Splunk User最熟悉的操作介面應該,也一定就是瀏覽器介面了,通常指令及設定檔能做到的事,在瀏覽器介面上也能做到,有疑問Splunk能不能做到甚麼功能的時候,最大的原因就是瀏覽器介面沒有摸透,而這也是使用Splunk時最怕的因素之一,甚至會錯怪Splunk無法做到特定功能或是耽誤使用者寶貴的時間。
今天來介紹瀏覽器上常用的功能,以架構式的方式來介紹幾個主要功能。
而監控主控台則是顯示目前Splunk各方面的處理效能
設定
搜索、報告與警示:這裡會顯示你的特定報告與相關設定,要排程前必須先將search存成報告。
資料模式、事件類型、標記:這三項其實都是在找特定型態的資料,大同小異,用了就知道。
欄位:按照正規表達式與splunk的規則來創造特定標籤,方便數據分析。
查閱:利用對照表的方式新增特定欄位。
使用者介面:客製化splunk web介面的功能項目。
進階搜索:搜索更細部的設定,最常見的設定是巨集設定,意即將過長的search command定義成一段短文字。
所有設定:如字面上所示。
資料輸入:可以設定各種的資料接收方式。
轉送與接收:與上面類似,設定資料的轉送與接收。
索引:設定資料的儲存方式與相關設定,如:資料備份更新政策。
來源類型:設定資料解析的方式,裡面已經有Splunk預設的資料類型意即資料解析方式,如:cisco asa等等。
分散式環境下中的項目就不多說了,同字義上就是在設定分散式環境的參數。
存取控制:設定使用者權限的地方,有一點須注意,Splunk預設帳密登入進去的角色為admin,但沒有刪除資料的權限,要刪除資料需另外設定,而這個設定是很重大的設定,想知道可以底下留言、隱密留言或是好好參考官方doc。
功能
工作:查看目前Splunk在執行、執行完畢的工作有哪些,當系統資源有限的時候就會很密切的使用了,另外系統預設同時只能有十個Search command在執行(同時執行數量系統依據設備性能決定)。
觸發的警訊:紀錄觸發過的警訊。
沒有留言:
張貼留言