenfassende Statistiken per Streaming zu allen Ergebnissen hinzu?

Um zusammenfassende Statistiken zu den Ergebnissen hinzuzufügen, können Sie Streamstats verwenden.


87) Wo können Wissensobjekte, Dashboards und Berichte erstellt werden?

Sie können Wissen, Objekte, Berichte und Dashboards in der Berichts- und Such-App erstellen.


88) Was ist ein Tabellenbefehl?

Dieser Befehl gibt alle Felder der Tabelle in der Argumentliste zurück.


89) Wie entferne ich doppelte Ereignisse mit gemeinsamen Werten?

Verwenden Sie den Befehl dedup, um doppelte Ereignisse mit gemeinsamen Werten zu entfernen.


90) Was ist der Hauptunterschied zwischen sort + und sort -?

  • sort + zeigt die Suche in aufsteigender Reihenfolge an
  • Sortieren – zeigt die Suche in absteigender Reihenfolge an.

91) Definieren Sie Berichte in Splunk

Dabei handelt es sich um Ergebnisse, die aus einer Suchaktion gespeichert wurden und die Visualisierung und Statistik eines bestimmten Ereignisses anzeigen.


92) Dashboard in Splunk definieren

Das Dashboard ist als eine Sammlung von Ansichten definiert, die aus verschiedenen Panels bestehen.


93) Wozu dient Instant Pivot in Splunk?

Es wird verwendet, um mit Daten zu arbeiten, ohne ein Datenmodell zu erstellen. Instant Pivot steht allen Benutzern zur Verfügung.


94) Wie ist es möglich, den Hostwert und nicht die IP-Adresse oder den DNS-Namen für eine TCP-Eingabe zu verwenden?

Setzen Sie unter der Zeilengruppe in der Eingabekonfigurationsdatei „connection_host“ auf „none“ und geben Sie den Hostwert an.


95) Was ist die vollständige Form von LDAP?

LDAP steht für Lightweight Directory Access Protocol


96) Definieren Sie das Suchkopf-Pooling

Es handelt sich um eine Gruppe von Servern, die miteinander verbunden sind. Diese Server werden zum Teilen von Konfiguration, Benutzerdaten und Last verwendet.


97) Definieren Sie Suchkopf-Clustering

Dabei handelt es sich um eine Gruppe von Splunk-Enterprise-Search-Heads, die als zentrale Ressource für die Suche dienen.


98) Was ist die vollständige Form von REST?

Die Abkürzung für REST ist Representational State Transfer


99) Erklären Sie die Splunk-SDKs

Splunk SDKs werden auf Basis von Splunk REST APIs geschrieben. Verschiedene von SDKs unterstützte Sprachen sind: 1) Java, 2) Python, 3) JavaScript und 4) C#.


100) Erklären Sie Splunk REST API

Die Splunk REST API bietet verschiedene Prozesse für den Zugriff auf alle im Produkt verfügbaren Funktionen. Ihr Programm kommuniziert über HTTP oder HTTPS mit Splunk Enterprise. Es verwendet dieselben Protokolle, die jeder Webbrowser für die Interaktion mit Webseiten verwendet.


101) Was ist das sicherheitsbeschleunigte Datenmodell in Splunk?

Splunk Enterprise Security beschleunigt das Datenmodell und bietet ein Panel, ein Dashboard und Korrelationssuchergebnisse. Es nutzt die Indexer zur Verarbeitung und Speicherung. Die beschleunigten Daten werden standardmäßig in jedem Index gespeichert.


102) Erklären Sie, wie der Indexer verschiedene Indizes speichert.

Indexer erstellen verschiedene Dateien, die zwei Arten von Daten enthalten: 1) Rohdaten und 2) Metadaten-Indexdatei. Beide Dateien werden zur Erstellung des Splunk-Unternehmensindex verwendet.

Diese Interviewfragen helfen auch bei Ihrer mündlichen Prüfung

Teilen

4 Kommentare

  1. Vielen Dank für Ihre Splunk-Interviewfragen. Es ist vor dem Training sehr nützlich und leicht zu verstehen. Vielen Dank.

  2. Toller Einsatz, sehr geschätzt 👍😊

Hinterlasse uns einen Kommentar

E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind MIT * gekennzeichnet. *