splunk快速入门教程.pdf

发布时间：2022-06-13 发布人：admin 分类：说明书资料大小：6.35M 资料格式：pdf 举报版权申诉

4100f998-312c-4733-b90c-f73530695d33.pdf-第1页.png

第1页 / 共28页

4100f998-312c-4733-b90c-f73530695d33.pdf-第2页.png

第2页 / 共28页

4100f998-312c-4733-b90c-f73530695d33.pdf-第3页.png

第3页 / 共28页

4100f998-312c-4733-b90c-f73530695d33.pdf-第4页.png

第4页 / 共28页

4100f998-312c-4733-b90c-f73530695d33.pdf-第5页.png

第5页 / 共28页

4100f998-312c-4733-b90c-f73530695d33.pdf-第6页.png

第6页 / 共28页

4100f998-312c-4733-b90c-f73530695d33.pdf-第7页.png

第7页 / 共28页

4100f998-312c-4733-b90c-f73530695d33.pdf-第8页.png

第8页 / 共28页

文本预览

Splunk > 快速入门教程欢迎与说明本文档旨在为 Splunk 的新手用户提供一个有具体示例的快速入门使用说明，文档的内容主要参照 Splunk Tutorial 官方教程文档提供一个中文对对照版本，如果希望直接参考英文版的 Splunk Tutorial，请访问这里。 Splunk 是什么？ Splunk 是一个针对 IT 数据的数据引擎软件，这些 IT 数据来自于组成你的 IT 基础架构设施的各种应用程序、服务器、网络设备，等等。Splunk 是一个强大和灵活的搜索与分析引擎，通过收集和索引各种来源的 IT 数据，你可以实时的对 IT 基础架构设施的任何地方发生的问题进行调查分析、故障排查、监控告警以及可视化报表展现。安装和启动 Splunk 60 天的试用版本。安装程序支持各种主流的操作系统—Windows、Linux、AIX、 Solaris、HP-UX、MacOS，等等。如需下载最新版本的 Splunk 安装程序，请访问 Splunk 官方下载地址。骤，可以参见这里。 Splunk 的安装程序可以在 Splunk 的网站上免费下载到一个每天 500M 数据量、 Splunk 的安装非常简单，只需几分钟的时间即可完成。各个版本的详细安装步 1

启动 Splunk 的时候你需要启动两个进程：Splunkd 和 Splunkweb。Splunkd 是 Splunk 的主进程程序，负责索引数据和处理对数据的搜索请求。Splunkweb 是提供了一个 Web 方式的图形操作界面，你可以使用浏览器来登录 Splunk 进行操作。如果在 Windows 的操作系统启动 Splunk，可以在“控制面板”里的“服务”里面启动 Splunkd 和 SplunkWeb 两个服务。如果是在 Unix/Linux 命令行中启动 Splunk，你可以进入到 Splunk 的安装路径下的 bin 目录中，执行 ./splunk start 即可。登录 Splunk 用 8000 端口，如果是在本机登录 Splunk，你可以直接在地址栏输入 http://localhost:8000 changeme。 Splunk 启动后，你可以打开浏览器登录进入 Splunk。默认的情况下 Splunk 会使首次登录 Splunk 可以使用 Splunk 提供的一个预设账号 admin 和默认密码 2

登录后系统会提示你是否希望修改密码，你可以选择在此时修改密码或者暂时跳过。为 Splunk 添加数据本文档使用的样例数据来自一个鲜花礼品在线商店的场景，数据包括有 Apache web server 日志和 mysql 数据库日志。在真实使用 Splunk 的场景中，你可以有多种方式导入数据，例如读取指定路径文件、监听网络端口或者通过执行脚本输出数据。在本教程中，我们只是通过上传一个压缩文件的方式来导入数据。下面我们会首先从 Splunk 的网站上下载一个样本数据文件：sampledata.zip，你只需下载这个文件，不需要解压缩。注意：这个文件是每天更新的，所以你在不同时间下载到的样本数据里的时间戳是不同的。下载好样本数据后，回到 Splunk 的 Web 界面，在页面右上角选择“管理”。进入管理页面后，选择“数据导入”，新建一个文件或目录形式的数据导入类型，跳过 Data Preview。 3

进入“添加”页面后，在“数据来源” 部分选择“上传并索引一个文件”，选择事先下载好的 sampledata.zip。 4

在“更多设置”中，主机名称选择“路径取自正则表达式”，在“正则表达式”输入框输入下面的正则表达式：如果 Splunk 是安装在 Unix/Linux 系统，输入下面的正则表达式: Sampledata.zip:./([^/]+)/ 如果是 Windows 操作系统，使用下面的正则表达式 Sampledata.zip:.\\([^/]+)/ 其他部分我们使用系统默认设置即可，点击“保存”完成数据导入设置。完成后选择页面右上方的应用àSearch 进入 Search 应用。 5

Search 应用介绍在 Splunk 里面，各种功能模块、内容展现是以“应用”（apps）的方式呈现的，一个“应用”就是一类内容、资源的集合，例如所定义的字段名称、已保存的报表和搜索或者是仪表板。Splunk 公司网站的 splunkbase 里面已经有很多的 apps 可以提供用户下载直接使用，Splunk 的用户也可以自己编辑创建自己的 apps。 Search 应用是 Splunk 系统的一个主要的内置应用，在这个应用的首页是一个数据摘要仪表板。刚刚我们导入的数据已经在这个仪表板中呈现出来。下面是这个仪表板的各个部分的说明。我们点击 Source types 里的 access_combined_wcookie 来开始一个搜索，进入到搜索结果的展现页面。 6

**说明 1: 搜索结果的过程中，如果数据量很大，到 30 秒的时候系统会自动提示是否暂停搜索还是继续完成搜索，你可以选择继续或者暂停。 **说明 2：后续的例子中截图的显示数字不见得和你自己搜索结果的数字完全一样，另外因为样本数据是每天更新的，所以截图里面数据的时间戳也会和你自己练习的内容不一样。 7

开始数据搜索在上面的结果中，我们可以继续在搜索框输入额外的搜索条件（搜索时间范围保持“全部时间”）。例如我们希望查找一下 10.2.1.44 这个 IP 地址。我们可以在之前的条件后面用空格分隔一下输入 IP 地址。在键入搜索内容的时候，你会发现下面会有一些搜索内容的建议显示出来。这部分是 Splunk 的搜索助手，它可以提供匹配你搜索内容的后续的搜索建议，或者是一个搜索命令的简要帮助。 **搜索结果页面的时间轴也是我们可以用鼠标来点击交互操作的，大家可以自己试着用鼠标单击或者双击或者选择时间轴的一个段落来看看不同的搜索结果显示效果。另外，时间范围选择也是可以自定义的，这部分内容比较简单，就不详细说明了。搜索条件你也可以使用鼠标在结果内容区域进行点击的交互操作，被点击的内容会被自动增加到搜索框中。搜索结束后你可以看到，符合这种全文搜索的条件的匹配结果会被高亮显示出 8 来。

分享到：

赞收藏

资料库

splunk快速入门教程.pdf

相关推荐

课程资源

热门标签

最新资料