Splunk實(shí)踐指南

譯者序
前言
第1章　Splunk交互界面1
1.1　登錄Splunk1
1.2　首頁應(yīng)用程序2
1.3　頂欄4
1.4　搜索應(yīng)用程序6
1.4.1　數(shù)據(jù)生成器6
1.4.2　概要視圖6
1.4.3　搜索8
1.4.4　動(dòng)作9
1.4.5　時(shí)間軸10
1.4.6　字段選擇器11
1.4.7　搜索結(jié)果 11
1.5　使用時(shí)間選擇器15
1.6　使用字段選擇器16
1.7　使用管理器17
1.8　總結(jié)19
第2章　理解搜索20
2.1　有效地使用搜索詞20
2.2　布爾和分組操作符21
2.3　點(diǎn)擊修改你的搜索22
2.3.1　事件分割22
2.3.2　字段組件23
2.3.3　時(shí)間23
2.4　使用字段進(jìn)行查詢23
2.5　有效地使用通配符24
2.5.1　僅僅尾部通配符是有效的25
2.5.2　通配符最后測試25
2.5.3　在字段中補(bǔ)充通配符25
2.6　關(guān)于時(shí)間25
2.6.1　Splunk如何解析時(shí)間25
2.6.2　Splunk如何存儲(chǔ)時(shí)間26
2.6.3　Splunk如何顯示時(shí)間26
2.6.4　確定時(shí)區(qū)的方法及原因26
2.6.5　搜索時(shí)間的不同方式27
2.6.6　在搜索中嵌入式地指定時(shí)間29
2.6.7　_indextime 與 _time 對比29
2.7　加速搜索 29
2.8　分享結(jié)果30
2.9　保存結(jié)果供再次使用32
2.10　根據(jù)搜索創(chuàng)建報(bào)警34
2.10.1　定時(shí)計(jì)劃34
2.10.2　動(dòng)作36
2.11　總結(jié)37
第3章　表格、圖表和字段38
3.1　關(guān)于管道符號(hào)38
3.2　使用top命令顯示常見字段數(shù)值39
3.3　使用stats命令聚合數(shù)值42
3.4　使用圖表轉(zhuǎn)換數(shù)據(jù)45
3.5使用時(shí)間圖顯示數(shù)值在時(shí)間上的變化46
3.6　使用字段49
3.6.1　正則表達(dá)式49
3.6.2　創(chuàng)建字段的命令51
3.6.3　抽取日志級(jí)別52
3.7　總結(jié)60
第4章　簡單XML指示板61
4.1　指示板的作用61
4.2　使用向?qū)?gòu)建指示板62
4.3　定時(shí)生成指示板69
4.4　直接編輯XML69
4.5　用戶交互案例應(yīng)用程序69
4.6　構(gòu)建表單70
4.6.1　根據(jù)指示板創(chuàng)建表單70
4.6.2　從一個(gè)表單中產(chǎn)生多個(gè)面板74
4.6.3　后處理的搜索結(jié)果79
4.6.4　后處理的限制80
4.7總結(jié)84
第5章　高級(jí)搜索案例85
5.1使用子查詢尋找松散相關(guān)的事件85
5.1.1子查詢85
5.1.2子查詢使用的注意事項(xiàng)86
5.1.3嵌套子查詢86
5.2使用事務(wù)命令87
5.2.1使用事務(wù)計(jì)算會(huì)話時(shí)長88
5.2.2合計(jì)事務(wù)統(tǒng)計(jì)信息90
5.2.3用事務(wù)組合子搜索90
5.3計(jì)算并發(fā)量94
5.3.1使用帶并發(fā)的事務(wù)94
5.3.2使用并發(fā)量估計(jì)服務(wù)器負(fù)載95
5.3.3　使用by字句計(jì)算并發(fā)量96
5.4　計(jì)算每個(gè)時(shí)間片段的事務(wù)100
5.4.1　使用timechart命令100
5.4.2計(jì)算每分鐘內(nèi)的平均請求量101
5.4.3計(jì)算每分鐘、每小時(shí)內(nèi)的平均事件103
5.5重構(gòu)top命令105
5.6總結(jié)110
第6章　擴(kuò)展搜索111
6.1使用標(biāo)簽簡化搜索111
6.2使用事件類型對結(jié)果分類113
6.3　通過查找操作豐富數(shù)據(jù)116
6.3.1　定義查找操作的表格文件117
6.3.2　定義一個(gè)查找操作的表格文件118
6.3.3　定義自動(dòng)查找操作120
6.3.4在查找操作中排除故障122
6.4　使用宏以重復(fù)使用邏輯123
6.4.1　創(chuàng)建一個(gè)簡單的宏123
6.4.2　創(chuàng)建帶有參數(shù)的宏124
6.4.3　使用eval命令構(gòu)建一個(gè)宏125
6.5　創(chuàng)建工作流動(dòng)作125
6.5.1　使用事件中的數(shù)值運(yùn)行查詢125
6.5.2　鏈接到外部站點(diǎn)127
6.5.3　構(gòu)建工作流動(dòng)作以展示字段上下文128
6.6　使用外部命令132
6.6.1　從XML中抽取數(shù)值133
6.6.2　使用Google生成結(jié)果134
6.7　總結(jié)135
第7章　使用應(yīng)用程序136
7.1定義應(yīng)用程序136
7.2　自帶的應(yīng)用程序137
7.3　安裝應(yīng)用程序137
7.3.1　從Splunk庫中安裝應(yīng)用程序138
7.3.2　從文件安裝應(yīng)用程序141
7.4　構(gòu)建第一個(gè)應(yīng)用程序141
7.5　編輯導(dǎo)航143
7.6　定制應(yīng)用程序外觀146
7.6.1　定制啟動(dòng)圖標(biāo)146
7.6.2　使用定制CSS146
7.6.3使用定制HTML147
7.7　對象權(quán)限151
7.7.1　權(quán)限如何影響導(dǎo)航151
7.7.2　權(quán)限如何影響其他對象152
7.7.3　糾正權(quán)限問題153
7.8　應(yīng)用程序目錄結(jié)構(gòu)154
7.9　將應(yīng)用程序添加到Splunk庫中155
7.9.1　準(zhǔn)備你的應(yīng)用程序155
7.9.2　打包應(yīng)用程序157
7.9.3　上傳應(yīng)用程序158
7.10總結(jié)158
第8章　構(gòu)建高級(jí)指示板159
8.1　使用高級(jí)XML的原因159
8.2　不使用高級(jí)XML的原因159
8.3　開發(fā)過程160
8.4　高級(jí)XML結(jié)構(gòu)160
8.5　將簡單XML轉(zhuǎn)換為高級(jí)XML162
8.6　模塊邏輯流166
8.7理解布局面板168
8.8再次使用查詢170
8.9　使用意圖171
8.9.1　字符串替換172
8.9.2　添加查詢詞（addterm）173
8.10　創(chuàng)建定制的細(xì)化查詢173
8.10.1　根據(jù)定制查詢語句構(gòu)建明細(xì)查詢173
8.10.2　為另一個(gè)面板構(gòu)建細(xì)化查詢175
8.10.3　對多面板使用HiddenPost- Process模塊構(gòu)建細(xì)化查詢 177
8.11　第三方插件181
8.11.1　Google地圖181
8.11.2　邊視圖工具（Sideview Utils）183
8.12總結(jié)191
第9章　摘要索引和CSV文件192
9.1理解摘要索引192
9.2何時(shí)使用摘要索引193
9.3何時(shí)不使用摘要索引194
9.4利用保存的查詢生成摘要索引195
9.5在查詢中使用摘要索引事件196
9.6使用sistats、sitop和sitimechart命令198
9.7延遲如何影響摘要查詢201
9.8如何以及何時(shí)回填摘要數(shù)據(jù)202
9.8.1使用fill_summary_index.py回填202
9.8.2使用collect命令生成定制的摘要索引203
9.9減少摘要索引的規(guī)模206
9.9.1使用eval和rex命令定義分組字段206
9.9.2使用帶有通配符的查找操作208
9.9.3使用事件類型對結(jié)果分組210
9.10大跨度的時(shí)間范圍內(nèi)計(jì)算排名靠前的結(jié)果212
9.11在摘要索引中存儲(chǔ)原始事件215
9.12使用CSV文件存儲(chǔ)暫態(tài)數(shù)據(jù)217
9.12.1預(yù)填充下拉菜單217
9.12.2計(jì)算一天的數(shù)據(jù)218
9.13總結(jié)219
第10章　配置Splunk220
10.1Splunk配置文件的位置220
10.2Splunk配置文件的結(jié)構(gòu)221
10.3配置合并邏輯222
10.3.1合并順序222
10.3.2配置合并邏輯223
10.3.3使用btool229
10.4Splunk中的.conf文件概覽230
10.4.1props.conf230
10.4.2inputs.conf236
10.4.3transforms.conf243
10.4.4fields.conf252
10.4.5outputs.conf253
10.4.6indexes.conf253
10.4.7authorize.conf255
10.4.8savedsearches.conf255
10.4.9times.conf256
10.4.10commands.conf256
10.4.11web.conf256
10.5用戶交互資源256
10.5.1視圖與導(dǎo)航256
10.5.2應(yīng)用程序服務(wù)器資源257
10.5.3元數(shù)據(jù)257
10.6總結(jié)259
第11章　高級(jí)部署260
11.1制定安裝計(jì)劃260
11.2Splunk實(shí)例類型261
11.2.1Splunk轉(zhuǎn)發(fā)器261
11.2.2　Splunk索引器262
11.2.3Splunk搜索263
11.3常見數(shù)據(jù)來源263
11.3.1監(jiān)視服務(wù)器日志263
11.3.2監(jiān)視共享驅(qū)動(dòng)器日志264
11.3.3批量處理日志264
11.3.4接收系統(tǒng)日志事件265
11.3.5處理數(shù)據(jù)庫日志268
11.3.6使用腳本收集數(shù)據(jù)269
11.4計(jì)算索引器規(guī)模269
11.5制定冗余計(jì)劃271
11.5.1索引器負(fù)載均衡271
11.5.2理解典型的系統(tǒng)中斷272
11.6使用多個(gè)索引273
11.6.1索引的目錄結(jié)構(gòu)273
11.6.2創(chuàng)建更多索引的時(shí)機(jī)274
11.6.3桶的生命周期275
11.6.4計(jì)算索引規(guī)模276
11.6.5使用卷管理多個(gè)索引277
11.7部署Splunk二進(jìn)制文件279
11.7.1根據(jù)壓縮文件部署280
11.7.2使用msiexec命令部署280
11.7.3添加基本配置280
11.7.4配置Splunk以實(shí)現(xiàn)開機(jī)時(shí)啟動(dòng)281
11.8　使用應(yīng)用程序組織配置281
11.9配置分布285
11.9.1　使用你自己的部署系統(tǒng)285
11.9.2　使用Splunk部署服務(wù)器286
11.10　為授權(quán)使用LDAP291
11.11　使用單點(diǎn)登錄 292
11.12　負(fù)載均衡與Splunk292
11.12.1　Web292
11.12.2　splunktcp293
11.12.3　部署服務(wù)器293
11.13　多搜索頭部293
11.14總結(jié)294
第12章　擴(kuò)展Splunk295
12.1　書寫腳本化的輸入以收集數(shù)據(jù)295
12.1.1　 捕獲不帶日期的腳本輸出295
12.1.2　捕獲腳本輸出作為單獨(dú)事件298
12.1.3　編寫長時(shí)間運(yùn)行的腳本輸入299
12.2在命令行中使用Splunk300
12.3　通過REST命令查詢Splunk301
12.4編寫命令304
12.4.1　何時(shí)不編寫命令304
12.4.2　何時(shí)編寫命令305
12.4.3　配置命令305
12.4.4　添加字段306
12.4.5操作數(shù)據(jù)307
12.4.6　轉(zhuǎn)換數(shù)據(jù)308
12.4.7產(chǎn)生數(shù)據(jù)313
12.5編寫腳本化的查找操作以豐富數(shù)據(jù)314
12.6編寫事件渲染器316
12.6.1　使用特殊字段317
12.6.2　基于字段數(shù)值的字段表格318
12.6.3　打印XML320
12.7　編寫腳本化的報(bào)警動(dòng)作以處理結(jié)果322
12.8　總結(jié)324