102 найкращих запитань і відповідей на інтерв’ю Splunk (2025)

Рене ОлександрByРене Олександр Годин Останнє оновлення

Ось питання та відповіді на співбесіді Splunk для новачків, а також для досвідчених кандидатів, щоб отримати роботу своєї мрії.

1) Визначте Splunk

Це програмна технологія, яка використовується для пошуку, візуалізації та моніторингу машинно-генерованих великих даних. Він відстежує різні типи файлів журналів і зберігає дані в індексаторах.

Безкоштовне завантаження у форматі PDF: Splunk Interview Questions and Answers

2) Перелічіть загальні порти, які використовує Splunk.

Загальні порти, які використовує Splunk:

  • Веб-порт: 8000
  • Порт керування: 8089
  • Мережевий порт: 514
  • Порт реплікації індексу: 8080
  • Порт індексації: 9997
  • Магазин КВ: 8191

3) Поясніть компоненти Splunk

Основними компонентами Splunk є:

  • Універсальне пересилання: це легкий компонент, який вставляє дані в Splunk Forwarder.
  • Heavy forward: це важкий компонент, який дозволяє фільтрувати необхідні дані.
  • Пошукова головка: цей компонент використовується для отримання інформації та створення звітів.
  • Менеджер ліцензій: ліцензія залежить від обсягу та використання. Він дозволяє використовувати 50 Гб на день. Splunk регулярно перевіряє деталі ліцензування.
  • Балансувальник навантаження: на додаток до функцій завантажувача Splunk за замовчуванням, він також дає змогу використовувати ваш персоналізований балансувальник навантаження.
Не пропускайте:

4) Що ви маєте на увазі під індексатором Splunk?

Це компонент Splunk Enterprise, який створює індекси та керує ними. Основними функціями індексатора є 1) індексація необроблених даних у індексі та 2) пошук і керування проіндексованими даними.

5) Які недоліки використання Splunk?

Деякі недоліки використання інструменту Splunk:

  • Splunk може виявитися дорогим для великих обсягів даних.
  • Інформаційні панелі функціональні, але не такі ефективні, як деякі інші інструменти моніторингу.
  • Його крива навчання є жорсткою, і вам потрібне навчання Splunk, оскільки це багаторівнева архітектура. Отже, вам потрібно витратити багато часу, щоб освоїти цей інструмент.
  • Пошуки важко зрозуміти, особливо регулярні вирази та синтаксис пошуку.
Запитання для співбесіди Splunk
Запитання для співбесіди Splunk

6) Які переваги отримання даних в екземпляр Splunk за допомогою пересилачів?

Переваги отримання даних у Splunk через пересилачі полягають у TCP-з’єднанні, обмеженні смуги пропускання та безпечному SSL-з’єднанні для передачі важливих даних від пересилання до індексатора.

7) Яке значення майстра ліцензії в Splunk?

Майстер ліцензії в Splunk забезпечує індексацію потрібної кількості даних. Це гарантує, що середовище залишається в межах придбаного обсягу, оскільки ліцензія Splunk залежить від обсягу даних, які надходять на платформу протягом 24-годинного вікна.

8) Назвіть деякі важливі конфігураційні файли Splunk

Зазвичай використовувані конфігураційні файли Splunk:

  • Вхідний файл
  • Трансформує файл
  • Файл сервера
  • Індексує файл
  • Файл реквізиту

9) Поясніть порушення ліцензії у Splunk.

Це попереджувальна помилка, яка виникає, коли ви перевищуєте ліміт даних. Ця помилка попередження зберігатиметься протягом 14 днів. У комерційній ліцензії ви можете мати 5 попереджень протягом 1-місячного вікна, перед яким ваші результати пошуку та звіти Indexer припиняються. Однак у безкоштовній версії попередження про порушення ліцензії відображає лише 3 пункти попередження.

Запитання для співбесіди Splunk
Запитання для співбесіди Splunk

10) Яка користь від оповіщення Splunk?

Сповіщення можна використовувати, коли потрібно стежити за певними подіями та реагувати на них. Наприклад, надсилання сповіщення електронною поштою користувачеві, коли є більше трьох невдалих спроб входу протягом 24 годин.

11) Поясніть алгоритм скорочення карти

Алгоритм Map-reduce — це техніка, яку використовує Splunk для збільшення швидкості пошуку даних. Його надихнули дві функції функціонального програмування: 1) reduce () 2) map(). Тут функція map() пов’язана з класом Mapper, а функція reduce() пов’язана з класом Reducer.

12) Поясніть різні типи введення даних у Splunk?

Нижче наведено різні типи введення даних у Splunk:

  • Використання файлів і каталогів як вхідних даних
  • Налаштування мережевих портів для автоматичного отримання вхідних даних
  • Додайте входи Windows. Ці входи вікон бувають чотирьох типів: 1) активна Директорія монітор, 2) монітор принтера, 3) монітор мережі та 4) монітор вхідних даних реєстру.

13) Як Splunk уникає повторного індексування журналів?

Splunk дозволяє відстежувати індексовані події в каталозі рибних відер. Він містить коди CRC і шукає покажчики для файлів, які ви індексуєте, тому Splunk не може, якщо він їх уже прочитав.

14) Поясніть зведені моделі та моделі даних.

Поворотні точки використовуються для створення вигляду спереду вашого виводу, а потім вибору відповідного фільтра для кращого перегляду цього виводу. Обидва варіанти вигідні для людей із напівтехнічним або нетехнічним рівнем знань. Моделі даних найчастіше використовуються для створення ієрархічної моделі даних. Однак його також можна використовувати, якщо у вас є великий обсяг неструктурованих даних. Це допоможе вам використовувати цю інформацію без використання складних пошукових запитів.

15) Поясніть фактор пошуку та фактор реплікації?

Фактор пошуку визначає кількість даних, які зберігаються кластером індексатора. Він визначає кількість доступних для пошуку копій у відрі. Коефіцієнт реплікації визначає кількість копій, які підтримує кластер, а також кількість копій, які підтримує кожен сайт.

16) Для чого потрібна команда пошуку?

Команда пошуку зазвичай використовується, коли ви хочете отримати деякі поля із зовнішнього файлу. Це допомагає звузити результати пошуку, оскільки допомагає посилатися на поля у зовнішньому файлі, які відповідають полям у ваших даних про події.

17) Поясніть стандартні поля для події в Splunk

Існує 5 полів за замовчуванням, які містять штрих-код кожної події в Splunk. Це: 1) хост, 2) джерело, 3) тип джерела, 4) індекс і 5) позначка часу.

18) Як можна витягти поля?

Щоб отримати поля з бічної панелі, списків подій або меню налаштувань за допомогою інтерфейсу користувача. Ще один спосіб вилучення полів у Splunk — це запис регулярних виразів у файл конфігурації props.

19) Що ви маєте на увазі під підсумковим індексом?

Зведений індекс — це спеціальний індекс, який зберігає результат, обчислений Splunk. Це швидкий і дешевий спосіб виконувати запит протягом тривалішого періоду часу.

20) Як запобігти індексуванню подій Splunk?

Ви можете запобігти індексуванню події Splunk, виключивши повідомлення налагодження, помістивши їх у нульову чергу. Ви повинні зберегти нульову чергу у файлі transforms.conf на самому рівні пересилання.

21) Визначте підключення Splunk DB

Це SQL плагін бази даних, який дозволяє імпортувати таблиці, рядки та стовпці з бази даних, додавати базу даних. Splunk DB Connect допомагає забезпечити надійну та масштабовану інтеграцію між базами даних і Splunk Enterprises.

22) Визначте відра Splunk

Це каталог, який Splunk Enterprise використовує для зберігання даних та індексованих файлів у даних. Ці індексні файли містять різні сегменти, керовані за віком даних.

23) Яка функція Alert Manager?

Менеджер сповіщень додає робочий процес до Splunk. Мета диспетчера сповіщень o забезпечує загальну програму з інформаційними панелями для пошуку сповіщень або подій.

24) Як ви можете вирішити проблеми з продуктивністю Splunk?

Три способи вирішення проблеми продуктивності Splunk.

  • Перегляньте проблеми продуктивності сервера.
  • Перегляньте помилки в splunkd.log.
  • Встановіть програму Splunk і перевірте наявність попереджень і помилок на інформаційній панелі.

25) Яка різниця між часом індексування та часом пошуку?

Індексний час — це період, коли дані споживаються, і момент, коли вони записуються на диск. Час пошуку відбувається під час виконання пошуку, оскільки події складаються з пошуку.

26) Як скинути пароль адміністратора Splunk?

Щоб скинути пароль адміністратора, виконайте наступні дії:

  1. Увійдіть на сервер, на якому встановлено Splunk
  2. Перейменуйте файл паролів і знову запустіть Splunk.
  3. Після цього ви можете увійти на сервер, використовуючи ім’я користувача адміністратора або admin зі зміною пароля.

27) Назвіть команду, яка використовується для категорії «фільтрування результатів».

Команда, яка використовується для категорії «фільтрування результатів»: «де», «Сортувати», «рекс» і «пошук».

28) Перелічіть різні типи ліцензій Splunk

Типи ліцензій Splunk:

  • Безкоштовна ліцензія
  • Бета-ліцензія
  • Ліцензія Search Heads
  • Ліцензія членів кластеру
  • Ліцензія експедитора
  • Ліцензія підприємства

29) Перелічіть кількість категорій команд SPL.

Команди SPL поділяються на п’ять категорій: 1) Фільтрування результатів, 2) Сортування результатів, 3) Фільтрування результатів групування, 4) Додавання полів і 5) Звітування про результати.

30) Що таке команда eval?

Ця команда використовується для обчислення виразу. Команда Eval обчислює булеві вирази, рядки та математичні артикуляції. Ви можете використовувати кілька виразів eval в одному пошуку за допомогою коми.

31) Назвіть команди, які входять до категорії результатів звітності

Нижче наведено команди, які входять до категорії результатів звітування:

  • Рідкісний
  • Графік
  • часовий графік
  • Toп
  • Статистика

32) Що таке SOS?

Splunk on Splunk або SOS — це програма Splunk, яка допомагає аналізувати та вирішувати проблеми з продуктивністю середовища Splunk і проблемами.

33) Що таке команда заміни?

Ця команда шукає та замінює вказані значення полів на значення заміни.

34) Назвіть функції, які недоступні в безкоштовній версії Splunk?

У безкоштовній версії Splunk відсутні такі функції:

  • Розподілений пошук
  • Переадресація через HTTP або TCP
  • Гнучка статистика та звітність з архітектурою реального часу
  • Пропонує можливості аналізу, пошуку та візуалізації, щоб розширити можливості користувачів усіх типів.
  • Створюйте ROI швидше

35) Що таке нульова черга?

Нульова черга — це підхід до фільтрації небажаних вхідних подій, надісланих підприємством Splunk.

36) Поясніть типи режимів пошуку в Splunk?

Існує три типи пошукових модулів. Це:

  • Швидкий режим: він збільшує швидкість пошуку за рахунок обмеження пошукових даних.
  • Детальний режим: цей режим повертає всі можливі поля та дані подій.
  • Розумний режим: це налаштування за замовчуванням у програмі Splunk. Розумний режим перемикає поведінку пошуку на основі команд трансформації.

37) Яка основна відмінність між джерелом і типом джерела

Джерело ідентифікує як джерело події, яка породжує конкретну подію, тоді як тип джерела визначає, як Splunk обробляє вхідний потік даних у події відповідно до його природи.

38) Що таке команда об'єднання?

Він використовується для поєднання результатів підпошуку з результатами фактичного пошуку. Тут поля мають бути спільними для кожного набору результатів. Ви також можете об’єднати набір результатів пошуку в себе за допомогою команди selfjoin у Splunk.

39) Як запустити та зупинити службу Splunk?

Для запуску та припинення використання серверів Splunk можна використовувати такі команди:

./splunk start
./splunk stop

40) Де завантажити Splunk Cloud?

Відвідайте веб-сайт: https://www.splunk.com/ щоб завантажити безкоштовну пробну версію Splunk Cloud.

41) Яка різниця між командою stats і timechart?

Параметр Статистика Часова діаграма
Мета Вони використовуються для представлення числових даних у табличному форматі. Часова діаграма використовується для представлення результатів пошуку в графічному вигляді.
Використання полів Статистика може використовувати більше одного поля. Він використовує _time як поле за замовчуванням на графіку.

42) Визначте сервер розгортання

Сервер розгортання — це екземпляр Splunk, який діє як централізований менеджер конфігурації. Він використовується для розгортання конфігурації в інших екземплярах Splunk.

43) Що таке власність часового поясу в Splunk?

Властивість часового поясу надає вихід для певного часового поясу. Splunk бере часовий пояс за умовчанням із налаштувань браузера. Браузер бере поточний часовий пояс з комп’ютерної системи, яка зараз використовується. Splunk використовує цей часовий пояс, коли користувачі шукають і співвідносять масові дані, що надходять з інших джерел.

44) Що таке Splunk Sound Unit Connect?

Splunk sound unit — це плагін, який дозволяє додавати інформаційні дані до звітів Splunk. Це допомагає забезпечувати надійну та доступну інтеграцію між відповідними базами даних і підприємствами Splunk.

45) Як встановити форвардер віддалено?

Ви можете скористатися сценарієм bash, щоб віддалено встановити програму пересилання.

46) Яке використання сервера syslog?

Сервер системного журналу використовується для збору даних із різних пристроїв, таких як маршрутизатори та комутатори, і журналів додатків із веб-сервера. Ви можете використовувати команду R syslog або syslog NG для налаштування сервера Syslog.

47) Як контролювати експедиторів?

Використовуйте вкладку пересилання, доступну на DMC (консоль розподіленого керування), щоб відстежувати стан пересилачів і сервер розгортання для керування ними.

48) Яка користь від Splunk btool?

Це інструмент командного рядка, призначений для вирішення проблем, пов’язаних з конфігурацією.

49) Назвіть альтернативи Splunk

Деякі альтернативи Splunk:

  • Логіка сумо
  • Лологіка
  • Loggy
  • Логсташ

50) Що таке магазин KV у Splunk?

Key Value (KV) дозволяє зберігати та отримувати дані в Splunk. KV також допоможе вам:

  • Керуйте чергою завдань
  • Зберігати метадані
  • Вивчіть робочий процес

51) Що ви маєте на увазі під розгортачем у Splunk?

Deployer — це корпоративний миттєвий пакет Splunk, який використовується для розгортання програм у голові кластера. Його також можна використовувати для налаштування інформації для програми та користувача.

52) Коли використовувати auto_high_volume у Splunk?

Він використовується, коли індекси мають великий обсяг, тобто 10 ГБ даних.

53) Що таке команда stat?

Це команда Splunk, яка використовується для впорядкування даних звіту в табличному форматі.

54) Що таке команда регулярного виразу?

Команда Regex видаляє результати, які не збігаються з потрібним регулярним виразом.

55) Що таке команда пошуку введення?

Ця команда Splunk повертає таблицю пошуку в результат пошуку.

56) Що таке команда пошуку виводу?

Команда Output lookup шукає в результаті пошукову таблицю на жорсткому диску.

57) Перелічіть різні етапи життєвого циклу відра

Етапи життєвого циклу ковша наступні:

  • гарячий
  • Теплий
  • застуда
  • Заморожені
  • Розморожений

58) Назвіть етапи індексатора Splunk

Етапи індексатора Splunk:

  • вхід
  • Parsing
  • Індексація
  • Пошук

59) Поясніть різницю між Splunk і Spark

Параметр Сплин Іскритися
Мета Зберіть велику кількість комп’ютерних даних. Використовується для обробки великих даних
Перевагу Можна легко інтегрувати з Hadoop Це більш бажаний і може використовуватися з проектами apache.
режим Режим потокової передачі Потоковий, а також пакетний режими

60) Поясніть, як працює Splunk?

Існує три фази роботи Splunk:

  • Перша фаза: генерує дані та вирішує запити з різних джерел.
  • Другий етап: він використовує дані для вирішення запиту.
  • Третій етап: він відображає відповіді у вигляді графіка, звіту або діаграми, які зрозумілі аудиторії.

61) Які є три версії Splunk?

Splunk доступний у трьох різних версіях. Ці версії: 1) Splunk enterprise, 2) Splunk light, 3) Splunk cloud.

  • Підприємство Splunk: Версія Splunk Enterprise використовується багатьма ІТ-організаціями. Це допомагає вам аналізувати дані з різних веб-сайтів і програм.
  • Splunk хмара: Splunk Cloud — це SaaS (програмне забезпечення як послуга). Він пропонує майже такі ж функції, як корпоративна версія, включаючи API, SDK і програми.
  • Світло Splunk: Splunk light — це безкоштовна версія, яка дозволяє створювати звіти, шукати та редагувати дані журналу. Версія Splunk Light має обмежені функції та функції порівняно з іншими версіями.

62) Назвіть компанії, які використовують Splunk

Відомі компанії, які використовують інструмент Splunk:

  • Cisco
  • Facebook
  • Bosch
  • саман
  • IBM
  • Walmart
  • Salesforce

63) Що таке SLP?

Мова обробки пошуку або SLP – це мова, яка містить функції, команди та аргументи. Він використовується для отримання бажаного результату з бази даних.

64) Визначте моніторинг у Splunk

Моніторинг – це термін, пов’язаний зі звітами, які можна візуально контролювати.

65) Назвіть область, у якій можна використовувати об’єкти знань

Нижче наведено кілька областей, у яких можна використовувати об’єкти знань:

  • Моніторинг додатків
  • Управління працівниками
  • Фізична безпека
  • мережева безпека

66) Скільки ролей у Splunk?

У Splunk є три ролі: 1) адміністратор, 2) влада та 3) користувач.

67) Чи чутливі пошукові терміни в Splunk до регістру?

Ні, пошукові терміни в Splunk не чутливі до регістру.

68) Чи можна використовувати результати пошуку для зміни існуючого пошуку?

Так, результат пошуку можна використовувати для внесення змін у наявний пошук.

69) Перелічіть варіанти макета для результатів пошуку.

Нижче наведено кілька варіантів компонування результатів пошуку:

  • список
  • таблиця
  • Сировина

70) Які формати експортують результати пошуку?

Результат пошуку можна експортувати в JSON, CSV, XML і PDF.

71) Поясніть типи логічних операторів у Splunk.

Splunk підтримує три типи логічних операторів; вони:

  • І: Він мається на увазі між двома термінами, тому вам не потрібно його писати.
  • АБО: Він визначає, що один із двох аргументів має бути істинним.
  • ПРИМІТКА: використовується для фільтрації подій, що містять певне слово.

72) Поясніть використання команди top у Splunk

Верхня команда використовується для відображення загальних значень поля з їх відсотками та кількістю.

73) Для чого потрібна команда stats?

Він обчислює сукупну статистику для набору даних, наприклад кількість, суму та середнє значення.

74) Які є типи сповіщень у Splunk?

У Splunk доступні три типи сповіщень:

  • Сповіщення за розкладом: Це сповіщення, засноване на історичному пошуку. Він працює періодично за встановленим графіком.
  • Сповіщення про результат: Це сповіщення базується на пошуку в реальному часі, який виконується за загальний час.
  • Сповіщення про рухоме вікно: Сповіщення, засноване на пошуку в реальному часі. Цей пошук налаштовано на виконання в межах певного поточного вікна, яке ви визначаєте.

75) Перелічіть різні типи інформаційних панелей Splunk.

  • Динамічні інформаційні панелі на основі форм
  • Інформаційні панелі як заплановані звіти
  • Інформаційні панелі в реальному часі

76) Яке використання тегів у Splunk?

Вони використовуються для призначення імен певним парам полів і значень. Поле може бути тип події, джерело, тип джерела та хост.

77) Як збільшити розмір сховища даних Splunk?

Щоб збільшити розмір сховища даних, ви можете або додати більше місця для індексування, або додати більше індексаторів.

78) Розрізняйте програми Splunk і додатки

Існує лише одна відмінність між програмами Splunk і додатковими компонентами: програми Splunk містять вбудовані звіти, конфігурації та інформаційні панелі. Однак додатки Splunk містять лише вбудовані конфігурації, вони не містять інформаційних панелей або звітів.

79) Визначити каталог відправлення в Splunk?

Каталог розсилки зберігає статус, як-от запущено або завершено.

80) Яка основна різниця між командами stats і eventstats

Команда Stats надає підсумкову статистику наявних полів, доступних у результатах пошуку, а потім зберігає їх як значення в нових полях. З іншого боку, у команді eventstats результати агрегації додаються так, що кожна подія лише якщо агрегація стосується цієї конкретної події.

81) Що ви маєте на увазі під типом джерела в Splunk?

Поле джерела є полем за замовчуванням, яке знаходить структура даних події. Він визначає, як Splunk форматує дані під час індексування.

82) Визначити обчислювані поля?

Обчислювані поля – це поля, які виконують обчислення, значення двох полів доступні в конкретній події.

83) Наведіть список деяких команд пошуку Splunk

Нижче наведено деякі команди пошуку, доступні в Splunk:

  • абстрактний
  • erex
  • Addtotals
  • Аккум
  • Заповнення
  • Typer
  • Rename
  • Аномалії

84) Що робить команда xyseries?

Команда xyseries перетворює результати пошуку у формат, придатний для побудови графіків.

85) Для чого використовується команда spath?

Команда spath використовується для отримання полів із форматів структурованих даних, таких як JSON і XML.

86) Як додати підсумкову статистику до всіх результатів потоковим способом?

Щоб додати підсумкову статистику в результати, ви можете використовувати streamstats.

87) Де створювати об’єкти знань, інформаційні панелі та звіти?

Ви можете створювати знання, об’єкти, звіти та інформаційні панелі в програмі звітування та пошуку.

88) Що таке команда table?

Ця команда повертає всі поля таблиці в списку аргументів.

89) Як видалити повторювані події, що мають спільні значення?

Використовуйте команду dedup для видалення повторюваних подій із загальними значеннями.

90) Яка головна відмінність між сортуванням + і сортуванням -?

  • sort + відображає пошук у порядку зростання
  • sort – відображає пошук у порядку спадання.

91) Визначайте звіти в Splunk

Це результати, збережені в результаті дії пошуку, які показують візуалізацію та статистику певної події.

92) Визначте інформаційну панель у Splunk

Інформаційна панель визначається як набір видів, які складаються з різних панелей.

93) Яка користь від миттєвого повороту в Splunk?

Він використовується для роботи з даними без створення будь-якої моделі даних. Миттєве зведення доступне для всіх користувачів.

94) Як можна використовувати значення хоста, а не IP-адресу чи ім’я DNS для введення TCP?

Під строфою у вхідному файлі конфігурації встановіть для connection_host значення none і вкажіть значення хоста.

95) Що таке повна форма LDAP?

LDAP означає полегшений протокол доступу до каталогу

96) Визначте об’єднання голів пошуку

Це група серверів, пов'язаних між собою. Ці сервери використовуються для спільного використання конфігурації, даних користувача та навантаження.

97) Визначте кластеризацію головки пошуку

Це група Splunk Enterprise Search Heads, яка служить центральним ресурсом для пошуку.

98) Що таке повна форма REST?

Абревіатура REST — це Representational State Transfer

99) Поясніть Splunk SDK

Splunk SDK написані на основі Splunk REST API. SDK підтримують такі мови: 1) Java, 2) Python, 3) JavaScript і 4) C#.

100) Поясніть Splunk REST API

Splunk REST API пропонує різні процеси для доступу до кожної функції, доступної в продукті. Ваша програма зв’язується з підприємством Splunk за допомогою HTTP або HTTPS. Він використовує ті самі протоколи, які використовує будь-який веб-браузер для взаємодії з веб-сторінками.

101) Що таке модель прискорення безпеки в Splunk?

Splunk Enterprise Security прискорює модель даних, надає панель, інформаційну панель і кореляційні результати пошуку. Він використовує індексатори для обробки та зберігання. Прискорені дані зберігаються в кожному індексі за замовчуванням.

102) Поясніть, як індексатор зберігає різні індекси?

Індексатори створюють різні файли, які містять два типи даних: 1) необроблені дані та 2) файл індексу метаданих. Обидва файли використовуються для створення корпоративного індексу Splunk.

Ці запитання для співбесіди також допоможуть вам у життєдіяльності (усному)

Поділитись

Вам може сподобатися:

4 Коментарі

  1. Аватара Бриндха каже:

    Дякуємо за ваші запитання на співбесіді. Це дуже корисно для мене перед тренуванням і легко зрозуміти. Дякую.

    відповісти

залишити коментар

Ваша електронна адреса не буде опублікований. Обов'язкові поля позначені * *