«Внедрение Splunk 7» — первая книга по Splunk на русском языке29.01.2019 12:49

g_vrghaxodf-tkxxt_1ovmlkteo.jpeg
Привет, Хабр!

Мы сегодня хотим рассказать о первой книге по Splunk на русском языке!»Внедрение Splunk 7» Джеймса Д. Миллера была выпущена в декабре 2018 года издательством ДМК Пресс при поддержке нашей компании.

Под катом вы найдете описание книги, небольшой фрагмент, а также ссылку на розыгрыш книги, который мы устраиваем для своих подписчиков.

Splunk — это платформа для сбора, хранения, обработки и операционного анализа машинных данных, то есть данных со всех физических, виртуальных и облачных сред ИТ-инфраструктуры организации. Splunk дает возможность подробно изучать машинные данные и превращает логи систем в ценную информацию. Применяется для поиска и устранения неполадок в ИТ-инфраструктуре, мониторинга нарушений системы безопасности, предотвращения атак, получения информации для бизнес-аналитики, оптимизации рабочего процесса предприятия и увеличения производительности, для работы с разнообразными большими массивами промышленных данных и данными от IoT. Splunk используется в широком спектре отраслей от здравоохранения, до финансовых услуг и промышленного производства.

В книге «Внедрение Splunk 7» от А до Я рассказывается о том, как работать в Splunk. Объяснения сопровождаются скриншотами-иллюстрациями, примерами поисковых запросов и фрагментами кода. Прочитав книгу, вы познакомитесь с встроенным языком поисковых запросов и научитесь из машинных данных получать таблицы, диаграммы и другую аналитику как на базовом, так и на продвинутом уровне. Узнаете, как оптимизировать скорость выполнения поисковых запросов на больших массивах данных и как создавать модели данных. Кроме того, в книге дается достаточно подробная информация по настройке системы и основным конфигурационным файлам, а также по особенностям распределенного развертывания, которое более распространено при продуктивной эксплуатации Splunk. Также в этом издании появился раздел, в котором описаны специальные инструменты для машинного обучения в Splunk и показано, как с их помощью создавать различные модели машинного обучения.

Эта книга будет полезна как новичкам, не имевшим ранее опыта работы в Splunk, так и продвинутым пользователям. Также книга будет интересна всем, кто так или иначе связан с данными, например, аналитикам данных или бизнес-аналитикам, которые смогут познакомится с новыми способами управления большими данными, и IT-администраторам, которые смогут понять, как организовать управление журналами и мониторинг систем в своей организации.

Фрагмент из книги


Поиск

Вот мы и добрались до поиска. Именно здесь сосредоточена вся мощь Splunk.
В качестве первого примера попробуем выполнить поиск (без учета регистра символов) по слову error. Щелкните в поле поиска, введите слово error и затем нажмите клавишу Enter или щелкните на значке с изображением лупы справа от поля, как показано на рис. 1.19.


3-yjo0x-w8fb4p9emdibzbk5vii.png

Рис. 1.19 Поле поиска Search

После запуска процедуры поиска откроется страница с результатами (которая мало изменилась в версии 7.0), как показано на рис. 1.20.


zu_yyr8ftungried-fnntzovdss.png

Рис. 1.20 Страница с результатами поиска

Обратите внимание, что мы запустили поиск по данным за все время (по умолчанию); чтобы изменить интервал времени для поиска, можно использовать виджет выбора времени.

Однако из-за того, что мы экспериментируем на случайно сгенерированных данных, не все запросы будут действовать, как ожидается, и вам может потребоваться изменить их.
Описание этапов загрузки наборов данных вы найдете в предыдущем разделе «Генератор данных».
Как изменить интервал времени для поиска, вы узнаете в разделе «Использование виджета выбора времени».


Действия

Рассмотрим элементы на этой странице. Под поисковой строкой Search (Поиск) выводятся счетчик событий, значки действий и меню (рис. 1.21).


4v2i2huywlkae7sfrbvfueulna4.png

Рис. 1.21 Информация под полем Search (Поиск)

Вот какие сведения выводятся под поисковой строкой (слева направо).


  • Количество событий, найденных в процессе поиска. Технически это число может не соответствовать количеству результатов, прочитанных с диска, в зависимости от параметров поиска. Кроме того, если в запросе используются команды, это число может отличаться от числа событий в списке ниже.
  • Меню Job (Задание): открывает окно инспектора заданий поиска, в котором приводится очень подробная информация о запросе.
  • Кнопка «Пауза»: приостанавливает текущий поиск событий, но не удаляет результаты. Это может пригодиться, когда нужно просмотреть уже полученные результаты, чтобы определить — стоит ли продолжать поиск, который может занять продолжительное время.
  • Кнопка «Стоп»: останавливает выполнение запроса, но сохраняет на странице уже полученные результаты. Это может пригодиться, когда получен достаточный объем информации и можно переходить к их исследованию.
  • Кнопка «Поделиться»: растягивает временной интервал поиска до семи суток и открывает доступ к результатам для чтения всем пользователям.
  • Кнопка «Печать»: форматирует страницу для печати и запускает функцию печати в браузере.
  • Кнопка «Экспорт»: экспортирует результаты, предлагая указать количество экспортируемых результатов и формат — CSV, простой текст, XML или JSON (JavaScript Object Notation — форма записи объектов JavaScript).
  • Меню Smart mode (Интеллектуальный режим): управляет режимом поиска. Вы можете использовать это меню для ускорения поиска, ограничивая объем возвращаемых данных и количество полей, которые Splunk будет извлекать из данных (Fast mode (Быстрый режим)). Также можно выбрать Verbose mode (Подробный режим), чтобы получить максимальный объем информации о событиях. В режиме Smart mode (Интеллектуальный режим), который используется по умолчанию, поведение поиска определяется его типом.


i_9fmpujx_lanrjvnukplo9rady.png

Рис. 1.22 Шкала времени

Шкала времени не только позволяет быстро оценить распределение событий в заданном интервале, но и является ценным инструментом, помогающим выбрать подходящий интервал. Если навести указатель мыши на шкалу времени, появится всплывающая подсказка с количеством событий в данном промежутке. Щелчок на шкале выбирает события за конкретный отрезок времени.
Если нажать левую кнопку мыши и потянуть указатель, выделится несколько отрезков времени, как показано на рис. 1.23.


3y_6oe2z82y0zxnrqpfbvpo7h-a.png

Рис. 1.23 Выделение нескольких отрезков времени

Выделив интервал, можно щелкнуть на ссылке Zoom to selection (Увеличить масштаб выделения), чтобы изменить интервал и повторить поиск для данного интервала. Повторяя этот процесс, можно добраться до конкретных событий.
Deselect (Убрать выделение) снова возвращает отображение всех событий в интервале времени, установленном в виджете выбора времени.
Zoom out (Уменьшить масштаб) увеличивает интервал времени, отображаемый в окне.

Ознакомиться с дополнительными материалами и поучаствовать в розыгрыше одного из 5 экземпляров книги вы можете по ссылке.

Купить книгу можно на сайте издательства.

© Habrahabr.ru