Topp 100 Splunk-intervjufrågor och svar (2025)

Här är Splunk-intervjufrågor och svar för nyblivna såväl som erfarna kandidater för att få sitt drömjobb.


1) Definiera Splunk

Det är en mjukvaruteknik som används för att söka, visualisera och övervaka maskingenererad big data. Den övervakar och olika typer av loggfiler och lagrar data i Indexers.

Gratis PDF-nedladdning: Splunk-intervjufrågor och svar


2) Lista över vanliga portar som används av Splunk.

Vanliga portar som används av Splunk är följande:

  • Webbport: 8000
  • Management Port: 8089
  • Nätverksport: 514
  • Indexreplikeringsport: 8080
  • Indexeringsport: 9997
  • KV butik: 8191

3) Förklara Splunk-komponenter

De grundläggande komponenterna i Splunk är:

  • Universal forward: Det är en lätt komponent som infogar data till Splunk forwarder.
  • Tung framåt: Det är en tung komponent som låter dig filtrera den data som krävs.
  • Sökhuvud: Denna komponent används för att skaffa intelligens och utföra rapportering.
  • Licenshanterare: Licensen baseras på volym och användning. Det låter dig använda 50 GB per dag. Splunk kontrollerar regelbundet licensdetaljerna.
  • Load Balancer: Förutom funktionaliteten hos standard Splunk loader, låter den dig också använda din personliga lastbalanserare.

4) Vad menar du med Splunk indexer?

Det är en komponent i Splunk Enterprise som skapar och hanterar index. De primära funktionerna för en indexerare är 1) Indexering av rådata till ett index och 2) Sök och hantera Indexerad data.


5) Vilka är nackdelarna med att använda Splunk?

Några nackdelar med att använda Splunk-verktyget är:

  • Splunk kan visa sig vara dyrt för stora datavolymer.
  • Instrumentpaneler är funktionella men inte lika effektiva som vissa andra övervakningsverktyg.
  • Dess inlärningskurva är stel, och du behöver Splunk-träning eftersom det är en arkitektur med flera nivåer. Så du måste spendera mycket tid för att lära dig det här verktyget.
  • Sökningar är svåra att förstå, särskilt reguljära uttryck och söksyntax.
Splunk intervjufrågor
Splunk intervjufrågor

6) Vilka är fördelarna med att få in data i en Splunk-instans med hjälp av speditörer?

Fördelarna med att få in data till Splunk via speditörer är TCP-anslutning, bandbreddsbegränsning och säker SSL-anslutning för överföring av avgörande data från en speditör till en indexerare.


7) Vilken betydelse har licensmaster i Splunk?

Licensmaster i Splunk säkerställer att rätt mängd data indexeras. Det säkerställer att miljön håller sig inom gränserna för den köpta volymen eftersom Splunk-licensen beror på datavolymen, som kommer till plattformen inom ett 24-timmarsfönster.


8) Nämn några viktiga konfigurationsfiler för Splunk

Vanliga Splunk-konfigurationsfiler är:

  • Inmatningsfil
  • Förvandlar fil
  • Serverfil
  • Indexerar fil
  • Rekvisita fil

9) Förklara licensbrott i Splunk.

Det är ett varningsfel som uppstår när du överskrider datagränsen. Detta varningsfel kommer att kvarstå i 14 dagar. I en kommersiell licens kan du få 5 varningar inom ett rullande fönster på en månad innan dina Indexer-sökresultat och rapporter slutar triggas. Men i en gratisversion visar varning för licensöverträdelse endast 1 varningar.

Splunk intervjufrågor
Splunk intervjufrågor

10) Vad är användningen av Splunk alert?

Varningar kan användas när du måste övervaka och svara på specifika händelser. Till exempel att skicka ett e-postmeddelande till användaren när det finns fler än tre misslyckade inloggningsförsök under en 24-timmarsperiod.


11) Förklara kartreduceringsalgoritmen

Map-reduce-algoritmen är en teknik som används av Splunk för att öka datasökningshastigheten. Den är inspirerad av två funktionella programmeringsfunktioner 1) reducera () 2) map(). Här är map()-funktionen associerad med Mapper-klassen och reduce()-funktionen är associerad med en Reducer-klass.


12) Förklara olika typer av datainmatningar i Splunk?

Följande är olika typer av datainmatningar i Splunk:

  • Använder filer och kataloger som indata
  • Konfigurera nätverksportar för att ta emot ingångar automatiskt
  • Lägg till Windows-ingångar. Dessa Windows-ingångar är av fyra typer: 1) aktiv katalog monitor, 2) skrivarmonitor, 3) nätverksmonitor och 4) registerinmatningsövervakare.

13) Hur undviker Splunk duplicerad loggindexering?

Splunk låter dig hålla reda på indexerade händelser i en fiskhinkkatalog. Den innehåller CRC:er och söker pekare för filerna du indexerar, så Splunk kan inte om den redan har läst dem.


14) Förklara pivot- och datamodeller.

Pivoter används för att skapa frontvyer av din utdata och sedan välja rätt filter för en bättre bild av denna utdata. Båda alternativen är fördelaktiga för personer med en semi-teknisk eller icke-teknisk bakgrund. Datamodeller används oftast för att skapa en hierarkisk modell av data. Det kan dock också användas när du har en stor mängd ostrukturerad data. Det hjälper dig att använda den informationen utan att använda komplicerade sökfrågor.


15) Förklara sökfaktor och replikeringsfaktor?

Sökfaktor bestämmer antalet data som underhålls av indexeringsklustret. Det bestämmer antalet sökbara kopior som är tillgängliga i hinken. Replikeringsfaktorn bestämmer antalet kopior som underhålls av klustret samt antalet kopior som varje plats underhåller.


16) Vad är användningen av uppslagskommandot?

Uppslagskommandot används vanligtvis när du vill hämta några fält från en extern fil. Det hjälper dig att begränsa sökresultaten eftersom det hjälper dig att referera till fält i en extern fil som matchar fält i din händelsedata.


17) Förklara standardfält för en händelse i Splunk

Det finns 5 standardfält som är streckkodade med varje händelse i Splunk. De är: 1) värd, 2) källa, 3) källtyp, 4) index och 5) tidsstämpel.


18) Hur kan du extrahera fält?

För att extrahera fält från antingen sidofältet, händelselistor eller inställningsmenyn med UI. Ett annat sätt att extrahera fält i Splunk är att skriva dina reguljära uttryck i en rekvisitakonfigurationsfil.


19) Vad menar du med sammanfattande index?

Ett sammanfattande index är ett speciellt index som lagrar det resultatet beräknat av Splunk. Det är ett snabbt och billigt sätt att köra en fråga under en längre tidsperiod.


20) Hur förhindrar man att händelser indexeras av Splunk?

Du kan förhindra att händelsen indexeras av Splunk genom att utesluta felsökningsmeddelanden genom att lägga dem i nollkön. Du måste hålla nollkön i filen transforms.conf på själva vidarebefordrarnivån.


21) Definiera Splunk DB connect

Det är ett SQL databasplugin som gör det möjligt att importera tabeller, rader och kolumner från en databas lägga till databasen. Splunk DB connect hjälper till att tillhandahålla pålitlig och skalbar integration mellan databaser och Splunk Enterprises.


22) Definiera Splunk hinkar

Det är katalogen som används av Splunk enterprise för att lagra data och indexerade filer i data. Dessa indexfiler innehåller olika segment som hanteras av uppgifternas ålder.


23) Vilken funktion har Alert Manager?

Varningshanteraren lägger till arbetsflöde till Splunk. Syftet med alert manager o tillhandahåller en gemensam app med instrumentpaneler för att söka efter varningar eller händelser.


24) Hur kan du felsöka Splunk-prestandaproblem?

Tre sätt att felsöka Splunk-prestandaproblem.

  • Se problem med serverprestanda.
  • Se för fel i splunkd.log.
  • Installera Splunk-appen och kolla efter varningar och fel i instrumentpanelen.

25) Vad är skillnaden mellan indextid och söktid?

Indextid är en period då data konsumeras och punkten när den skrivs till disk. Söktiden äger rum medan sökningen körs eftersom händelser komponeras av sökningen.


26) Hur återställer jag Splunks administratörslösenord?

Utför följande steg för att återställa administratörslösenordet:

  1. Logga in på servern som Splunk är installerad på
  2. Byt namn på lösenordsfilen och starta sedan Splunken igen.
  3. Efter detta kan du logga in på servern genom att använda användarnamnet antingen administratör eller admin med ett lösenordsbyte.

27) Namnge kommandot som används till kategorin "filtreringsresultat".

Kommandot som används för kategorin "filtreringsresultat" är: "var", "Sortera", "rex" och "sök".


28) Lista över olika typer av Splunk-licenser

Typerna av Splunk-licenser är följande:

  • Gratis licens
  • Beta-licens
  • Sökhuvud-licens
  • Klustermedlemslicens
  • Speditörlicens
  • Företagslicens

29) Lista ut antalet kategorier av SPL-kommandon.

SPL-kommandona klassificeras i fem kategorier: 1) Filtrera resultat, 2) Sortera resultat, 3) Filtrera grupperingsresultat, 4) Lägga till fält och 5) Rapportera resultat.


30) Vad är eval-kommando?

Detta kommando används för att beräkna ett uttryck. Eval-kommandot utvärderar booleska uttryck, strängar och matematiska artikulationer. Du kan använda flera eval-uttryck i en enda sökning med kommatecken.


31) Namnkommandon som ingår i kategorin rapporteringsresultat

Följande är kommandona som ingår i kategorin rapporteringsresultat:

  • Sällsynta
  • Diagram
  • tidsdiagram
  • ★★★★
  • stats

32) Vad är SOS?

Splunk på Splunk eller SOS är en Splunk-app som hjälper dig att analysera och felsöka Splunk-miljöprestanda och problem.


33) Vad är ett ersätt-kommando?

Detta kommando söker efter och ersätter specificerade fältvärden med ersättningsvärden.


34) Namnge funktioner som inte är tillgängliga i Splunk gratisversion?

Splunk gratisversion saknar följande funktioner:

  • Distribuerad sökning
  • Vidarebefordran i HTTP eller TCP
  • Agil statistik och rapportering med realtidsarkitektur
  • Erbjuder analys-, söknings- och visualiseringsfunktioner för att ge användare av alla slag.
  • Generera ROI snabbare

35) Vad är en nollkö?

En nollkö är ett sätt att filtrera bort oönskade inkommande händelser som skickas av Splunk Enterprise.


36) Förklara typer av söklägen i Splunk?

Det finns tre typer av sökmoduler. De är:

  • Snabbläge: Det ökar sökhastigheten genom att begränsa sökdata.
  • Utförligt läge: Detta läge returnerar alla möjliga fält och händelsedata.
  • Smart läge: Det är en standardinställning i en Splunk-app. Smart läge växlar sökbeteendet baserat på transformerande kommandon.

37) Vad är den största skillnaden mellan källa och källtyp

Källan identifierar som en källa till händelsen som en viss händelse har sitt ursprung, medan källtypen bestämmer hur Splunk bearbetar den inkommande dataströmmen till händelser enligt dess natur.


38) Vad är ett join-kommando?

Den används för att kombinera resultaten av en undersökning med resultaten av den faktiska sökningen. Här måste fälten vara gemensamma för varje resultatuppsättning. Du kan också kombinera en sökuppsättning med resultat till sig själv med kommandot selfjoin i Splunk.


39) Hur startar och stoppar Splunk-tjänsten?

För att starta och stoppa Splunk-serien kan du använda följande kommandon:

./splunk start
./splunk stop

40) Var kan man ladda ner Splunk Cloud?

Besök hemsida: https://www.splunk.com/ för att ladda ner en gratis provversion av Splunk Cloud.


41) Vad är skillnaden mellan statistik och tidsdiagramkommando?

Parameter stats Tidsdiagram
Syfte De används för att representera numeriska data i tabellformat. Timechart används för att representera sökresultat i en grafisk vy.
Fältanvändning Statistik kan använda mer än ett fält. Den använder _time som standardfält i grafen.

42) Definiera distributionsserver

Distributionsservern är en Splunk-instans som fungerar som en centraliserad konfigurationshanterare. Den används för att distribuera konfigurationen till andra Splunk-instanser.


43) Vad är tidszonfastighet i Splunk?

Tidszonsegenskapen ger utdata för en specifik tidszon. Splunk tar standardtidszonen från webbläsarinställningarna. Webbläsaren hämtar den aktuella tidszonen från datorsystemet som för närvarande används. Splunk tar den tidszonen när användare söker och korrelerar massdata som kommer från andra källor.


44) Vad är Splunk sound unit connect?

Splunk ljudenhet är ett plugin som gör det möjligt att lägga till infodata med Splunk-rapporter. Det hjälper till att tillhandahålla pålitlig och uppstigbar integration mellan relativa databaser och Splunk-företag.


45) Hur installerar man speditören på distans?

Du kan använda ett bash-skript för att installera forwarder på distans.


46) Vad är användningen av syslog-servern?

Syslog-servern används för att samla in data från olika enheter som routrar och switchar och applikationsloggar från webbservern. Du kan använda kommandot R syslog eller syslog NG för att konfigurera en Syslog-server.


47) Hur övervakar man speditörer?

Använd vidarebefordrarfliken på DMC (Distributed Management Console) för att övervaka statusen för vidarebefordrare och distributionsservern för att hantera dem.


48) Vad är användningen av Splunk btool?

Det är ett kommandoradsverktyg som är utformat för att lösa konfigurationsrelaterade problem.


49) Nämn Splunk-alternativ

Några Splunk-alternativ är:

  • Sumo logik
  • Logik
  • Loggy
  • Logstash

50) Vad är KV butik i Splunk?

Key Value(KV) gör det möjligt att lagra och hämta data inuti Splunk. KV hjälper dig också att:

  • Hantera jobbkö
  • Lagra metadata
  • Undersök arbetsflödet

51) Vad menar du med deployer i Splunk?

Deployer är ett Splunk-företagsinstant som används för att distribuera appar till klusterhuvudet. Den kan också användas för att konfigurera information för app och användare.


52) När ska man använda auto_high_volume i Splunk?

Det används när indexen är av hög volym, dvs 10 GB data.


53) Vad är ett stat-kommando?

Det är ett Splunk-kommando som används för att ordna rapportdata i tabellformat.


54) Vad är ett regex-kommando?

Regex-kommandot tar bort resultat som inte matchar önskat reguljärt uttryck.


55) Vad är input lookup-kommando?

Detta Splunk-kommando returnerar en uppslagstabell i sökresultatet.


56) Vad är kommandot för output lookup?

Output lookup-kommandot söker i resultatet efter en uppslagstabell på hårddisken.


57) Lista över olika stadier av skopans livscykel

Stadier av skopans livscykel är följande:

  • Varm
  • Varm
  • Förkylning
  • Frystes
  • tinade

58) Namnge stadier av Splunk indexer

Stadier av Splunk indexer är:

  • Ingång
  • parsing
  • Indexering
  • Söka

59) Förklara skillnaden mellan Splunk och Spark

Parameter Splunk Gnista
Syfte Samla in en stor mängd datorgenererad data. Används för bearbetning av big data
Företräde Kan enkelt integreras med Hadoop Det är mer föredraget och kan användas med apache-projekt.
Mode Strömningsläge Streaming såväl som batch-läge

60) Förklara hur Splunk fungerar?

Det finns tre faser där Splunk fungerar:

  • Den första fasen: Den genererar data och löser frågor från olika källor.
  • Den andra fasen: Den använder data för att lösa frågan.
  • Tredje fasen: den visar svaren via diagram, rapport eller diagram som förstås av publiken.

61) Vilka är tre versioner om Splunk?

Splunk finns i tre olika versioner. Dessa versioner är 1) Splunk enterprise, 2) Splunk light, 3) Splunk cloud.

  • Splunk företag: Splunk Enterprise Edition används av många IT-organisationer. Det hjälper dig att analysera data från olika webbplatser och applikationer.
  • Splunk moln: Splunk Cloud är en SaaS (Software as a Service) Den erbjuder nästan liknande funktioner som företagsversionen, inklusive API:er, SDK:er och appar.
  • Splunk ljus: Splunk light är en gratisversion som gör det möjligt att göra en rapport, söka och redigera dina loggdata. Splunk light-versionen har begränsade funktioner och funktioner jämfört med andra versioner.

62) Nämn företag som använder Splunk

Välkända företag som använder Splunk-verktyget är:

  • Cisco
  • Facebook
  • Bosch
  • Adobe
  • IBM
  • Walmart
  • Salesforce

63) Vad är SLP?

Search Processing Language eller SLP är ett språk som innehåller funktioner, kommandon och argument. Den används för att få önskad utdata från databasen.


64) Definiera övervakning i Splunk

Övervakning är en term relaterad till rapporter som du visuellt kan övervaka.


65) Namnge den domän där kunskapsobjekt kan användas

Följande är några domäner där kunskapsobjekt kan användas:

  • Applikationsövervakning
  • Medarbetarledning
  • Fysisk säkerhet
  • Nätverkssäkerhet

66) Hur många roller finns det i Splunk?

Det finns tre roller i Splunk: 1) Admin, 2) Power och 3) Användare.


67) Är söktermer i Splunk skiftlägeskänsliga?

Nej, söktermer i Splunk är inte skiftlägeskänsliga.


68) Kan sökresultat användas för att ändra den befintliga sökningen?

Ja, sökresultatet kan användas för att göra ändringar i en befintlig sökning.


69) Lista över layoutalternativ för sökresultat.

Följande är några layoutalternativ för sökresultat:

  • Lista
  • Bord
  • Raw

70) I vilka format ska sökresultat exporteras?

Sökresultatet kan exporteras till JSON, CSV, XML och PDF.


71) Förklara typer av booleska operatorer i Splunk.

Splunk stöder tre typer av booleska operatorer; de är:

  • OCH: Det är underförstått mellan två termer, så du behöver inte skriva det.
  • ELLER: Det avgör att något av de två argumenten ska vara sant.
  • OBS! används för att filtrera bort händelser som har ett specifikt ord.

72) Förklara användningen av toppkommando i Splunk

Det översta kommandot används för att visa de vanliga värdena för ett fält, med deras procent och antal.


73) Vad är användningen av statskommando?

Den beräknar aggregerad statistik över en datauppsättning, såsom antal, summa och medelvärde.


74) Vilka typer av varningar finns i Splunk?

Det finns huvudsakligen tre typer av varningar tillgängliga i Splunk:

  • Schemalagd varning: Det är en varning som är baserad på en historisk sökning. Den körs med jämna mellanrum med ett fast schema.
  • Varning per resultat: Denna varning är baserad på en realtidssökning som körs över hela tiden.
  • Rullande fönstervarning: En varning som är baserad på realtidssökning. Denna sökning är inställd att köras inom ett specifikt rullande tidsfönster som du definierar.

75) Lista olika typer av Splunk-dashboards.

  • Dynamiska formulärbaserade instrumentpaneler
  • Dashboards som schemalagda rapporter
  • Instrumentpaneler i realtid

76) Vad är användningen av taggar i Splunk?

De används för att tilldela namn till specifika arkiverade och värdepar. Den arkiverade kan vara händelsetyp, källa, källtyp och värd.


77) Hur ökar man storleken på Splunk-datalagring?

För att öka storleken på datalagringen kan du antingen lägga till mer utrymme för att indexera eller lägga till fler indexerare.


78) Skilj mellan Splunk-appar och tillägg

Det finns bara en skillnad mellan Splunk-appar och tillägg som är Splunk-appar som innehåller inbyggda rapporter, konfigurationer och instrumentpaneler. Splunk-tillägg innehåller dock bara inbyggda konfigurationer, de innehåller inte instrumentpaneler eller rapporter.


79) Definiera leveranskatalog i Splunk?

Dispatch-katalogen lagrar status som körs eller slutförts.


80) Vad är den primära skillnaden mellan statistik och eventstats-kommandon

Kommandot Stats tillhandahåller sammanfattande statistik över befintliga fält som är tillgängliga i sökresultat och lagrar dem sedan som värden i nya fält. Å andra sidan, i eventstats kommando aggregering resultat läggs till så att varje händelse endast om aggregeringen gäller den specifika händelsen.


81) Vad menar du med källtyp i Splunk?

Källfält är ett standardfält som hittar datastruktur av en händelse. Det bestämmer hur Splunk formaterar data under indexering.


82) Definiera beräknade fält?

Beräknade fält är de fält som utför beräkningen av värdena för två fält som är tillgängliga i en specifik händelse.


83) Lista upp några Splunk-sökkommandon

Följande är några sökkommandon tillgängliga i Splunk:

  • Abstrakt
  • Erex
  • Lägg till totalt
  • Ackum
  • Fyll ner
  • Typer
  • Byt namn
  • anomalier

84) Vad gör kommandot xyseries?

xyseries-kommandot konverterar sökresultaten till ett format som är lämpligt för grafer.


85) Vad är användningen av spath-kommando?

spath-kommandot används för att extrahera fält från strukturerade dataformat som JSON och XML.


86) Hur lägger man till sammanfattande statistik till alla resultat på ett strömmande sätt?

För att lägga till sammanfattande statistik i resultat kan du använda streamstats.


87) Var skapar man kunskapsobjekt, instrumentpaneler och rapporter?

Du kan skapa kunskap, objekt, rapporter och instrumentpaneler i rapporterings- och sökappen.


88) Vad är tabellkommando?

Detta kommando returnerar alla tabellfält i argumentlistan.


89) Hur tar man bort dubbletter av händelser med gemensamma värden?

Använd kommandot dedup för att ta bort dubbletter av händelser med gemensamma värden.


90) Vad är den största skillnaden mellan sortera + och sortera -?

  • sortera + visar sökning i stigande ordning
  • sortera – visar sökning i fallande ordning.

91) Definiera rapporter i Splunk

De är resultat som sparats från en sökåtgärd som visar visualiseringen och statistiken för en viss händelse.


92) Definiera instrumentpanelen i Splunk

Instrumentpanelen definieras som en samling vyer som är gjorda av olika paneler.


93) Vad är användningen av instant pivot i Splunk?

Den används för att arbeta med data utan att skapa någon datamodell. Omedelbar pivot är tillgängligt för alla användare.


94) Hur är det möjligt att använda värdvärdet och inte IP-adressen eller DNS-namnet för en TCP-ingång?

Under strofen i ingångskonfigurationsfilen ställer du in connection_host till ingen och nämner värdvärdet.


95) Vad är den fullständiga formen av LDAP?

LDAP står för Lightweight Directory Access Protocol


96) Definiera sökhuvudpoolning

Det är en grupp servrar som är kopplade till varandra. Dessa servrar används för att dela konfiguration, användardata och laddning.


97) Definiera sökhuvudklustring

Det är en grupp av Splunk företagssökhuvuden som fungerar som en central resurs för sökning.


98) Vad är den fullständiga formen av REST?

Förkortningen av REST är Representational State Transfer


99) Förklara Splunk SDK:er

Splunk SDK:er är skrivna på basen av Splunk REST API:er. Olika språk som stöds av SDK:er är: 1) Java, 2) Python, 3) JavaScript och 4) C#.


100) Förklara Splunk REST API

Splunk REST API erbjuder olika processer för att komma åt alla funktioner som finns i produkten. Ditt program kommunicerar med Splunk-företaget med hjälp av HTTP eller HTTPS. Den använder samma protokoll som alla webbläsare använder för att interagera med webbsidor.


101) Vad är en säkerhetsaccelerationsdatamodell i Splunk?

Splunk Enterprise Security accelererar datamodell ger en panel, instrumentpanel och korrelationssökresultat. Den använder indexerare för bearbetning och lagring. Den accelererade data lagras i varje index som standard.


102) Förklara hur indexeraren lagrar olika index?

Indexerare skapar olika filer som innehåller två typer av data: 1) rådata och 2) metadataindexfil. Båda dessa filer används för att utgöra Splunk företagsindex.

Dessa intervjufrågor kommer också att hjälpa dig i din viva (orals)

Dela

4 Kommentarer

  1. Avatar Brindha säger:

    Tack för dina fina intervjufrågor. Det är mycket användbart för mig innan träning och lätt att förstå. Tack.

  2. Avatar Pradeep säger:

    Stor insats mycket uppskattad 👍😊

Kommentera uppropet

E-postadressen publiceras inte. Obligatoriska fält är markerade *