Привет, Хабр!

Мы сегодня хотим рассказать о первой книге по Splunk на русском языке! «Внедрение Splunk 7» Джеймса Д. Миллера была выпущена в декабре 2018 года издательством ДМК Пресс при поддержке нашей компании.

Под катом вы найдете описание книги, небольшой фрагмент, а также ссылку на розыгрыш книги, который мы устраиваем для своих подписчиков.

Splunk — это платформа для сбора, хранения, обработки и операционного анализа машинных данных, то есть данных со всех физических, виртуальных и облачных сред ИТ-инфраструктуры организации. Splunk дает возможность подробно изучать машинные данные и превращает логи систем в ценную информацию. Применяется для поиска и устранения неполадок в ИТ-инфраструктуре, мониторинга нарушений системы безопасности, предотвращения атак, получения информации для бизнес-аналитики, оптимизации рабочего процесса предприятия и увеличения производительности, для работы с разнообразными большими массивами промышленных данных и данными от IoT. Splunk используется в широком спектре отраслей от здравоохранения, до финансовых услуг и промышленного производства.

В книге «Внедрение Splunk 7» от А до Я рассказывается о том, как работать в Splunk. Объяснения сопровождаются скриншотами-иллюстрациями, примерами поисковых запросов и фрагментами кода. Прочитав книгу, вы познакомитесь с встроенным языком поисковых запросов и научитесь из машинных данных получать таблицы, диаграммы и другую аналитику как на базовом, так и на продвинутом уровне. Узнаете, как оптимизировать скорость выполнения поисковых запросов на больших массивах данных и как создавать модели данных. Кроме того, в книге дается достаточно подробная информация по настройке системы и основным конфигурационным файлам, а также по особенностям распределенного развертывания, которое более распространено при продуктивной эксплуатации Splunk. Также в этом издании появился раздел, в котором описаны специальные инструменты для машинного обучения в Splunk и показано, как с их помощью создавать различные модели машинного обучения.

Эта книга будет полезна как новичкам, не имевшим ранее опыта работы в Splunk, так и продвинутым пользователям. Также книга будет интересна всем, кто так или иначе связан с данными, например, аналитикам данных или бизнес-аналитикам, которые смогут познакомится с новыми способами управления большими данными, и IT-администраторам, которые смогут понять, как организовать управление журналами и мониторинг систем в своей организации.

Фрагмент из книги


Поиск


Вот мы и добрались до поиска. Именно здесь сосредоточена вся мощь Splunk.
В качестве первого примера попробуем выполнить поиск (без учета регистра символов) по слову error. Щелкните в поле поиска, введите слово error и затем нажмите клавишу Enter или щелкните на значке с изображением лупы справа от поля, как показано на рис. 1.19.


Рис. 1.19 Поле поиска Search

После запуска процедуры поиска откроется страница с результатами (которая мало изменилась в версии 7.0), как показано на рис. 1.20.


Рис. 1.20 Страница с результатами поиска

Обратите внимание, что мы запустили поиск по данным за все время (по умолчанию); чтобы изменить интервал времени для поиска, можно использовать виджет выбора времени.

Однако из-за того, что мы экспериментируем на случайно сгенерированных данных, не все запросы будут действовать, как ожидается, и вам может потребоваться изменить их.
Описание этапов загрузки наборов данных вы найдете в предыдущем разделе «Генератор данных».

Как изменить интервал времени для поиска, вы узнаете в разделе «Использование виджета выбора времени».

Действия


Рассмотрим элементы на этой странице. Под поисковой строкой Search (Поиск) выводятся счетчик событий, значки действий и меню (рис. 1.21).


Рис. 1.21 Информация под полем Search (Поиск)

Вот какие сведения выводятся под поисковой строкой (слева направо).

  • Количество событий, найденных в процессе поиска. Технически это число может не соответствовать количеству результатов, прочитанных с диска, в зависимости от параметров поиска. Кроме того, если в запросе используются команды, это число может отличаться от числа событий в списке ниже.
  • Меню Job (Задание): открывает окно инспектора заданий поиска, в котором приводится очень подробная информация о запросе.
  • Кнопка «Пауза»: приостанавливает текущий поиск событий, но не удаляет результаты. Это может пригодиться, когда нужно просмотреть уже полученные результаты, чтобы определить – стоит ли продолжать поиск, который может занять продолжительное время.
  • Кнопка «Стоп»: останавливает выполнение запроса, но сохраняет на странице уже полученные результаты. Это может пригодиться, когда получен достаточный объем информации и можно переходить к их исследованию.
  • Кнопка «Поделиться»: растягивает временной интервал поиска до семи суток и открывает доступ к результатам для чтения всем пользователям.
  • Кнопка «Печать»: форматирует страницу для печати и запускает функцию печати в браузере.
  • Кнопка «Экспорт»: экспортирует результаты, предлагая указать количество экспортируемых результатов и формат – CSV, простой текст, XML или JSON (JavaScript Object Notation – форма записи объектов JavaScript).
  • Меню Smart mode (Интеллектуальный режим): управляет режимом поиска. Вы можете использовать это меню для ускорения поиска, ограничивая объем возвращаемых данных и количество полей, которые Splunk будет извлекать из данных (Fast mode (Быстрый режим)). Также можно выбрать Verbose mode (Подробный режим), чтобы получить максимальный объем информации о событиях. В режиме Smart mode (Интеллектуальный режим), который используется по умолчанию, поведение поиска определяется его типом.

Шкала времени


Теперь перейдем к шкале времени, отображаемой под полосой с кнопками действий (рис. 1.22).


Рис. 1.22 Шкала времени

Шкала времени не только позволяет быстро оценить распределение событий в заданном интервале, но и является ценным инструментом, помогающим выбрать подходящий интервал. Если навести указатель мыши на шкалу времени, появится всплывающая подсказка с количеством событий в данном промежутке. Щелчок на шкале выбирает события за конкретный отрезок времени.

Если нажать левую кнопку мыши и потянуть указатель, выделится несколько отрезков времени, как показано на рис. 1.23.


Рис. 1.23 Выделение нескольких отрезков времени

Выделив интервал, можно щелкнуть на ссылке Zoom to selection (Увеличить масштаб выделения), чтобы изменить интервал и повторить поиск для данного интервала. Повторяя этот процесс, можно добраться до конкретных событий.

Deselect (Убрать выделение) снова возвращает отображение всех событий в интервале времени, установленном в виджете выбора времени.

Zoom out (Уменьшить масштаб) увеличивает интервал времени, отображаемый в окне.

Ознакомиться с дополнительными материалами и поучаствовать в розыгрыше одного из 5 экземпляров книги вы можете по ссылке.

Купить книгу можно на сайте издательства.

Комментарии (0)