102 лучших вопросов и ответов на собеседовании Splunk (2025 г.)

Рене АлександрByРене Александр Часов Обновлено

Вот вопросы и ответы на собеседовании Splunk для новичков, а также для опытных кандидатов, желающих получить работу своей мечты.

1) Определить Splunk

Это программная технология, которая используется для поиска, визуализации и мониторинга больших данных, генерируемых машинами. Он отслеживает различные типы файлов журналов и сохраняет данные в индексаторах.

Бесплатная загрузка в формате PDF: Вопросы и ответы для интервью Splunk

2) Перечислите общие порты, используемые Splunk.

Общие порты, используемые Splunk, следующие:

  • Веб-порт: 8000
  • Порт управления: 8089
  • Сетевой порт: 514
  • Порт репликации индекса: 8080
  • Порт индексирования: 9997
  • Магазин КВ: 8191

3) Объясните компоненты Splunk.

Основными компонентами Splunk являются:

  • Универсальная пересылка: это легкий компонент, который вставляет данные в сервер пересылки Splunk.
  • Тяжелый форвард: это тяжелый компонент, позволяющий фильтровать необходимые данные.
  • Поисковая головка: этот компонент используется для сбора разведывательных данных и составления отчетов.
  • Менеджер лицензий: лицензия зависит от объема и использования. Он позволяет использовать 50 ГБ в день. Splunk регулярно проверяет детали лицензирования.
  • Балансировщик нагрузки: в дополнение к функциям загрузчика Splunk по умолчанию он также позволяет вам использовать персонализированный балансировщик нагрузки.
Не пропустите:

4) Что вы подразумеваете под индексатором Splunk?

Это компонент Splunk Enterprise, который создает индексы и управляет ими. Основными функциями индексатора являются 1) индексирование необработанных данных в индекс и 2) поиск и управление индексированными данными.

5) Каковы недостатки использования Splunk?

Некоторые недостатки использования инструмента Splunk:

  • Splunk может оказаться дорогим для больших объемов данных.
  • Панели мониторинга функциональны, но не так эффективны, как некоторые другие инструменты мониторинга.
  • Его кривая обучения сложна, и вам необходимо обучение Splunk, поскольку это многоуровневая архитектура. Итак, вам нужно потратить много времени, чтобы изучить этот инструмент.
  • Поисковые запросы сложны для понимания, особенно регулярные выражения и синтаксис поиска.
Splunk Вопросы для интервью
Splunk Вопросы для интервью

6) Каковы преимущества получения данных в экземпляр Splunk с помощью серверов пересылки?

Преимуществами получения данных в Splunk через серверы пересылки являются TCP-соединение, регулирование пропускной способности и безопасное соединение SSL для передачи важных данных от сервера пересылки к индексатору.

7) Какова важность мастер-лицензии в Splunk?

Мастер лицензий в Splunk гарантирует, что будет проиндексирован нужный объем данных. Это гарантирует, что среда останется в пределах приобретенного объема, поскольку лицензия Splunk зависит от объема данных, поступающих на платформу в течение 24 часов.

8) Назовите несколько важных файлов конфигурации Splunk.

Обычно используемые файлы конфигурации Splunk:

  • Входной файл
  • Преобразует файл
  • Файл сервера
  • Файл индексов
  • Файл реквизита

9) Объясните нарушение лицензии в Splunk.

Это предупреждение об ошибке, возникающее при превышении лимита данных. Это предупреждение об ошибке будет сохраняться в течение 14 дней. При использовании коммерческой лицензии вы можете получить 5 предупреждений в течение 1-месячного скользящего окна, прежде чем результаты поиска и отчеты индексатора перестанут срабатывать. Однако в бесплатной версии предупреждение о нарушении лицензии показывает только 3 предупреждения.

Splunk Вопросы для интервью
Splunk Вопросы для интервью

10) Для чего используется оповещение Splunk?

Оповещения можно использовать, когда вам необходимо отслеживать определенные события и реагировать на них. Например, отправка пользователю уведомления по электронной почте при более чем трех неудачных попытках входа в систему в течение 24 часов.

11) Объясните алгоритм уменьшения карты.

Алгоритм сокращения карты — это метод, используемый Splunk для увеличения скорости поиска данных. Он основан на двух функциях функционального программирования: 1) сокращение () 2) карта (). Здесь функция Map() связана с классом Mapper, а функция уменьшения() связана с классом Редуктор.

12) Объясните различные типы ввода данных в Splunk?

Ниже приведены различные типы ввода данных в Splunk:

  • Использование файлов и каталогов в качестве входных данных
  • Настройка сетевых портов для автоматического получения входных данных
  • Добавьте входы Windows. Эти входы окон бывают четырех типов: 1) активный каталог монитор, 2) монитор принтера, 3) сетевой монитор и 4) монитор входов реестра.

13) Как Splunk позволяет избежать дублирования индексации журналов?

Splunk позволяет отслеживать индексированные события в каталоге рыбных ведер. Он содержит CRC и ищет указатели на файлы, которые вы индексируете, поэтому Splunk не может этого сделать, если он уже их прочитал.

14) Объясните сводные данные и модели данных.

Повороты используются для создания вида спереди вашего вывода, а затем выбора подходящего фильтра для лучшего просмотра этого вывода. Оба варианта выгодны для людей с полутехническим или нетехническим образованием. Модели данных чаще всего используются для создания иерархической модели данных. Однако его также можно использовать, когда у вас есть большой объем неструктурированных данных. Это поможет вам использовать эту информацию без использования сложных поисковых запросов.

15) Объясните фактор поиска и фактор репликации?

Коэффициент поиска определяет количество данных, поддерживаемых кластером индексатора. Он определяет количество доступных для поиска копий, доступных в корзине. Коэффициент репликации определяет количество копий, поддерживаемых кластером, а также количество копий, поддерживаемых каждым сайтом.

16) Для чего нужна команда поиска?

Команда поиска обычно используется, когда вы хотите получить некоторые поля из внешнего файла. Это помогает вам сузить результаты поиска, поскольку помогает ссылаться на поля во внешнем файле, которые соответствуют полям в данных вашего события.

17) Объясните поля по умолчанию для события в Splunk.

Существует 5 полей по умолчанию, которые имеют штрих-код для каждого события в Splunk. Это: 1) хост, 2) источник, 3) тип источника, 4) индекс и 5) временная метка.

18) Как извлечь поля?

Чтобы извлечь поля из боковой панели, списков событий или меню настроек с помощью пользовательского интерфейса. Другой способ извлечь поля в Splunk — записать регулярные выражения в файл конфигурации реквизита.

19) Что вы подразумеваете под сводным индексом?

Сводный индекс — это специальный индекс, в котором хранится результат, рассчитанный Splunk. Это быстрый и недорогой способ выполнить запрос за длительный период времени.

20) Как предотвратить индексацию событий Splunk?

Вы можете предотвратить индексацию события Splunk, исключив сообщения отладки, поместив их в нулевую очередь. Вам необходимо сохранить нулевую очередь в файле Transforms.conf на самом уровне сервера пересылки.

21) Определите подключение к базе данных Splunk.

Кокаин проходит SQL Плагин базы данных, который позволяет импортировать таблицы, строки и столбцы из базы данных, добавить базу данных. Splunk DB Connect помогает обеспечить надежную и масштабируемую интеграцию между базами данных и Splunk Enterprises.

22) Определите сегменты Splunk

Это каталог, используемый Splunk Enterprise для хранения данных и индексированных файлов. Эти индексные файлы содержат различные сегменты, управляемые по возрасту данных.

23) Какова функция Alert Manager?

Менеджер оповещений добавляет рабочий процесс в Splunk. Цель диспетчера оповещений — предоставить общее приложение с информационными панелями для поиска оповещений или событий.

24) Как устранить проблемы с производительностью Splunk?

Три способа устранения проблем с производительностью Splunk.

  • См. проблемы с производительностью сервера.
  • Посмотрите ошибки в splunkd.log.
  • Установите приложение Splunk и проверьте наличие предупреждений и ошибок на панели управления.

25) В чем разница между временем индексирования и временем поиска?

Индексное время — это период, когда данные потребляются, и момент, когда они записываются на диск. Время поиска занимает время, пока выполняется поиск, поскольку события формируются в результате поиска.

26) Как сбросить пароль администратора Splunk?

Чтобы сбросить пароль администратора, выполните следующие действия:

  1. Войдите на сервер, на котором установлен Splunk.
  2. Переименуйте файл паролей и снова запустите Splunk.
  3. После этого вы можете войти на сервер, используя имя пользователя администратора или администратора со сменой пароля.

27) Назовите команду, которая используется для категории «фильтрация результатов».

Для категории «результаты фильтрации» используются следующие команды: «где», «Сортировать», «рекс» и «поиск».

28) Перечислите различные типы лицензий Splunk.

Типы лицензий Splunk следующие:

  • Бесплатная лицензия
  • Бета-лицензия
  • Лицензия на поисковые головки
  • Лицензия участника кластера
  • Лицензия экспедитора
  • Корпоративная лицензия

29) Перечислите количество категорий команд SPL.

Команды SPL разделены на пять категорий: 1) Результаты фильтрации, 2) Результаты сортировки, 3) Результаты группировки фильтров, 4) Добавление полей и 5) Результаты отчетов.

30) Что такое команда eval?

Эта команда используется для вычисления выражения. Команда Eval оценивает логические выражения, строки и математические выражения. Вы можете использовать несколько выражений eval в одном поиске, используя запятую.

31) Назовите команды, которые включены в категорию результатов отчетности.

Ниже приведены команды, которые включены в категорию результатов отчетов:

  • Обычные детали
  • График
  • временная диаграмма
  • Рейтинг
  • Статистика

32) Что такое SOS?

Splunk on Splunk или SOS — это приложение Splunk, которое помогает анализировать и устранять проблемы с производительностью и проблемами среды Splunk.

33) Что такое команда замены?

Эта команда ищет и заменяет указанные значения полей значениями замены.

34) Назовите функции, которые недоступны в бесплатной версии Splunk?

В бесплатной версии Splunk отсутствуют следующие функции:

  • Распределенный поиск
  • Пересылка по HTTP или TCP
  • Гибкая статистика и отчетность с архитектурой реального времени
  • Предлагает возможности анализа, поиска и визуализации для расширения возможностей пользователей всех типов.
  • Повышайте рентабельность инвестиций быстрее

35) Что такое нулевая очередь?

Нулевая очередь — это подход к фильтрации нежелательных входящих событий, отправленных предприятием Splunk.

36) Объясните типы режимов поиска в Splunk?

Существует три типа поисковых модулей. Они есть:

  • Быстрый режим: увеличивает скорость поиска за счет ограничения данных поиска.
  • Подробный режим: этот режим возвращает все возможные поля и данные о событиях.
  • Интеллектуальный режим: это настройка по умолчанию в приложении Splunk. Интеллектуальный режим переключает поведение поиска на основе команд преобразования.

37) В чем основная разница между источником и типом источника?

Источник идентифицирует источник события, которое порождает конкретное событие, а тип источника определяет, как Splunk обрабатывает входящий поток данных в события в соответствии с его природой.

38) Что такое команда соединения?

Он используется для объединения результатов дополнительного поиска с результатами фактического поиска. Здесь поля должны быть общими для каждого набора результатов. Вы также можете объединить набор результатов поиска с самим собой, используя команду selfjoin в Splunk.

39) Как запустить и остановить службу Splunk?

Для запуска и остановки использования серверов Splunk можно использовать следующие команды:

./splunk start
./splunk stop

40) Где скачать Splunk Cloud?

Посетите вебсайт: https://www.splunk.com/ чтобы загрузить бесплатную пробную версию Splunk Cloud.

41) В чем разница между командой stats и timechart?

Параметр Статистика График времени
Цель Они используются для представления числовых данных в табличном формате. Временная диаграмма используется для представления результатов поиска в графическом виде.
Использование полей Статистика может использовать более одного поля. Он использует _time в качестве поля по умолчанию на графике.

42) Определите сервер развертывания

Сервер развертывания — это экземпляр Splunk, который действует как централизованный менеджер конфигурации. Он используется для развертывания конфигурации на других экземплярах Splunk.

43) Что такое свойство часового пояса в Splunk?

Свойство часового пояса предоставляет выходные данные для определенного часового пояса. Splunk использует часовой пояс по умолчанию из настроек браузера. Браузер берет текущий часовой пояс из компьютерной системы, которая используется в данный момент. Splunk использует этот часовой пояс, когда пользователи ищут и сопоставляют большие объемы данных, поступающих из других источников.

44) Что такое подключение звукового устройства Splunk?

Splunk sound unit — это плагин, который позволяет добавлять информационные данные в отчеты Splunk. Это помогает обеспечить надежную и простую интеграцию между соответствующими базами данных и предприятиями Splunk.

45) Как установить Форвардер удаленно?

Вы можете использовать скрипт bash для удаленной установки сервера пересылки.

46) Для чего нужен сервер системного журнала?

Сервер системного журнала используется для сбора данных с различных устройств, таких как маршрутизаторы и коммутаторы, а также журналов приложений с веб-сервера. Вы можете использовать команду R syslog или syslog NG для настройки сервера системного журнала.

47) Как следить за экспедиторами?

Используйте вкладку серверов пересылки, доступную в DMC (консоли распределенного управления), чтобы отслеживать состояние серверов пересылки и сервера развертывания для управления ими.

48) Для чего нужен Splunk btool?

Это инструмент командной строки, предназначенный для решения проблем, связанных с конфигурацией.

49) Назовите альтернативы Splunk

Некоторые альтернативы Splunk:

  • Логика сумо
  • Логлогика
  • Логги
  • Logstash

50) Что такое магазин KV в Splunk?

Ключ-значение (KV) позволяет хранить и получать данные внутри Splunk. КВ также поможет вам:

  • Управлять очередью заданий
  • Хранить метаданные
  • Изучите рабочий процесс

51) Что вы подразумеваете под развертыванием в Splunk?

Deployer — это корпоративная программа Splunk, которая используется для развертывания приложений в головке кластера. Его также можно использовать для настройки информации для приложения и пользователя.

52) Когда использовать auto_high_volume в Splunk?

Он используется, когда индексы имеют большой объем, т. е. 10 ГБ данных.

53) Что такое команда статистики?

Это команда Splunk, которая используется для упорядочивания данных отчета в табличном формате.

54) Что такое команда регулярного выражения?

Команда Regex удаляет результаты, которые не соответствуют желаемому регулярному выражению.

55) Что такое команда поиска ввода?

Эта команда Splunk возвращает таблицу поиска в результатах поиска.

56) Что такое команда поиска вывода?

Выходная команда поиска ищет результат в справочной таблице на жестком диске.

57) Перечислите различные этапы жизненного цикла ведра.

Этапы жизненного цикла корзины следующие:

  • Популярные
  • Тёплые
  • холодная
  • Frozen
  • Размороженный

58) Назовите этапы индексатора Splunk.

Этапы индексатора Splunk:

  • вход
  • анализ
  • Индексирование
  • Поиск

59) Объясните разницу между Splunk и Spark.

Параметр Splunk Искриться
Цель Соберите большой объем компьютерных данных. Используется для обработки больших данных.
Предпочтение Может быть легко интегрирован с Hadoop Он более предпочтителен и может использоваться с проектами Apache.
режим Потоковый режим Потоковое, а также пакетный режим

60) Объясните, как работает Splunk?

Splunk работает в три этапа:

  • Первый этап: генерирует данные и решает запросы из различных источников.
  • Второй этап: он использует данные для решения запроса.
  • Третий этап: ответы отображаются в виде графика, отчета или диаграммы, понятных аудитории.

61) Какие три версии есть у Splunk?

Splunk доступен в трех разных версиях. Это следующие версии: 1) Splunk Enterprise, 2) Splunk Light, 3) Splunk Cloud.

  • Компания Спланк: Редакцию Splunk Enterprise используют многие ИТ-организации. Это помогает вам анализировать данные с различных веб-сайтов и приложений.
  • Спланк-облако: Splunk Cloud — это SaaS (программное обеспечение как услуга). Он предлагает почти те же функции, что и корпоративная версия, включая API, SDK и приложения.
  • Спланк свет: Splunk Light — бесплатная версия, которая позволяет создавать отчеты, искать и редактировать данные журнала. Облегченная версия Splunk имеет ограниченные функциональные возможности и возможности по сравнению с другими версиями.

62) Назовите компании, которые используют Splunk.

Известные компании, использующие инструмент Splunk:

  • Cisco
  • Facebook
  • Bosch
  • саман
  • IBM
  • Walmart
  • Salesforce

63) Что такое СЛП?

Язык обработки поиска или SLP — это язык, который содержит функции, команды и аргументы. Он используется для получения желаемого результата из базы данных.

64) Определить мониторинг в Splunk

Мониторинг — это термин, относящийся к отчетам, которые вы можете отслеживать визуально.

65) Назовите область, в которой могут использоваться объекты знаний.

Ниже приведены несколько областей, в которых могут использоваться объекты знаний:

  • Мониторинг приложений
  • Управление сотрудниками
  • Физическая охрана
  • Сетевая безопасность

66) Сколько ролей в Splunk?

В Splunk есть три роли: 1) администратор, 2) полномочия и 3) пользователь.

67) Являются ли поисковые запросы в Splunk чувствительными к регистру?

Нет, условия поиска в Splunk не чувствительны к регистру.

68) Можно ли использовать результаты поиска для изменения существующего поиска?

Да, результаты поиска можно использовать для внесения изменений в существующий поиск.

69) Перечислите варианты макета для результатов поиска.

Ниже приведены несколько вариантов макета результатов поиска:

  • Список
  • Таблица
  • Сырье

70) В каких форматах можно экспортировать результаты поиска?

Результаты поиска можно экспортировать в JSON, CSV, XML и PDF.

71) Объясните типы логических операторов в Splunk.

Splunk поддерживает три типа логических операторов; они есть:

  • А ТАКЖЕ: Оно подразумевается между двумя терминами, поэтому писать его не нужно.
  • ИЛИ: Он определяет, что любой из двух аргументов должен быть истинным.
  • ПРИМЕЧАНИЕ: используется для фильтрации событий, содержащих определенное слово.

72) Объясните использование команды top в Splunk.

Верхняя команда используется для отображения общих значений поля с их процентами и количеством.

73) Для чего нужна команда статистики?

Он вычисляет совокупную статистику по набору данных, такую ​​как количество, сумма и среднее значение.

74) Какие типы оповещений есть в Splunk?

В Splunk доступны в основном три типа оповещений:

  • Запланированное оповещение: Это предупреждение, основанное на историческом поиске. Он запускается периодически по установленному расписанию.
  • Оповещение о результате: Это оповещение основано на поиске в реальном времени, который выполняется в течение всего времени.
  • Оповещение о вращающемся окне: Оповещение, основанное на поиске в реальном времени. Этот поиск настроен на выполнение в течение определенного временного окна, которое вы определяете.

75) Перечислите различные типы информационных панелей Splunk.

  • Динамические информационные панели на основе форм
  • Панели мониторинга в виде запланированных отчетов
  • Панели мониторинга в реальном времени

76) Для чего нужны теги в Splunk?

Они используются для присвоения имен определенным парам полей и значений. В поле могут быть указаны тип события, источник, тип источника и хост.

77) Как увеличить размер хранилища данных Splunk?

Чтобы увеличить размер хранилища данных, вы можете либо добавить больше места для индексации, либо добавить больше индексаторов.

78) Различайте приложения Splunk и надстройки.

Есть только одно различие между приложениями Splunk и надстройками: приложения Splunk содержат встроенные отчеты, конфигурации и информационные панели. Однако надстройки Splunk содержат только встроенные конфигурации и не содержат информационных панелей или отчетов.

79) Определить каталог отправки в Splunk?

В каталоге отправки хранится статус, например, выполняется или завершено.

80) В чем основная разница между командами stats и eventstats?

Команда Stats предоставляет сводную статистику существующих полей, доступных в результатах поиска, а затем сохраняет ее как значения в новых полях. С другой стороны, в команде eventstats результаты агрегации добавляются так, что каждое событие применяется только в том случае, если агрегация применима к этому конкретному событию.

81) Что вы подразумеваете под типом источника в Splunk?

Поле источника — это поле по умолчанию, в котором находит структура данных события. Он определяет, как Splunk форматирует данные во время индексации.

82) Определить вычисляемые поля?

Вычисляемые поля — это поля, которые выполняют расчет значений двух полей, доступных в конкретном событии.

83) Перечислите некоторые команды поиска Splunk.

Ниже приведены некоторые команды поиска, доступные в Splunk:

  • Резюме
  • Erex
  • Итого
  • Аккум
  • Заполнение
  • Typer
  • Переименовывать
  • аномалии

84) Что делает команда xyseries?

Команда xyseries преобразует результаты поиска в формат, подходящий для построения графиков.

85) Для чего нужна команда spath?

Команда spath используется для извлечения полей из форматов структурированных данных, таких как JSON и XML.

86) Как добавить сводную статистику ко всем результатам в потоковом виде?

Чтобы добавить сводную статистику в результаты, вы можете использоватьstreamstats.

87) Где создавать объекты знаний, информационные панели и отчеты?

Вы можете создавать знания, объекты, отчеты и информационные панели в приложении для отчетов и поиска.

88) Что такое команда стола?

Эта команда возвращает все поля таблицы в списке аргументов.

89) Как удалить повторяющиеся события, имеющие общие значения?

Используйте команду дедупликации для удаления повторяющихся событий, имеющих общие значения.

90) В чем основная разница между сортировкой + и сортировкой -?

  • sort + отображает поиск по возрастанию
  • sort – отображает поиск в порядке убывания.

91) Определить отчеты в Splunk

Это результаты, сохраненные в результате действия поиска, которые показывают визуализацию и статистику конкретного события.

92) Определить панель мониторинга в Splunk

Панель мониторинга определяется как набор представлений, состоящих из различных панелей.

93) Какая польза от мгновенного поворота в Splunk?

Он используется для работы с данными без создания какой-либо модели данных. Мгновенный поворот доступен всем пользователям.

94) Как можно использовать значение хоста, а не IP-адрес или DNS-имя для ввода TCP?

В разделе входного файла конфигурации установите для параметра Connection_host значение none и укажите значение хоста.

95) Какова полная форма LDAP?

LDAP означает облегченный протокол доступа к каталогам.

96) Определить пул поисковых голов

Это группа серверов, связанных друг с другом. Эти серверы используются для обмена конфигурацией, пользовательскими данными и нагрузкой.

97) Определить кластеризацию поисковых головок

Это группа руководителей корпоративного поиска Splunk, которая служит центральным ресурсом для поиска.

98) Какова полная форма REST?

Аббревиатура REST — передача представительского состояния.

99) Объясните Splunk SDK

SDK Splunk написаны на основе API REST Splunk. SDK поддерживает следующие языки: 1) Java, 2) Python, 3) JavaScript и 4) C#.

100) Объясните Splunk REST API

Splunk REST API предлагает различные процессы для доступа к каждой функции, доступной в продукте. Ваша программа взаимодействует со Splunk Enterprise с помощью HTTP или HTTPS. Он использует те же протоколы, которые использует любой веб-браузер для взаимодействия с веб-страницами.

101) Что такое модель данных ускорения безопасности в Splunk?

Splunk Enterprise Security ускоряет модель данных, предоставляет панель, информационную панель и результаты корреляционного поиска. Он использует индексаторы для обработки и хранения. Ускоренные данные по умолчанию хранятся внутри каждого индекса.

102) Объясните, как индексатор хранит различные индексы?

Индексаторы создают различные файлы, которые содержат два типа данных: 1) необработанные данные и 2) индексный файл метаданных. Оба этих файла используются для формирования корпоративного индекса Splunk.

Эти вопросы для собеседования также помогут вам в устной речи.

Поделиться

Вы могли бы:

4 комментариев

  1. Аватара Бринда говорит:

    Спасибо за ваши вопросы для интервью. Это очень полезно для меня перед тренировкой и легко понять. Спасибо.

    Ответить
  3. Аватара Прадип говорит:

    Огромные усилия, очень ценю 👍😊

    Ответить

Оставьте комментарий

Ваш электронный адрес не будет опубликован. Обязательные поля помечены * *