Учебники

18) Что такое Splunk?

Что такое Splunk?

Splunk — это программная технология, которая используется для мониторинга, поиска, анализа и визуализации сгенерированных машиной данных в режиме реального времени. Он может отслеживать и читать различные типы файлов журналов и хранить данные в виде событий в индексаторах. Этот инструмент позволяет визуализировать данные в различных формах информационных панелей.

В этом уроке вы узнаете

Зачем нам нужен Splunk?

Splunk предлагает множество преимуществ для организации. Некоторые из преимуществ использования Splunk:

  • Обеспечивает улучшенный графический интерфейс и видимость в режиме реального времени на приборной панели
  • Это сокращает время поиска и устранения неисправностей, предлагая мгновенные результаты.
  • Это наиболее подходящий инструмент для анализа первопричин.
  • Splunk позволяет создавать графики, оповещения и информационные панели.
  • Вы можете легко искать и исследовать конкретные результаты, используя Splunk.
  • Это позволяет устранять любые неисправности для повышения производительности.
  • Помогает вам отслеживать любые бизнес-метрики и принимать обоснованные решения.
  • Splunk позволяет вам включить искусственный интеллект в вашу стратегию данных.
  • Позволяет собирать полезные оперативные данные из ваших машинных данных.
  • Обобщение и сбор ценной информации из разных журналов
  • Splunk позволяет принимать любые типы данных, такие как .csv, json, форматы журналов и т. Д.
  • Предлагает самые мощные возможности анализа поиска и визуализации для расширения возможностей пользователей всех типов.
  • Позволяет создать центральное хранилище для поиска данных Splunk из различных источников.

Особенности Splunk

Важные особенности Splunk:

  • Ускорение разработки и тестирования
  • Позволяет создавать приложения для обработки данных в реальном времени
  • Генерируйте ROI быстрее
  • Гибкая статистика и отчетность с архитектурой в реальном времени
  • Предлагает возможности поиска, анализа и визуализации для расширения возможностей пользователей всех типов

Splunk Продукты

Splunk доступен в трех разных версиях.

  • Splunk Enterprise
  • Splunk Light
  • Splunk Cloud

Splunk Enterprise

Редакция Splunk Enterprise используется крупным ИТ-бизнесом. Это поможет вам собирать и анализировать данные из приложений, веб-сайтов, приложений и т. Д.

Splunk Cloud

Splunk Cloud — это хостинговая платформа. Он имеет те же функции, что и корпоративная версия. Его можно получить из Splunk или с помощью облачной платформы AWS.

Splunk Light

Splunk Light — бесплатная версия. Это позволяет искать, сообщать и изменять ваши данные журнала. Он имеет ограниченные функциональные возможности и функции по сравнению с другими версиями.

Splunk Architecture

Splunk Architecture Diagram

Вот основные компоненты архитектуры Splunk:

Универсальный Форвард (УФ):

Universal forward или UF — это легкий компонент, который отправляет данные в мощный сервер пересылки Splunk. Вы можете установить Universal Forward на стороне клиента или сервера приложений. Работа этого компонента заключается только в пересылке данных журнала.

Балансировщик нагрузки (LB):

Балансировщик нагрузки используется по умолчанию. Тем не менее, это также позволяет вам использовать ваш персональный балансировщик нагрузки.

Тяжелый форвард (HF):

Тяжелый форвард — тяжелый компонент. Этот компонент Splunk позволяет фильтровать данные. Пример: сбор только журналов ошибок.

Индексатор (LB):

Индексатор помогает вам хранить и индексировать данные. Это улучшает производительность поиска Splunk. По умолчанию Splunk выполняет индексацию автоматически. Например, хост, источник, дата и время.

Поиск головы (SH):

Поисковая головка используется для получения интеллекта и составления отчетов.

Сервер развертывания (DS):

Сервер развертывания помогает развернуть конфигурацию. Например, обновите файл конфигурации UF. Мы можем использовать сервер развертывания для совместного использования между компонентами, которые мы можем использовать сервер развертывания.

Менеджер лицензий (LM):

Лицензия основана на объеме и использовании — например, 50 ГБ в день. Splunk регулярно проверяет детали лицензирования.

Как работает Splunk?

Экспедитор:

Сервер пересылки собирает данные с удаленных компьютеров, а затем пересылает данные в индекс в режиме реального времени.

Индексатор

Индексатор обрабатывает входящие данные в режиме реального времени. Он также хранит и индексирует данные на диске.

Поиск головы:

Конечные пользователи взаимодействуют со Splunk через Search Head. Это позволяет пользователям выполнять поиск, анализ и визуализацию.

Приложения Splunk

Постановка проблемы: у Мак-Дональда не было четкого представления о том, какие предложения работают лучше всего.

  • Тип предложения (например, скидка 20%)
  • Культурные различия на уровне региона
  • Время покупки
  • Устройство, используемое клиентом
  • Доход, генерируемый за заказ

Им нужно было понять поведение потребителей и их реакцию.

Весь процесс с использованием трех типов источников данных

  1. Заказ размещен в Mac Donald Outlet
  2. Заказ размещен в мобильном приложении
  3. Заказ мест с помощью веб-приложения

Теперь процесс переносится с одного шага на другой, как указано в приведенной ниже схеме.

вход

Входные данные перемещаются в стадию синтаксического анализа,

анализ

На этапе анализа соответствующие данные преобразуются в события:

  • Регион клиента
  • Доход за заказ
  • Время заказа (утром, днем, вечером, ночью)
  • Устройство, используемое клиентами (мобильный, ПК, планшет)
  • Применены купоны на скидку

Этап индексации

На этом этапе события сортируются и индексируются для хранения на основе:

  • Продажи по географическому положению
  • Доход от заказа
  • Время заказа (утром, днем, вечером, ночью)
  • Использование устройства клиентом
  • Предлагаемый купон применяется

Поиск головы

Он используется для получения интеллекта и составления отчетов.

Мак-Дональд использовал его, чтобы получить следующую информацию:

  • Какое торговое предложение лучше всего работает в каком географическом положении?
  • Как меняется поведение клиентов в доходах от заказов?
  • В какое время лучше всего применять бургер или комбинированные предложения?

Как Splunk помог?

  • Показать все заказы из определенного региона в режиме реального времени.
  • Определите, как различные рекламные предложения влияют в режиме реального времени
  • Мониторинг производительности собственных торговых точек Mac Donald.
  • Сотрудник может отслеживать, что говорят клиенты, и помогает понять ожидания клиентов.
  • Проанализированы скорости разных способов оплаты
  • Определить режим безошибочных платежей

Лучшие практики использования Splunk

  • Вы должны проверить индекс, чтобы вы могли быстро выполнить тест.
  • Есть определенные поля, которые вы должны получить прямо во время индекса. Все остальное вы можете создавать / изменять только после индексации.
  • Прерывание события происходит автоматически в Spunk, поэтому важно убедиться, что Splunk правильно обнаружил начало и конец события.
  • Splunk может автоматически определять отметку времени. Однако, если ваш формат журнала имеет другую временную метку, вам нужно настроить временную метку.

Известные компании, использующие Splunk

Некоторые известные компании, использующие Splunk:

  • Cisco
  • Bosch
  • IBM
  • Motorola
  • PepsiCo
  • саман
  • виза
  • Adidas
  • facebook
  • Salesforce
  • Walmart

Альтернатива Splunk

Сумо Логик

Sumo logic tool поможет вам поддерживать инфраструктуру вашего приложения. Поиск и анализ журналов данных в режиме реального времени очень прост. Инструмент позволяет отслеживать и визуализировать исторические события и события в реальном времени.

Ссылка для скачивания: https://www.sumologic.com/

Loggly

Это позволяет анализировать журналы и иметь быстрый опыт поиска. Этот инструмент помогает вам собирать данные из системы, используя совместимость с Syslog.

Ссылка для скачивания: https://www.loggly.com/

Fluentd

Fluentd — это бесплатный инструмент для сбора данных с открытым исходным кодом. Это поможет вам сохранить журналы в буфере FS. Поэтому вы можете получить его, когда захотите. Он также предлагает такие услуги, как балансировка нагрузки, повторные попытки для поддержания надежности.

Ссылка для скачивания: https://www.fluentd.org/

Стек ELK

ELK Stack позволяет пользователям получать данные из любого источника в любом формате, а также искать, анализировать и визуализировать эти данные. Инструмент предлагает централизованное ведение журнала. Эта функция полезна при попытке определить проблемы с серверами или приложениями.

Ссылка для скачивания: https://www.elastic.co/elk-stack

LogFaces

Logfaces — это еще одна альтернатива spunk, которая позволяет отправлять запросы по электронной почте. Этот инструмент хранит данные журнала в помещении. Инструмент поставляется с простым настольным приложением.

Ссылка для скачивания: http://www.moonlit-software.com/

Недостатки использования Splunk

Некоторые недостатки использования инструмента Splunk:

  • Splunk может оказаться дорогим для больших объемов данных.
  • Панели мониторинга функциональны, но не так эффективны, как некоторые другие инструменты мониторинга.
  • Кривая обучения жесткая, и вам нужно обучение Splunk, так как это многоуровневая архитектура. Так что вам нужно потратить много времени на изучение этого инструмента.
  • Поиск трудно понять, особенно регулярные выражения и синтаксис поиска.

Резюме

  • Splunk — это программное обеспечение, которое используется для мониторинга, поиска, анализа и визуализации сгенерированных машиной данных в режиме реального времени.
  • Splunk сокращает время устранения неполадок и устранения неполадок, предлагая мгновенные результаты.
  • Splunk доступен в трех различных версиях: 1) Splunk Enterprise 2) Splunk Light 3) Splunk Cloud.
  • 1) Универсальная пересылка (UF) 2) Балансировщик нагрузки (LB) 3) Тяжелая перемотка вперед (HF) 4) Индексатор (LB) 5) Голова поиска (SH) 6) Сервер развертывания (DS) 7) Диспетчер лицензий (LM) необходимы компоненты инструмента Splunk.
  • Важными приложениями Splunk являются: 1) Интерактивная карта 2) Рекламная поддержка 3) Монитор производительности 4) Обратная связь в режиме реального времени 5) Панель инструментов и Процесс оплаты.
  • Наиболее важная лучшая практика использования Splunk — использовать индекс теста, чтобы вы могли быстро выполнить тест.
  • Известные компании, такие как Cisco, Bosch, IBM, Motorola, Adobe, Visa, используют этот инструмент.
  • 1) SumoLogic 2) стек ELK 3) лог-грани 4) Fluentd — некоторые альтернативы Splunk
  • Самым большим недостатком Splunk является то, что он может оказаться дорогим для больших объемов данных.