對於剛接觸Splunk的人一份官方經典教材可以參考,就是Search Tutorial,但是整篇滿滿的英文加上非常豐富的資訊,常常會讓剛踏入的人相當痛苦,尤其是那些熟悉中文介面的人來說,一開始可能會耐不住性子,甚至不知道如何找到自己想要的資訊。不過這也是Splunk官方文件的特色,非常詳細的資訊,所以從這份文件開始學習splunk是相當好的開頭,學習splunk的同時還能學習如何適應Splunk官方風格的文件,從中找出我們恰好需要的資訊。
這份教學有以下幾大部分:
- 開始使用
- 匯入資料
- 找資料
- 增加資料欄位
- 創造圖/表
- 創造報表
完整做過一次大概就算是摸到splunk的一些基本功能了,但新手比較常在增加欄位的階段出現問題,通常都是做太快,大意而忽略某些設定,照著教學設定就對了。
以下大概是新手比較常有問題的幾個地方:
- 上傳的檔案可以是壓縮檔嗎?
- 2010年之後發布的版本可以。
- Segment in path是什麼?
- 對應到的就是host欄位顯示的值,描述概念有點複雜,欲知詳情歡迎留言或來信。
- source跟sourcetype差在哪?
- 來源與資料格式,熟悉Splunk後很自然就懂了,目前階段之道就可以。
- 過程中fields sidebar跟官方文件長得不一樣。
- 不影響結果就好,別擔心。
- index是資料庫講的index嗎?跟資料庫索引的關係?
- 這裡當作splunk裡的專有名詞,與資料庫無關。
- splunk操作時常常忘了 " | "
- 熟能生巧
- subsearch可以不要以search開頭嗎?
- 不行
- lookup建立不成功。
- 多試幾次,尤其小細節。
- lookup到底有什麼用?
- 相當有用,特別在比對欄位的時候。
沒有留言:
張貼留言