Splunk 简明教程

Splunk - Overview

Splunk 是一款处理机器数据和其他形式大数据的软件,并从中提取见解。这种机器数据是由运行 Web 服务器的 CPU、IOT 设备、移动应用程序日志等生成的。没有必要将此数据提供给终端用户,也没有任何业务意义。但是,它们对于理解、监视和优化机器性能至关重要。

Splunk 可以读取此类非结构化、半结构化或很少结构化的数据。在读取数据后,它允许在这些数据上进行搜索、标记、创建报告和仪表板。随着大数据时代的到来,Splunk 现在能够从各种来源获取大数据,无论这些来源是否是机器数据,并在其上运行分析。

因此,从一个用于日志分析的简单工具开始,Splunk 经历了漫长的过程,变得不结构化机器数据和各种形式大数据的通用分析工具。

Product Categories

Splunk 可分为以下三种不同产品类别:

  1. Splunk Enterprise - 它适用于拥有大型 IT 基础设施和 IT 驱动物业的公司。它有助于收集和分析来自网站、应用程序、设备和传感器等的数据。

  2. Splunk Cloud - 它具有与企业版相同功能的云托管平台。它可以从 Splunk 本身或通过 AWS 云平台获得。

  3. Splunk Light - 它允许从一个位置实时搜索、报告和针对所有日志数据发出警报。与其他两个版本相比,它的功能和特性有限。

Splunk Features

在本节中,我们将讨论企业版的特性:

Data Ingestion

Splunk 可以获取各种数据格式,如 JSON、XML 和非结构化机器数据,如 Web 和应用程序日志。非结构化数据可以根据用户的需要建模为数据结构。

Data Indexing

Splunk 会对获取的数据进行索引,以便更快地在不同条件下进行搜索和查询。

Data Searching

在 Splunk 中进行搜索涉及使用索引数据来创建度量、预测未来趋势并识别数据中的模式。

Using Alerts

当在正在分析的数据中发现某些特定标准时,可使用 Splunk 警报来触发电子邮件或 RSS 源。

Dashboards

Splunk 仪表板可以以图表、报表和透视表等形式显示搜索结果。

Data Model

索引数据可以根据专业领域知识建模成一个或多个数据集。这使得最终用户可以更轻松地导航,他们在分析业务案例时无需学习 Splunk 所使用的技术性搜索处理语言。