開始使用 Splunk

Splunk 可讓您即時對任何 IT 資料製作索引、進行搜尋、警示與報告動作,以達到應用套件程式管理、IT 操作、安全性與法規遵循性等目的。Splunk 能處理任何資料:記錄檔、系統衡量標準、應用套件、設定...您希望的任何資料都可交給 Splunk。

按一下下列主題開始瞭解。

導覽

Splunk 的使用者介面提供許多功能。請逐一閱讀下列主題,進一步瞭解如何巡覽與使用 Splunk 安裝。

我目前在哪裡?

Splunk 是由應用套件組成的。應用套件會從各種檢視、儀表板和設定的組合,為您的資料建立不同脈絡。現在,您正位於 [開始使用] 應用套件中。另外還有可讓您建立搜尋的搜尋應用套件,以及讓您啟動其他應用套件的預設應用套件 [Splunk 主目錄]。您還可從 Splunkbase 新增新應用套件,或自行建立。

在應用套件間巡覽

若要巡覽至另一個應用套件,請使用右上角的 [應用套件] 下拉式清單。

screenshow_uploadLocal

若要檢視目前安裝於 Splunk 執行個體的應用套件清單,可按一下本頁面右上角的 [應用套件] 功能表並選擇 [主目錄] 回到 [主目錄]。這樣會帶您離開 [開始使用] 應用套件,但您仍可再次從 [主目錄] 或 [應用套件] 功能表選擇 [開始使用] 以回到這裡。

先前使用過 Splunk 嗎?想找回熟悉的感覺嗎?

若您曾經使用過 Splunk,可能會想要尋找 [搜尋] 應用套件。若要取得 [搜尋] 應用套件,請從右上角的 [應用套件] 功能表選擇 [搜尋]。

管理您的 Splunk 安裝

Splunk 的大部分管理選項都可透過 Splunk 網站 (Splunk 的 使用者介面) 取得。請注意,某些設定僅限具備管理員權限的 Splunk 使用者使用。若您無法存取本應用套件中討論的設定,可能是您沒有存取權限。

使用 Splunk 管理員

以 [Splunk 管理員] 管理您的設定與應用套件。幾乎所有設定變更都可透過 [Splunk 管理員] 完成。按一下右上角的 [管理員] 連結前往 [管理員]:

screenshow_uploadLocal

使用工作管理員

以 [工作管理員] 管理您的搜尋。您的所有搜尋都會以工作型態執行。您可按一下右上角的 [工作] 連結,列出並控制執行於系統的所有搜尋。

screenshow_uploadLocal

新增更多應用套件

若要瀏覽與下載更多 Splunk 應用套件,請回到 [主目錄] 並按一下 [尋找更多應用套件] 按鈕。

您亦可製作自己的應用套件。請參閱開發人員手冊以取得更多資訊。

檢索資料

機器可以產生的資料,Splunk 都能進行檢索。是的,Splunk 無須自訂剖析器、連接器或配接器,就能檢索結構化與未結構化的任何資料。從 Unix 伺服器與網路裝置的系統記錄、Windows 的 [事件記錄檔],到自訂應用套件記錄檔甚至設定與系統衡量標準,都可交給 Splunk 處理,然後您就能了解整個作業的完整脈絡。

您可使用 Splunk 的取得資料工作流程,找出可新增至 Splunk 的各類資料。根據資料所在位置,可使用多種方法將資料放進 Splunk。

在此 Splunk 伺服器上

Splunk 能以連續或單次方式,檢索任何本機資料。請透過 [Splunk 管理員],設定讓 Splunk 檢索檔案或目錄。您亦可在檢索之前預覽資料,或自訂規則以讓 Splunk 知道如何處理您的資料。

  1. 按一下 [管理員] » [資料輸入] » [檔案與目錄]。
  2. 按一下 [新增]。
  3. 這樣就會前往 [資料預覽],讓您建立來源類型 -- 這是告訴 Splunk 如何從您檔案與目錄剖析並擷取索引時間資料的規則。
  4. 資料預覽完畢後,可新增單一檔案或目錄,Splunk 就會立即檢索資料。
  5. 選擇 [從此 Splunk 執行個體可存取的檔案或目錄持續檢索資料] 可持續檢索資料。
  6. 選擇 [上傳並檢索檔案] 可上傳您用戶端電腦上的檔案。
  7. 選擇 [從此 Splunk 伺服器檢索檔案一次] 可單次檢索某檔案。
  8. 請遵循頁面其他指示,設定更多選項。例如,設定主機名稱、來源類型或檢索。或您可讓大多數選項維持在預設值,讓 Splunk 為您指派選項。

在遠端 Windows 電腦上

使用 Splunk 從您網路上的電腦收集 Windows 資料。根據您網路的設定方式,有一些選項可用:

  1. 若您在 Windows 上執行 Splunk,可使用 WMI 收集 Windows 事件記錄檔,以及事件記錄檔集合、登錄檔監控和 Active Directory 監控。所有選項都列於 [管理員] » [資料輸入] 中。
  2. 若您在非 Windows 電腦執行 Splunk,可使用代理程式將資料從 Windows 電腦傳送到 Splunk。請在遠端電腦上安裝通用轉送器。如需轉送器的更多資訊,請查閱說明文件中的通用轉送器主題。
  3. 或一律可從您網路上所共用的目錄檢索資料。只要巡覽至 [Splunk 管理員] 的 [資料輸入] 頁面,並選擇 [監控檔案或目錄] 即可。輸入檔案或目錄的完整路徑。例如,在 Windows 上,可輸入:c:\apache\apache.error.log 以監控本機檔案,或 \\hostname\apache\apache.error.log 以監控遠端 Windows 電腦上的檔案。

在遠端的非 Windows 電腦上

使用 Splunk 從您網路上的非 Windows 電腦收集資料。根據您網路的設定方式,有一些選項可用:

  1. 您一律可從您網路上所共用的目錄檢索資料。只要巡覽至 [Splunk 管理員] 的 [資料輸入] 頁面,並選擇 [監控檔案或目錄] 即可。輸入檔案或目錄的完整路徑。在 Unix 上,使用表單 /var/log 以監控本機檔案,或使用 /mnt/www01/var/log 以監控遠端目錄。
  2. 您可使用 Splunk 的通用轉送器,將資料從任何電腦傳送給 Splunk。將轉送器當作代理程式安裝於遠端電腦,並進行設定以將資料傳送到您的 Splunk 伺服器。如需轉送器的更多資訊,請查閱說明文件中的通用轉送器主題。

在您的網路上

使用此方法擷取透過 TCP 或 UDP 連接埠傳送的資料。例如,設定 Splunk 監聽 UDP 514,以擷取系統記錄資料。

  1. 巡覽至 [Splunk 管理員] 中的 [資料輸入] 頁面。
  2. 按一下 UDP 旁的 [新增] 可從 UDP 連接埠新增資料。
  3. 按一下 TCP 旁的 [新增] 可從使用 TCP 的連接埠新增資料。
  4. 指定 Splunk 應監聽的連接埠。
  5. 請遵循頁面其他指示,設定更多選項。

更多輸入方法

還有其他方法可將資料放進 Splunk。以下是一些熱門選項:

從分散式環境的多部電腦收集資料

想知道如何從將資料從分散式環境 (如應用套件伺服器陣列或本機登入的網路伺服器) 放進 Splunk 嗎?Splunk 的通用轉送器是一套輕量型代理程式,可部署於數十、數百或數千部伺服器,即時擷取資料並寄送到中央 Splunk 索引器。使用通用轉送器,將資料從其他系統寄送給 Splunk。從 [Splunk 管理員] 設定轉送。

撰寫自己的指令式輸入

為您的自訂資料來源建立指令式輸入。對於 vmstat、iostat、netstat、top 等命令列工具而言,指令式輸入非常實用。從 API 和其他遠端資料介面和訊息佇列取得資料,並從使用中系統與 vmstat、iostat 等應用套件狀態命令產生衡量標準與狀態資料。SplunkBase 有許多應用套件可讓您對特定應用套件進行指令式輸入。從 [Splunk 管理員] 設定指令式輸入。

監控檔案系統變更

希望瞭解檔案系統上發生的變更嗎?設定檔案系統變更監控,即可於發生時檢視各項變更。使用此方法可監控關鍵檔案、設定檔,和法規要求所需的其他檔案,並可針對安全性與操作方面,找出影響系統的變更與未授權的變更。

搜尋

一旦 Splunk 中有了資料,就可使用 [搜尋] 應用套件調查安全性事件、排除應用套件、伺服器與網路問題,或單純主動審查系統與使用者活動。

自由格式搜尋

搜尋您希望在資料中找到的任何文字。

  1. 巡覽至 [搜尋] 應用套件。
  2. 直接在搜尋列輸入詞彙。若您要調查問題,請搜尋:
  3. screenshow_uploadLocal
  4. 以布林運算式合併詞彙。如果您希望尋找與網路活動無關的錯誤,請搜尋:
  5. screenshow_uploadLocal
  6. 使用萬用字元以比對詞彙樣式。登入失敗的訊息中可能包含「failed」或「failure」,若您希望尋找失敗的登入嘗試,可搜尋:
  7. screenshow_uploadLocal

即時搜尋

在資料到達 Splunk 時即時搜尋。

  1. 巡覽至 [搜尋] 應用套件。
  2. 輸入自由格式搜尋。即時搜尋支援所有的 Splunk 搜尋語言。
  3. 選擇 [即時] 選項,再挑選一個時間窗隔,針對該段時間串流傳入的資料顯示即時搜尋結果。
  4. screenshow_uploadLocal

與結果互動

您的搜尋結果與時間表一樣是互動式的。您將於本節中瞭解,如何透過單次點選,對搜尋新增、移除或排除詞彙。

  1. 巡覽至 [搜尋] 應用套件。
  2. 在資料中執行任何詞彙的搜尋。
  3. 將滑鼠移到搜尋結果上方。您會注意到滑鼠滑過的字詞會反白,表示可將這些詞彙新增至您的搜尋。
  4. 在搜尋結果中反白並按一下某詞彙。搜尋就會更新,以將此詞彙納入搜尋列,並篩選掉不相符的所有先前結果。
  5. 或可按一下搜尋結果中已反白的詞彙;Splunk 就會更新並將該詞彙從您的搜尋中移除。
  6. 此外,您可指定希望 Splunk 排除的詞彙。反白詞彙並按住 ALT 鍵再按一下滑鼠 (在 Windows 中則是按住 CTRL 鍵再按一下滑鼠);Splunk 就會更新搜尋,以布林值 NOT 運算子排除此詞彙。

使用欄位進行搜尋

自由格式搜尋簡單而功能強大,但並不總是能提供您想要的答案。例如,您可能希望排除 HTTP 狀態代碼為 200 的事件。但若您只搜尋「NOT 200」,也會移除您可能希望保留的事件,如 IP 位址含有 200,但狀態代碼是「503」的事件。

Splunk 檢索原始資料中的每個詞彙時,會根據名稱/值配對、標頭或在不同方面一目了然的其他資訊探索與新增欄位。例如,Splunk 會自動將資料來源等相關資訊新增至主機、來源和來源類型欄位。Splunk 亦可識別資料的其他部份,如 IP 位址、HTTP 狀態代碼等。您亦可如本應用套件「新增知識」一節所述,新增自己的欄位。

  1. 巡覽至 [搜尋] 應用套件。
  2. 例如,搜尋網路活動:
  3. screenshow_uploadLocal
  4. 請注意搜尋結果左邊的 [欄位] 功能表。這些都是 Splunk 自動探索與新增的欄位。
  5. screenshow_uploadLocal

    顯示於您搜尋結果的欄位都會列於 [所選欄位] 標題下。您可選擇顯示更多欄位。Splunk 自動探索的其他欄位會列於 [關注欄位] 下。

  6. 各欄位名稱旁會有一個數字,表示此欄位在搜尋結果中存在的相異值數量。按一下任何欄位名稱,就能看到各欄位中出現率最高的值。按一下任何欄位值,可將其新增到您搜尋的篩選中。
  7. .
  8. 若您要搜尋的是網路資料,可從出現的彈出功能表中按一下 [挑選欄位] 並挑選 [狀態],將 HTTP 狀態新增至欄位功能表。
  9. 請注意,[狀態] 欄位的值是 HTTP 狀態代碼:200、503、404 等。這樣您就可使用此知識,搜尋或排除特定欄位值。若想搜尋所有失敗的網路存取事件,可使用:
  10. screenshow_uploadLocal
  11. 以欄位搜尋時,亦可使用比較運算子 (>、<、>=、<=);若要檢視狀態值大於 300 的所有事件,請搜尋:
  12. screenshow_uploadLocal

以時間表調查

時間表以視覺方式表現出各時間點發生的事件數。因此您可使用時間表強調顯示事件模式,或調查事件活動中的高點與低點。

  1. 巡覽至 [搜尋] 應用套件。
  2. 嘗試搜尋「error」,並注意搜尋下方的時間表。
  3. screenshow_uploadLocal
  4. 由於時間表會隨著搜尋結果更新,您可能會注意到事件的叢集或模式;從時間表中的峰值和谷值可看出活動的尖峰或伺服器停機時間。
  5. 按一下時間表中的一點,並以滑鼠拖曳過長條叢集前往第二個點。搜尋結果就會更新,以顯示發生於所選時間範圍內的事件。
  6. screenshow_uploadLocal
  7. 按一下時間表中的一個長條。搜尋結果就會更新,以顯示發生於所選時間點內的事件。
  8. screenshow_uploadLocal

使用搜尋助理

搜尋助理是快速的產品內參考工具,可供使用者用於建構搜尋,也會提供搜尋命令的相關詳細資訊,包括使用範例,並建議其他命令供您使用。

  1. 巡覽至 [搜尋] 應用套件。
  2. 若要開啟 [搜尋助理],請按一下搜尋列下的綠色箭頭。
  3. screenshow_uploadLocal
  4. 若搜尋列是空白的,您會看到在 Splunk 內搜尋與建構搜尋的簡要說明。依照預設,助理會顯示搜尋命令的資訊。
  5. [搜尋助理] 的左邊會顯示命令的使用歷程記錄與最常使用的命令。
  6. [搜尋助理] 的右邊會顯示搜尋命令的簡要說明與使用範例。

新增知識

Splunk 會從您的 IT 資料自動擷取知識,並讓您飛快的增加自己的知識,將搜尋這件事帶往前所未有的境界。您可將資料中的事件、欄位、交易、模式和統計等相關資訊新增為知識,亦可識別、命名與標記這些資料。

Splunk 會在搜尋時間對映這些所有知識,讓您無須重新檢索資料,即可依需要隨時新增新欄位與事件類型。您不但能以特定使用者名稱尋找所有事件,也能立即取得特定使用者活動的統計資料。

分類相似事件

當您搜尋資料時,實際上是剔除所有不想見到的事件;因此您的搜尋結果就是有著共同特徵的事件,而您可給予一個共同名稱,或是「事件類型」。事件類型的名稱會以值的形式新增至 eventtype 欄位中。這表示您可使用搜尋任何欄位的相同方式,搜尋這些事件群組。下列範例逐步帶您瞭解,如何將搜尋儲存為 eventtype 再搜尋該欄位。

若您經常執行搜尋以調查 sshd 登入或防火牆被拒等 SSH 與防火牆活動,可將這些搜尋儲存為事件類型。同時,若您看到難以理解的錯誤訊息,可使用更具有描述性的名稱,將其儲存為事件類型。

  1. 巡覽至 [搜尋] 應用套件。
  2. 若您定期追蹤登入嘗試等 SSH 活動,可將此搜尋儲存為事件類型。首先執行搜尋;例如,以下列方式搜尋 SSH 登入:
  3. screenshow_uploadLocal
  4. 執行搜尋後,從 [建立] 下拉式功能表選擇 [事件類型...] 選項。會出現 [儲存事件類型] 視窗。
  5. screenshow_uploadLocal
  6. 遵循畫面指示命名事件類型;例如可將此事件類型命名為「ssh登入」。依需要修改搜尋字串。亦可選擇性的定義事件類型的標記;將於稍後詳細討論。完成時按一下 [儲存]。
  7. 您亦可儲存其他類型 SSH 活動的事件類型,例如登出與逾時。現在,搜尋 SSH 登入:
  8. screenshow_uploadLocal
  9. 若您儲存了名為 sshlogout 和 sshtimeout 的其他事件類型,即可快速搜尋所有 SSH 事件:
  10. screenshow_uploadLocal

擷取新欄位

Splunk 會在您檢索新資料時自動為您擷取知識;您亦可無須重新檢索資料,隨時依需要加入新知識。本節說明如何使用欄位擷取器,互動式的擷取與儲存新欄位。

  1. 巡覽至 [搜尋] 應用套件。
  2. 搜尋主機、來源或來源類型值。對任何事件組進行的欄位擷取,會連結到與這些事件關聯的主機、來源或來源類型值。
  3. 從您的結果選擇一個事件。
  4. 按一下此事件時間戳記旁的藍色下拉式箭頭。會開啟功能表。
  5. 選擇 [擷取欄位]。會開啟互動式的 [擷取欄位] 視窗。
  6. screenshow_uploadLocal
  7. 遵循頁面上的指示。例如,您可新增使用者名稱、來源 IP 和目的地 IP 的欄位。

標記欄位值

標記可協助您將共用欄位值的搜尋結果分組。標記是附加到事件類型、主機、來源或來源類型等欄位之特定值的名稱。例如,您可以服務名稱標記主機值,或以 PCI 等規範名稱註記法規遵循性。

一般而言,您可使用標記完成下列動作:

  • 協助您追蹤抽象的欄位值,如您可使用地點或名稱分組 IP 位址或 ID 號碼。
  • 使用一個標記將一群欄位值分為一組,以透過一個簡單命令進行搜尋。
  • 為特定的擷取欄位賦予多重標記,可反映其身份的各個不同方面,讓您根據標記執行搜尋,快速縮小所需結果。

有兩種搜尋標記的方法 - 對照所有欄位或特定欄位對話方塊。

  1. 若您希望尋找欄位被標記「deny」的所有事件:
  2. screenshow_uploadLocal
  3. 若您僅希望搜尋具有「deny」這個事件類型標記的事件:
  4. screenshow_uploadLocal

進一步瞭解 Splunk 知識

還有更多方式,可讓您發揮並擴大 Splunk 的應用,以能滿足您企業需求的方式處理您的資料。在您長遠以來最佳化、維護與擴充 Splunk 佈署的過程中,可查閱知識管理員手冊以進一步了解。

知識管理員手冊可教導您:

  • 如何管理與維護 Splunk 的「知識物件」,如事件、事件類型、欄位、來源類型、標記和交易。
  • 使用欄位的最佳作法,包括查閱與別名。
  • 將概念性相關事件分組為交易的策略。

監控與警示

使用 Splunk 識別並找出系統問題後,可善用監控與警示功能的優點,在狀況重複發生時獲得通知。儲存搜尋以隨時執行,或設定警示以進行監控。設定當搜尋結果符合您定義的條件時,觸發警示。您甚至可以針對即時發生的事件進行警示。

儲存搜尋

  1. 建立會傳回關注結果的搜尋。
  2. 搜尋執行完畢時,從搜尋列下方的 [儲存] 下拉式功能表選擇 [儲存搜尋]。
  3. screenshow_uploadLocal
  4. 會彈出 [儲存搜尋] 對話方塊。
  5. screenshow_uploadLocal
  6. 請遵循頁面其他指示,設定更多選項。

設定警示

您可將任何搜尋轉換成警示。警示會以電子郵件或 RSS 通知您。亦可設定觸發指令碼的警示。

  1. 若您要將搜尋設成警示,請從搜尋列下方的 [建立] 下拉式功能表選擇 [警示]:
  2. screenshow_uploadLocal
  3. 會彈出 [建立警示] 對話方塊:
  4. screenshow_uploadLocal
  5. 遵循對話方塊中的指示,設定一或多個警示方法。若希望 Splunk 傳送電子郵件通知,請確認您的 Splunk 伺服器已啟用 sendmail (或其他 MTA)。

報告與分析

以 Splunk 內建視覺化工具建立報告。Splunk 在報告方面提供廣泛的選項。您可直接從搜尋結果建立簡單的 [隨時間變化的最高值] 報告、使用 [報告建置器] 定義與格式化複雜的圖表,或使用 Splunk 強大的統計命令,手動定義報告。最後,您可以快速建立儀表板,並與他人分享您的最佳報告。

建立簡單的報告

執行搜尋後,可快速啟動報告,得知搜尋結果欄位相關的基本資訊。

  1. 巡覽至 [搜尋] 應用套件。
  2. 以您希望報告的任何詞彙或欄位執行搜尋。
  3. 搜尋完成時,在搜尋結果側欄中尋找要報告的欄位,並按一下該欄位。例如,若您要針對一組使用者 ID 提出報告,則挑選 UID。
  4. screenshow_uploadLocal
  5. 會出現彈出視窗,顯示所選欄位相關資訊。您可以針對各欄位啟動報告。選擇希望產生的報告,如 [隨時間變化的平均值] 或 [整體最高值]。
  6. screenshow_uploadLocal
  7. [報告建置器] 會出現於個別視窗,根據您搜尋傳回的事件資料顯示圖表。您可從此對報告進行重新格式化、儲存、列印,及其他動作。

使用報告建置器

啟動報告建置器以建立並格式化您的報告。

  1. 巡覽至 [搜尋] 應用套件。
  2. 以您希望報告的任何詞彙或欄位執行搜尋。
  3. 您會在時間表上的 [建立] 功能表看到建立報告的連結。按一下此連結可啟動 [報告建置器] (無須等待搜尋完成,就可啟動 [報告建置器])。
  4. screenshow_uploadLocal
  5. 您亦可按一下結果區域上方的 [結果圖表] 按鈕,直接從時間表檢視建立報告。
  6. screenshow_uploadLocal

使用報告命令

使用 [報告建置器] 下拉式清單定義報告時,您會注意到 Splunk 透過用來產生報告的統計報告命令來更新 [報告建置器] 搜尋方塊。本節說明如何直接從搜尋列使用這些報告命令。

  1. 巡覽至 [搜尋] 應用套件。
  2. 在資料中執行任何詞彙的搜尋。
  3. 在搜尋詞彙後面加上直立線符號 (「|」字元) 與一些基本報告命令。以此基本報告為例,這會在內部 Splunk 索引中尋找最常見的 5 個來源:
  4. screenshow_uploadLocal
  5. 選擇時間表下的 [結果圖表] 按鈕,以圖表方式檢視您的結果。若您希望使用 [格式化選項],可重新設定報告格式。
  6. 若您希望建立更精細的報告,請參閱 Splunk 使用者手冊中關於 Splunk 報告命令的詳細資訊。

預覽報告

產生報告時,Splunk 可讓您在產生過程中預覽報告結果。此功能可節省您的時間,尤其當搜尋範圍是很長一段期間時。請注意,使用報告命令進行的搜尋預設已啟用報告預覽,因此製作長期間報告時可以試試看。

  1. 巡覽至 [搜尋] 應用套件。
  2. 在搜尋列輸入報告產生的搜尋。
  3. 產生報告時,結果區域會顯示預覽。
  4. 若您對報告不滿意而希望在產生完畢前進行變更,只需按一下取消按鈕並編輯搜尋字串即可。

建立儀表板

建立儀表板,以儲存並共用您的搜尋與報告。儀表板會儲存最實用而資訊豐富的報告,讓其他使用者得以使用。您可從無到有建立儀表板,或在建立報告時製作。

  1. 巡覽至 [搜尋] 應用套件。
  2. 如果您已執行搜尋或報表,請在 [建立] 功能表下方按一下 [儀表板] 面版,可讓您將搜尋或報表新增到現有儀表板,或建立新儀表板。
  3. screenshow_uploadLocal

您亦可從無到有建立儀表板。

  1. 從 [儀表板和檢視] 功能表選擇 [建立儀表板]:
  2. screenshow_uploadLocal
  3. 會出現 [建立新儀表板] 視窗。為儀表板提供一個短名稱 (儀表板 ID) 與長名稱 (儀表板名稱)。完成時按一下 [建立]。
  4. 儀表板一開始是空白的。按一下 [編輯儀表板] 以開啟 [編輯] 視窗,並選擇第一個面板的 [面板類型] 和 [儲存的搜尋]。按一下 [新增面板],將新面板新增到儀表板。
  5. 若要重新命名面板、變更格式或更新所根據的搜尋,請按一下 [編輯面板]。
  6. 重複最後兩個步驟,建立更多面板。四處拖曳,直到您對配置方式滿意為止。
  7. 這樣就完成了!按一下 [關閉] 以檢視儀表板的外觀。若您看到希望變更的內容,請前往頁面上方的 [動作] 功能表,選擇 [編輯儀表板...] 並修正。

更多

希望瞭解更多 Splunk 用途的相關資訊嗎?請使用以下連結,參考 Splunk 的線上說明文件。