Splunk 的用户界面提供了很多功能。请通读以下主题来更好地了解如何导航和使用您的 Splunk 安装。
Splunk 由各种应用组成。应用会利用各种视图、仪表板和配置为您的数据创建不同的环境。您现在正位于“入门介绍”应用中。您还可以使用从中创建搜索的搜索应用,以及可从中启动其他应用的默认应用 Splunk 主页。您还可以从 Splunkbase 添加新应用,或创建您自己的应用。
在应用之间导航
要导航到其他应用,请使用右上角的应用下拉菜单:
要查看您的 Splunk 实例中当前所安装应用的列表,您可以单击此页面右上角的“应用”菜单,然后选择“主页”以返回“主页”。这将使您离开“入门介绍”应用,但您可以从“主页”或“应用”菜单中再次选择“入门介绍”返回此处。
以前使用过 Splunk 吗?想找到您熟悉的功能吗?
如果您以前使用过 Splunk,您可能正在寻找“搜索”应用。要到达“搜索”应用,从右上角的“应用”菜单中选择“搜索”。
通过 Splunk 網站(Splunk 的用户界面)可使用大部分 Splunk 管理选项。请注意,一些配置只适用于具有管理员权限的 Splunk 用户。如果您无法访问本应用中讨论的部分配置,您可能没有访问它们的权限。
使用 Splunk 管理器
您可以使用“Splunk 管理器”来管理您的配置和应用。几乎每项配置更改都可以通过“Splunk 管理器”来设置。单击右上角的管理器链接可以转到管理器:
使用任务管理器
您可以使用“任务管理器”来管理您的搜索。您的所有搜索都作为任务运行。单击右上角的任务链接,可以列出和控制在您的系统上运行的所有搜索:
添加更多应用
要浏览和下载 Splunk 的更多应用,返回“主页”,并单击“查找更多应用”按钮。
您也可以创建自己的应用。有关更多信息,请参考开发人员手册。
只要计算机生成数据,Splunk 就可以建立数据索引。是的,没错 - Splunk 可以索引任何数据,无论是结构化的还是非结构化的,无需定制的分析器、连接器或适配器。您可以向 Splunk 提供任何数据,包括 Unix 服务器和网络设备的 syslog、Windows 上的事件日志、定制应用程序的日志,甚至是配置和系统指标-您可以对整个运行状态一览无余。
使用 Splunk 的将数据导入工作流功能,您可以找到可以添加到 Splunk 的所有不同类型的数据和导入此类数据的不同方法。有许多方法可以将您的数据导入 Splunk,具体取决于数据所在的位置。
Splunk 可以连续或一次性索引所有本地数据。将 Splunk 配置为通过“Splunk 管理器”索引文件或目录。您还可以在索引数据之前对其进行预览,并创建 Splunk 应如何处理数据的规则。
您可以使用 Splunk 来收集您的网络中其他计算机上的 Windows 数据。根据您的网络设置,您有几个选项可供选择:
您可以使用 Splunk 来收集您的网络中其他非 Windows 计算机上的数据。根据您的网络设置,您有几个选项可供选择:
使用此方法捕获通过 TCP 或 UDP 端口发送的数据。例如,将 Splunk 设置为在 UDP 514 上侦听,以捕获 syslog 数据。
还有一些其他方法可以将您的数据导入 Splunk。以下是几个常用选项:
收集分布式环境中多台计算机的数据
想知道如何使数据从分布式环境(例如,在本地登录的一系列应用或 Web 服务器)导入 Splunk 吗?Splunk 的通用转发器是轻型代理,可以部署到数十,甚至数以百计或千计的服务器,以实时捕获数据,或发送到中央 Splunk 索引器。您可以使用通用转发器将数据从其他系统发送到 Splunk。从“Splunk 管理器”设置转发。
编写您自己的导入脚本
为您的自定义数据源创建脚本式导入。脚本式导入对 vmstat、iostat、netstat、top 等命令行工具非常有用。从 API 以及其他远程数据接口和消息队列获取数据,并从执行系统和诸如 vmstat、iostat 等应用状态命令生成指标和状态数据。SplunkBase 上的许多应用都提供针对特定应用程序的脚本式导入。从“Splunk 管理器”设置脚本式导入。
监视文件系统更改
您想了解文件系统上发生了哪些更改吗?设置文件系统更改监视,便可以即时查看每项更改。使用此方法可以监视关键文件、配置文件等是否符合许多合规要求,还可以发现影响系统的更改和未授权更改,以保证安全和正常运营。
将数据导入 Splunk 后,您可以使用“搜索”应用来调查安全事故、解决应用程序、服务器和网络问题,或只是主动检查系统和用户活动。
搜索您要在数据中查找的任何文本。
数据进入 Splunk 时对其进行实时搜索。
您的搜索结果与时间线是交互的。在本部分中,只需单击就可以查看如何从您的搜索中添加、删除或排除术语。
任意搜索简单易用且功能强大,但并非始终都能提供您需要的答案。例如,您可能要排除 HTTP 状态代码为 200 的事件。但是,如果您只搜索“NOT 200”,您还会删除可能要保留的事件,例如来自包含 200 的 IP 地址的状态为“503”的事件。
索引您的原始数据中的每个词语时,Splunk 会基于名称/值对、标题或不需另行说明的其他信息来发现和添加字段。例如,Splunk 会将有关数据来源位置的信息添加到 host、source 和 sourcetype 字段。Splunk 还可能会识别数据的其他部分,例如,IP 地址、HTTP 状态代码等。您还可以按此应用的“添加知识”部分中的说明,添加您自己的字段。
在“选定字段”标题的下方列出的是可以在您的搜索结果中看到的字段。您可以选择显示多个字段。在“感兴趣的字段”下方列出的是 Splunk 自动发现的其他字段。
时间线是在每个时间点上发生的事件数的虚拟表示。因此,您可以使用时间线来突出显示事件的模式,或调查事件活动中的高值和低值。
搜索助理是产品中内置的快速参考,供用户在构建搜索时使用。它提供有关搜索命令的详细信息(其中包括使用范例),并建议其他命令供您使用。
通过从 IT 数据中提取知识,并允许动态地添加您自己的知识,Splunk 可使搜索到达它之前所未触及的位置。在您的数据中添加有关事件、字段、交易、格式和统计信息的知识,也可以识别、命名和标记此数据。
Splunk 在搜索时会映射所有此类知识,因此您可以在需要新字段和事件类型时随时添加它们,而不需要重新对数据建立索引。以下阐述从查找某个特定用户名的所有事件,到即时获取有关特定用户活动的统计信息的过程。
您搜索数据时,实际上是在剔除所有不需要的事件;您的搜索结果具有共同特性的事件,您可以为它们指定一个共同的名称或者“事件类型”。将事件类型的名称添加为 eventtype 字段的值。这表示您可以按搜索任意字段的相同方法搜索这些事件组。以下示例向您展示将搜索保存为 eventtype,然后搜索该字段的各步骤。
如果您运行常用搜索来调查 SSH 和防火墙活动,例如 sshd 登录或防火墙拒绝,则您可以将这些搜索保存为事件类型。另外,如果您看到的错误信息令人困惑,可以将其保存为具有更详细的描述性名称的事件类型。
您索引新数据时,Splunk 会为您自动提取知识;您需要新知识时也可以随时添加 - 不需要重新为数据建立索引。本部分向您介绍如何使用字段提取器来交互提取和保存新字段。
标记可以帮助您对具有相同字段值的搜索结果进行分组。标记是您附加到字段的特定值(例如,eventtype、host、source 或 sourcetype)的名称。例如,您可以使用服务名称或表示符合 PCI 等规定的注释来标记主机值。
通常,您可以使用标记:
有两种方法可以搜索标记,即对所有字段进行搜索或对特定字段对话框进行搜索。
有很多事可以让您以最有效的方式来使用和扩展 Splunk,使其对数据的处理能满足您企业的需要。随着您对 Splunk 部署的优化、维护和扩展,您可能要参考知识管理器手册。
“知识管理器”手册会指导您:
使用 Splunk 确定和找到您系统中的问题之后,可以利用其监视和告警功能在这些情况再次出现时通知您。您可以保存您的搜索以在需要的时候运行,或设置告警来为您执行监视。将告警配置为在搜索结果满足您定义的条件时触发。您甚至可以对实时发生的事件进行告警。
您可以将任何搜索变为告警。告警会通过电子邮件或 RSS 通知您。您还可以将告警设置为触发某个脚本。
您可以使用 Splunk 的内置可视化工具来创建报表。Splunk 在报表方面您提供了大量选项。从搜索结果可以直接创建简单的“时段上限值”报表。使用“报表构建器”来定义和设定复杂报表的格式。或者,使用 Splunk 强大的统计命令手动定义报表。最后,您还可以快速创建将您最好的报表与他人共享的仪表板。
在运行搜索之后,您可以快速启动报表来了解搜索结果中各字段的基本信息。
您可以启动报表构建器来创建报表并设定报表的格式。
您使用“报表构建器”下拉列表来定义报表时,您可能会注意到 Splunk 会使用统计报表命令(Splunk 使用其来运行报表)更新“报表构建器”搜索框。本部分说明了如何直接从搜索栏使用这些报表命令。
您运行报表时,Splunk 可以在搜索运行时为您预览报表结果。此功能会为您节省时间,尤其是运行的搜索时间跨度较长的时间。请注意,默认情况下对使用报表命令的搜索启用报表预览,因此可以在时间跨度较长的报表上尝试。
通过创建仪表板保存和共享您的搜索和报表。您可以将最有用、信息最丰富的报表放到仪表板中,让其他用户也可以使用这些报表。从头开始建立一个仪表板,或在您创建报表时创建一个仪表板。
您还可以从头开始创建仪表板。