Splunk实践指南PDF电子书下载

第1章 Splunk交互界面 1

1.1 登录Splunk 1

1.2 首页应用程序 2

1.3 顶栏 4

1.4 搜索应用程序 6

1.4.1 数据生成器 6

1.4.2 概要视图 6

1.4.3 搜索 8

1.4.4 动作 9

1.4.5 时间轴 10

1.4.6 字段选择器 11

1.4.7 搜索结果 11

1.5 使用时间选择器 15

1.6 使用字段选择器 16

1.7 使用管理器 17

1.8 总结 19

第2章 理解搜索 20

2.1 有效地使用搜索词 20

2.2 布尔和分组操作符 21

2.3 点击修改你的搜索 22

2.3.1 事件分割 22

2.3.2 字段组件 23

2.3.3 时间 23

2.4 使用字段进行查询 23

2.5 有效地使用通配符 24

2.5.1 仅仅尾部通配符是有效的 25

2.5.2 通配符最后测试 25

2.5.3 在字段中补充通配符 25

2.6 关于时间 25

2.6.1 Splunk如何解析时间 25

2.6.2 Splunk如何存储时间 26

2.6.3 Splunk如何显示时间 26

2.6.4 确定时区的方法及原因 26

2.6.5 搜索时间的不同方式 27

2.6.6 在搜索中嵌入式地指定时间 29

2.6.7 indextime与time对比 29

2.7 加速搜索 29

2.8 分享结果 30

2.9 保存结果供再次使用 32

2.10 根据搜索创建报警 34

2.10.1 定时计划 34

2.10.2 动作 36

2.11 总结 37

第3章 表格、图表和字段 38

3.1 关于管道符号 38

3.2 使用top命令显示常见字段数值 39

3.3 使用stats命令聚合数值 42

3.4 使用图表转换数据 45

3.5 使用时间图显示数值在时间上的变化 46

3.6 使用字段 49

3.6.1 正则表达式 49

3.6.2 创建字段的命令 51

3.6.3 抽取日志级别 52

3.7 总结 60

第4章 简单XML指示板 61

4.1 指示板的作用 61

4.2 使用向导构建指示板 62

4.3 定时生成指示板 69

4.4 直接编辑XML 69

4.5 用户交互案例应用程序 69

4.6 构建表单 70

4.6.1 根据指示板创建表单 70

4.6.2 从一个表单中产生多个面板 74

4.6.3 后处理的搜索结果 79

4.6.4 后处理的限制 80

4.7 总结 84

第5章 高级搜索案例 85

5.1 使用子查询寻找松散相关的事件 85

5.1.1 子查询 85

5.1.2 子查询使用的注意事项 86

5.1.3 嵌套子查询 86

5.2 使用事务命令 87

5.2.1 使用事务计算会话时长 88

5.2.2 合计事务统计信息 90

5.2.3 用事务组合子搜索 90

5.3 计算并发量 94

5.3.1 使用带并发的事务 94

5.3.2 使用并发量估计服务器负载 95

5.3.3 使用by字句计算并发量 96

5.4 计算每个时间片段的事务 100

5.4.1 使用timechart命令 100

5.4.2 计算每分钟内的平均请求量 101

5.4.3 计算每分钟、每小时内的平均事件 103

5.5 重构top命令 105

5.6 总结 110

第6章 扩展搜索 111

6.1 使用标签简化搜索 111

6.2 使用事件类型对结果分类 113

6.3 通过查找操作丰富数据 116

6.3.1 定义查找操作的表格文件 117

6.3.2 定义一个查找操作的表格文件 118

6.3.3 定义自动查找操作 120

6.3.4 在查找操作中排除故障 122

6.4 使用宏以重复使用逻辑 123

6.4.1 创建一个简单的宏 123

6.4.2 创建带有参数的宏 124

6.4.3 使用eval命令构建一个宏 125

6.5 创建工作流动作 125

6.5.1 使用事件中的数值运行查询 125

6.5.2 链接到外部站点 127

6.5.3 构建工作流动作以展示字段上下文 128

6.6 使用外部命令 132

6.6.1 从XML中抽取数值 133

6.6.2 使用Google生成结果 134

6.7 总结 135

第7章 使用应用程序 136

7.1 定义应用程序 136

7.2 自带的应用程序 137

7.3 安装应用程序 137

7.3.1 从Splunk库中安装应用程序 138

7.3.2 从文件安装应用程序 141

7.4 构建第一个应用程序 141

7.5 编辑导航 143

7.6 定制应用程序外观 146

7.6.1 定制启动图标 146

7.6.2 使用定制CSS 146

7.6.3 使用定制HTML 147

7.7 对象权限 151

7.7.1 权限如何影响导航 151

7.7.2 权限如何影响其他对象 152

7.7.3 纠正权限问题 153

7.8 应用程序目录结构 154

7.9 将应用程序添加到Splunk库中 155

7.9.1 准备你的应用程序 155

7.9.2 打包应用程序 157

7.9.3 上传应用程序 158

7.10 总结 158

第8章 构建高级指示板 159

8.1 使用高级XML的原因 159

8.2 不使用高级XML的原因 159

8.3 开发过程 160

8.4 高级XML结构 160

8.5 将简单XML转换为高级XML 162

8.6 模块逻辑流 166

8.7 理解布局面板 168

8.8 再次使用查询 170

8.9 使用意图 171

8.9.1 字符串替换 172

8.9.2 添加查询词（addterm） 173

8.10 创建定制的细化查询 173

8.10.1 根据定制查询语句构建明细查询 173

8.10.2 为另一个面板构建细化查询 175

8.10.3 对多面板使用HiddenPost-Process模块构建细化查询 177

8.11 第三方插件 181

8.11.1 Google地图 181

8.11.2 边视图工具（Sideview Utils） 183

8.12 总结 191

第9章 摘要索引和CSV文件 192

9.1 理解摘要索引 192

9.2 何时使用摘要索引 193

9.3 何时不使用摘要索引 194

9.4 利用保存的查询生成摘要索引 195

9.5 在查询中使用摘要索引事件 196

9.6 使用sistats、sitop和sitimechart命令 198

9.7 延迟如何影响摘要查询 201

9.8 如何以及何时回填摘要数据 202

9.8.1 使用fill_summary_index.Py回填 202

9.8.2 使用collect命令生成定制的摘要索引 203

9.9 减少摘要索引的规模 206

9.9.1 使用eval和rex命令定义分组字段 206

9.9.2 使用带有通配符的查找操作 208

9.9.3 使用事件类型对结果分组 210

9.10 大跨度的时间范围内计算排名靠前的结果 212

9.11 在摘要索引中存储原始事件 215

9.12 使用CSV文件存储暂态数据 217

9.12.1 预填充下拉菜单 217

9.12.2 计算一天的数据 218

9.13 总结 219

第10章 配置Splunk 220

10.1 Splunk配置文件的位置 220

10.2 Splunk配置文件的结构 221

10.3 配置合并逻辑 222

10.3.1 合并顺序 222

10.3.2 配置合并逻辑 223

10.3.3 使用btool 229

10.4 Splunk中的.conf文件概览 230

10.4.1 props.conf 230

10.4.2 inputs.conf 236

10.4.3 transforms.conf 243

10.4.4 fields.conf 252

10.4.5 outputs.conf 253

10.4.6 indexes.conf 253

10.4.7 authorize.conf 255

10.4.8 savedsearches.conf 255

10.4.9 times.conf 256

10.4.10 commands.conf 256

10.4.11 web.conf 256

10.5 用户交互资源 256

10.5.1 视图与导航 256

10.5.2 应用程序服务器资源 257

10.5.3 元数据 257

10.6 总结 259

第11章 高级部署 260

11.1 制定安装计划 260

11.2 Splunk实例类型 261

11.2.1 Splunk转发器 261

11.2.2 Splunk索引器 262

11.2.3 Splunk搜索 263

11.3 常见数据来源 263

11.3.1 监视服务器日志 263

11.3.2 监视共享驱动器日志 264

11.3.3 批量处理日志 264

11.3.4 接收系统日志事件 265

11.3.5 处理数据库日志 268

11.3.6 使用脚本收集数据 269

11.4 计算索引器规模 269

11.5 制定冗余计划 271

11.5.1 索引器负载均衡 271

11.5.2 理解典型的系统中断 272

11.6 使用多个索引 273

11.6.1 索引的目录结构 273

11.6.2 创建更多索引的时机 274

11.6.3 桶的生命周期 275

11.6.4 计算索引规模 276

11.6.5 使用卷管理多个索引 277

11.7 部署Splunk二进制文件 279

11.7.1 根据压缩文件部署 280

11.7.2 使用msiexec命令部署 280

11.7.3 添加基本配置 280

11.7.4 配置Splunk以实现开机时启动 281

11.8 使用应用程序组织配置 281

11.9 配置分布 285

11.9.1 使用你自己的部署系统 285

11.9.2 使用Splunk部署服务器 286

11.10 为授权使用LDAP 291

11.11 使用单点登录 292

11.12 负载均衡与Splunk 292

11.12.1 Web 292

11.12.2 splunktcp 293

11.12.3 部署服务器 293

11.13 多搜索头部 293

11.14 总结 294

第12章 扩展Splunk 295

12.1 书写脚本化的输入以收集数据 295

12.1.1 捕获不带日期的脚本输出 295

12.1.2 捕获脚本输出作为单独事件 298

12.1.3 编写长时间运行的脚本输入 299

12.2 在命令行中使用Splunk 300

12.3 通过REST命令查询Splunk 301

12.4 编写命令 304

12.4.1 何时不编写命令 304

12.4.2 何时编写命令 305

12.4.3 配置命令 305

12.4.4 添加字段 306

12.4.5 操作数据 307

12.4.6 转换数据 308

12.4.7 产生数据 313

12.5 编写脚本化的查找操作以丰富数据 314

12.6 编写事件渲染器 316

12.6.1 使用特殊字段 317

12.6.2 基于字段数值的字段表格 318

12.6.3 打印XML 320

12.7 编写脚本化的报警动作以处理结果 322

12.8 总结 324