Top 70 des questions et réponses des entretiens avec Splunk

2 janvier 2022

Splunk Inc. est une société technologique américaine basée à San Francisco, en Californie, qui produit des logiciels de surveillance, de recherche et d'analyse de données générées par des machines via une interface de type Web.

Table des matières

Que fait le logiciel Splunk ?

Splunk capture, indexe et corrèle les données en temps réel dans un référentiel consultable à partir duquel il peut générer des graphiques, des alertes, des rapports, des visualisations et des tableaux de bord. Splunk est généralement défini comme une technologie horizontale utilisée pour la gestion des applications, la sécurité et la conformité, les analyses commerciales et Web.



Envisagez-vous d'assister à un entretien Splunk, alors vous devez vous préparer avant d'assister à l'entretien afin de pouvoir le casser facilement. Assurez-vous de passer par nos questions et réponses d'entrevue Splunk, qui pourraient vous être utiles.

Principales questions et réponses des entretiens avec Splunk

1. Pouvez-vous définir Splunk en termes simples ?

Splunk peut être défini comme une plate-forme logicielle qui permet aux utilisateurs d'analyser des données générées par une machine. Splunk est principalement utilisé pour rechercher, surveiller, visualiser et générer des rapports sur les données d'entreprise . Il analyse et traite les données de la machine et les convertit en une puissante intelligence opérationnelle en offrant des informations en temps réel.

2. Expliquer les composants de l'architecture Splunk ?

Questions d'entretien Splunk - Architecture Splunk

Les principaux composants de l'architecture Splunk sont le redirecteur, l'indexeur et la tête de recherche.

Transitaire Splunk r : Le redirecteur est un agent que vous déployez sur un système informatique, qui va collecter les logs et les envoyer à l'indexeur. Splunk propose généralement deux types de transitaires :

    Transitaire universel: Il transmet les données brutes sans traitement préalable. Il est plus rapide et nécessite moins de ressources sur l'hôte, mais il en résulte d'énormes quantités de données qui sont envoyées à l'indexeur.Transporteur lourd: Il effectue l'indexation et l'analyse à la source, sur la machine hôte, et il envoie uniquement les événements analysés à un indexeur.

Indexeur Splunk : L'indexeur transforme principalement les données en événements, les stocke sur le disque, les ajoute à un index et permet la recherche.

L'indexeur créera les fichiers mentionnés suivants et les séparera dans des répertoires appelés buckets :

  • Données brutes compressées
  • Index pointant vers des données brutes (fichiers .TSIDX)
  • Fichiers de métadonnées

Tête de recherche Splunk : Il permet aux utilisateurs de l'interface utilisateur d'interagir avec Splunk. Il permet aux utilisateurs d'interroger et de rechercher les données Splunk et les interfaces avec les indexeurs pour accéder aux données spécifiques qu'ils demandent.

3. Pourquoi utilisons-nous Splunk pour analyser les données machine ?

    Visibilité E2E –Avec les données de la machine, Splunk obtient une visibilité de bout en bout sur les opérations, puis se décompose sur l'ensemble de l'infrastructure.Décisions commerciales –Splunk apprend les modèles, les tendances, puis il obtient une intelligence opérationnelle à partir des données de la machine et aide à prendre des décisions commerciales plus intelligentes.Explorer et examiner –Avec les données de la machine, Splunk trouvera les problèmes, puis corrélera les événements à travers diverses sources de données, et implicitement, il détectera des modèles à travers d'énormes ensembles de données.Surveillance des serveurs en amont –Ici, il utilise les données de la machine pour surveiller les systèmes et aide à identifier les problèmes, les problèmes et les attaques.

4. Pouvez-vous répertorier les numéros de port courants utilisés par Splunk ?

Les numéros de port communs pour Splunk sont répertoriés ci-dessous :

  1. Port Web Splunk : 8000
  2. Port de gestion Splunk : 8089
  3. Port réseau Splunk : 514
  4. Port de réplication d'index Splunk : 8080
  5. Port d'indexation Splunk : 9997
  6. Magasin KV : 8191

5. Lister les avantages de Splunk ?

Les avantages de Splunk sont :

  1. Il crée des rapports analytiques avec des graphiques, des graphiques et des tableaux interactifs, et les partage avec d'autres, ce qui sera productif pour les utilisateurs.
  2. Il est évolutif et facile à mettre en œuvre.
  3. Il trouve automatiquement les informations utiles contenues dans les données afin que vous n'ayez pas à les identifier par vous-même.
  4. Il aide également à enregistrer les recherches et les balises qui sont reconnues comme des données importantes afin de rendre votre système encore plus intelligent.
Voir également Top 100 des questions et réponses d'entrevue JavaScript

Questions et réponses des entretiens avec Splunk

6. Lister les inconvénients de Splunk ?

Les inconvénients sont :

  1. Cela coûte cher pour d'énormes volumes de données.
  2. Nous ne pouvons pratiquement pas la mettre en œuvre car l'optimisation des recherches de vitesse relève plus de la philosophie que de la science.
  3. Les tableaux de bord sont, en effet, utiles, mais ils ne sont pas aussi fiables que Tableau .
  4. Le secteur informatique tente de remplacer Splunk par d'autres nouvelles options open source, ce qui est également un défi auquel Splunk est confronté.

7. Énumérez quelques fonctionnalités importantes de Splunk ?

Certaines des fonctionnalités sont :

  1. Accélérez le développement et les tests
  2. Il nous permet de construire des applications de données en temps réel
  3. Il peut générer un retour sur investissement plus rapide.
  4. Statistiques et rapports agiles avec une architecture en temps réel ;
  5. Ils offrent des capacités de recherche, de visualisation et d'analyse pour responsabiliser les utilisateurs de différents types.

8. Lister les différents produits Splunk ?

Splunk est généralement disponible en trois versions différentes, ce sont :

    Entreprise Splunk: Cette édition est principalement utilisée par les grandes entreprises informatiques. Il nous aide à collecter et à analyser les données des sites Web, des applications, etc.Lumière Splunk :Splunk Cloud est une plateforme hébergée. Il a des fonctionnalités similaires à celles de la version entreprise. Il est disponible auprès de Splunk ou en utilisant la plateforme cloud AWS.Nuage Splunk :C'est une version gratuite. Il permet de rechercher, de générer des rapports et de modifier les données du journal. Il a des caractéristiques et des fonctionnalités limitées par rapport aux autres versions.

9. Répertoriez les différents types de modes de recherche pris en charge dans Splunk ?

Splunk prend principalement en charge trois types de tableaux de bord :

  1. Mode rapide
  2. Mode intelligent
  3. Mode détaillé

10. Pouvez-vous expliquer le fonctionnement de Splunk ?

Les agents Splunk sont également appelés transitaires ; ils sont installés ou déployés sur des serveurs d'application qui collecteront les données de la source et les transmettront à l'indexeur.

Ensuite, l'indexeur stocke ces données localement, et il est basé sur la capacité de la licence dans une machine hôte ou sur le cloud.

Après ces configurations, la tête de recherche est utilisée pour rechercher, analyser, visualiser et exécuter différentes autres fonctions sur les données stockées dans l'indexeur.

Questions et réponses des entretiens avec Splunk

11. Avons-nous des avantages à introduire des données dans une instance Splunk via les redirecteurs Splunk ?

Lorsque vous introduisez des données dans une instance Splunk via les redirecteurs Splunk, nous bénéficions de trois avantages importants.

  • Connexion TCP
  • Limitation de la bande passante
  • Il dispose d'une connexion SSL cryptée qui transfère les données d'un transitaire à l'indexeur.

L'architecture de Splunk est conçue de manière à ce que les données transmises à l'indexeur soient équilibrées par défaut.

Ainsi, même si l'un des indexeurs tombe en panne pour une raison quelconque, les données se réachemineront rapidement via une autre instance d'indexeur. De plus, les redirecteurs Splunk mettront en cache les événements localement avant de les transférer, et par conséquent ils créeront une sauvegarde temporaire des données.

12. Qu'utilisons-nous License Master dans Splunk ?

Le maître de licence dans Splunk contrôle un ou plusieurs esclaves de licence. À partir du maître de licence, nous pouvons définir des pools, des piles, ajouter une capacité de licence et nous pouvons gérer les esclaves de licence. Il garantit également que la bonne quantité de données est indexée.

13. Faire la différence entre Splunk et Tableau ?

Splunk Tableau
Il est lié aux données machine obtenues à partir des centres de données, des guichets automatiques, des appareils mobiles, des dispositifs de sécurité.Il aide les clients à prendre des décisions en fonction des données passées.
Il ne prend en charge que le Web.Il prend en charge les applications Web, Android et iPhone.
Ses clients sont Bosch, John Lewis, Amaya, Baylor University, NPRSes clients sont Deloitte, Pandora, Citrix

14. Définir l'index récapitulatif dans Splunk ?

L'indexation récapitulative nous permet d'effectuer des recherches rapides sur d'énormes ensembles de données en répartissant le coût des rapports coûteux en calculs dans le temps. Pour ce faire, la recherche qui remplit l'index récapitulatif doit s'exécuter de manière fréquente et récurrente et doit extraire les données spécifiques requises.

15. Que se passera-t-il si le License Master n'est pas joignable ?

Dans les cas où le maître de licence n'est pas accessible, il n'est pas possible de rechercher les données. Mais les données entrant dans Indexer ne seront pas affectées. Les données continuent d'affluer dans le déploiement Splunk.

Comme d'habitude, les indexeurs continueront d'indexer les données. Cependant, nous recevrons un message d'avertissement sur l'interface utilisateur Web indiquant que vous avez dépassé le volume d'indexation et que vous devez réduire la quantité de données entrantes ou que vous devez acheter une capacité de licence plus élevée.

Questions et réponses des entretiens avec Splunk

16. Définir l'alerte Splunk ?

Les alertes Splunk sont définies comme les actions qui se déclenchent lorsqu'un critère donné défini par l'utilisateur est rempli. L'objectif principal des alertes est de consigner une action, d'envoyer un e-mail ou de générer un résultat dans un fichier de recherche, etc.

17. Pourquoi avons-nous besoin de Splunk DB Connect ?

Splunk DB Connect nous permet d'importer des tables, des colonnes et des lignes de la base de données directement dans Splunk Enterprise, qui indexera les données. Ensuite, nous pouvons analyser et visualiser ces données relationnelles à partir de Splunk Enterprise comme vous le feriez avec le reste des données de Splunk Enterprise.

18. Définir la violation de licence du point de vue de Splunk ?

Dans Splunk, l'avertissement de violation de licence indique que Splunk a indexé plus de données que le quota de licence acheté. Nous devons identifier quel index ou type de source a reçu récemment plus de données que le volume de données quotidien.

19. Définir SF et RF ?

Le facteur de recherche (SF) spécifie le nombre de copies de données consultables conservées par le cluster d'indexeurs. En d'autres termes, le SF détermine le nombre de copies consultables de chaque compartiment. La valeur par défaut du SF est 2, ce qui signifie que le cluster conserve généralement deux copies consultables de toutes les données.

Le facteur de réplication (RF) spécifie le nombre de pairs qui recevront les copies de données. Le facteur de recherche spécifie le nombre de pairs qui indexent les données. Un nœud homologue indexe les données externes et stocke simultanément les copies d'indexation potentielles des données répliquées qui lui sont envoyées par d'autres homologues.

20. Énumérez quelques commandes de recherche Splunk ?

  1. Résumé
  2. Erex
  3. Ajouter des totaux
  4. Accumuler
  5. Remplissez
  6. Les types
  7. Renommer
  8. Anomalies

Questions et réponses des entretiens avec Splunk

21. Énumérez quelques cas d'utilisation d'objets de connaissance ?

Les objets de connaissance sont utilisés dans des domaines tels que :

Sécurité Internet : Nous pouvons augmenter la sécurité des systèmes en interdisant à certaines adresses IP d'accéder au réseau. Cela se fait à l'aide d'un objet Knowledge appelé recherches.

Surveillance des applications : En utilisant les objets de connaissance, on peut surveiller les applications en temps réel et configurer des alertes qui nous avertiront ensuite lorsque l'application plante.

Sécurité physique : Si l'organisation devait s'occuper de la sécurité physique, nous pouvons exploiter les données qui contiennent des informations sur les inondations, les tremblements de terre, les volcans, etc. pour obtenir des informations précieuses

Gestion des employés : Si vous devez surveiller les activités des personnes qui respectent le délai de préavis, nous pouvons créer une liste des personnes et nous pouvons créer une règle pour les empêcher de copier des informations et de les utiliser à l'extérieur.

22. Répertoriez les commandes de base incluses dans la catégorie des résultats de filtrage dans Splunk ?

Voici la liste des quelques commandes utilisées lors du filtrage du résultat :

    Où: L'expression EVAL est utilisée par la commande WHERE pour filtrer les résultats recherchés à partir d'un événement extrait. Nous utilisons la commande WHERE pour approfondir les résultats recherchés.Sorte– Si nous voulons que le résultat soit trié par certains champs, nous utilisons la commande SORT, qui peut trier le résultat par ordre croissant ou décroissant. Et la capacité du tri peut également être définie avec cette commande.Chercher-Nous utilisons cette commande pour récupérer les événements des index. Les événements des index peuvent être recherchés à l'aide de mots-clés, de clés, de valeurs, d'expressions entre guillemets et de caractères génériques.Rex– il s'agit d'une expression régulière qui aide l'utilisateur à extraire les données/le champ exact des événements générés. Pour obtenir ces informations, nous utilisons la commande REX.
Voir également Top 100 des questions et réponses d'entrevue JavaScript

23. Pouvez-vous nous indiquer les différentes options lors de la configuration des alertes ?

Les différentes options disponibles lors de la configuration des alertes sont indiquées ci-dessous :

  1. Vous pouvez créer un webhook afin que nous puissions écrire dans un chat ou GithubGenericName . Ici, nous écrivons un e-mail au groupe de machines avec tous les sujets, le corps du message et les priorités.
  2. On peut ajouter des résultats, pdf ou CSV, ou en ligne avec le corps du message pour faire comprendre au destinataire où cette alerte a été déclenchée, dans quelles conditions et quelle est l'action qu'il a prise.
  3. Nous pouvons également créer des tickets et des alertes de limitation en fonction de conditions spécifiques telles que le nom de la machine ou une adresse IP. Par exemple, s'il y a une épidémie de virus, nous ne voulons pas que chaque alerte soit déclenchée car cela entraînera la création de nombreux tickets dans le système, ce qui entraînera une surcharge. Nous pouvons contrôler ces types d'alertes à partir de la fenêtre d'alerte.

24. Écrivez l'expression générale pour extraire les adresses IP des journaux ?

On peut extraire l'adresse IP des journaux de plusieurs manières, mais l'expression régulière serait :

|__+_|

Questions et réponses des entretiens avec Splunk

25. Pouvez-vous expliquer les actions de workflow ?

Une fois que nous avons attribué des règles, nous générons des rapports et des calendriers. Vous devez générer des actions de workflow qui automatiseront certaines tâches. Par example:

  1. On peut double-cliquer, ce qui effectue ensuite une exploration vers le bas dans une liste spécifique contenant les noms d'utilisateurs et les adresses IP, et nous pouvons également effectuer une recherche plus approfondie dans cette liste.
  2. Nous double-cliquons pour récupérer le nom d'utilisateur du rapport et le transmettons en tant que paramètre aux rapports suivants.
  3. Nous utilisons les actions de workflow pour récupérer des données et également envoyer des données à d'autres champs. Par exemple, nous transmettons les détails de latitude et de longitude à la carte Google, puis nous trouvons où une adresse IP ou un emplacement existe.

26. Faire la différence entre les commandes Charts, Stats et Timecharts ?

Statistiques : C'est une commande de rapport ; ici, nous utilisons plusieurs champs pour créer une table.

Graphique : Il affichera le résultat de la recherche sous forme de barre, de ligne ou de graphique en aires.

Tableau de temps: Iy ne prend généralement qu'un seul champ car l'axe des x est un champ de temps.

27. Comment résoudre les problèmes de performances de Splunk ?

Pour résoudre les problèmes de performances de Splunk, suivez les étapes indiquées :

  1. Vous devez utiliser Splunk Secure Gateway pour dépanner les tableaux de bord.
  2. Vous devez vérifier les problèmes de performances du serveur (utilisation CPU/mémoire, E/S disque, etc.)
  3. Vérifiez dans splunkd.log pour trouver les erreurs.
  4. Vérifiez le nombre de recherches enregistrées en cours d'exécution et vérifiez également leur consommation de ressources système.
  5. Vous devez installer Firebug et l'activer dans le système.

28. Définissez les termes Modèles de données et Pivot ?

Modèles de données sont principalement utilisés pour créer un modèle hiérarchique structuré des données. Il est utilisé lorsque vous disposez d'une énorme quantité de données non structurées et que vous souhaitez utiliser ces données sans recourir à des requêtes de recherche complexes.

Voici quelques utilisations des modèles de données :

  1. Création de rapports de ventes
  2. Pour définir les niveaux d'accès
  3. Pour activer l'authentification

Avec Pivots , nous avons la possibilité de créer des vues de face des résultats, puis de sélectionner le filtre le plus approprié pour une bonne vue des résultats.

29. Définissez les termes Lookup command et Inputlookup command?

Nous utilisons le Commandes de recherche pour recevoir certains champs d'un fichier externe comme un fichier CSV ou tout script basé sur python pour obtenir une certaine valeur d'un événement. Il restreint les résultats de la recherche car il aide à référencer les champs dans un fichier CSV externe qui correspondra aux champs des données d'événement.

Une Recherche d'entrée prend en compte comme son nom l'indique. Par exemple, il prendra le nom du produit, le prix du produit comme entrée, puis il correspondra à un champ interne tel qu'un identifiant de produit ou un identifiant d'article.

Une Recherche de sortie génère une sortie à partir de la liste de champs existante. En termes simples, Inputlookup enrichit les données et Outputlookup construit les informations.

30. Définir les buckets et expliquer le cycle de vie des buckets Splunk ?

Cycle de vie du compartiment Splunk

Les compartiments peuvent être définis comme des répertoires utilisés pour stocker les données indexées dans Splunk.

Un seau subit plusieurs phases de transformation au fil du temps. Ils sont:

  1. Chaud - Ce compartiment se compose des données nouvellement indexées, et il est ouvert pour l'écriture et les nouveaux ajouts. Un index peut avoir un ou plusieurs hot buckets.
  2. Chaud – Ce compartiment se compose des données qui sont déployées à partir d'un compartiment chaud.
  3. Froid – Ce compartiment contient généralement des données qui sont déployées à partir d'un compartiment chaud.
  4. Gelé – Ce compartiment se compose des données qui sont déployées à partir d'un compartiment froid. L'indexeur Splunk supprimera les données gelées par défaut. Mais, nous avons une option pour l'archiver. Et une chose importante ici est que les données gelées ne sont pas consultables.

Questions et réponses des entretiens avec Splunk

31. Pouvez-vous répertorier les champs par défaut pour les événements dans Splunk ?

  1. héberger
  2. la source
  3. Type de Source
  4. indice
  5. horodatage

32. Pourquoi avons-nous besoin de la propriété Time Zone pour servir dans Splunk ?

Le fuseau horaire dans Splunk est crucial pour rechercher les événements du point de vue de la sécurité ou de la fraude. Splunk définira pour nous le fuseau horaire par défaut à partir des paramètres du navigateur. Ensuite, le navigateur récupère le fuseau horaire actuel de la machine que nous utilisons.

Ainsi, lorsque nous recherchons un événement avec le mauvais fuseau horaire, nous ne trouvons rien de pertinent pour cette recherche spécifique. C'est extrêmement important lorsque nous recherchons et corrélons les données provenant de plusieurs sources.

33. Expliquez le concept de priorité des fichiers dans Splunk ?

Dans Splunk, la priorité des fichiers est l'un des aspects importants du dépannage pour un administrateur, un développeur et un architecte. Toutes les configurations Splunk sont généralement écrites dans les fichiers .conf en texte brut.

Il peut y avoir différentes copies présentes pour chacun des fichiers, et il est important pour nous de connaître le type de rôle que ces fichiers jouent lorsqu'une instance Splunk est redémarrée ou en cours d'exécution.

34. Comment pouvons-nous extraire des champs dans Splunk ?

  1. On peut extraire les champs des listes d'événements, de la barre latérale ou du menu des paramètres via l'interface utilisateur.
  2. Une autre méthode consiste à écrire vos propres expressions régulières dans le fichier de configuration props.conf.

35. Expliquez le type de source dans Splunk ?

Le type de source dans Splunk déterminera comment le logiciel Splunk traite les flux de données entrants dans les événements individuels en fonction de la nature des données.

36. Différencier les extractions de champ Temps de recherche et Temps d'index ?

Temps de recherche Temps d'indexation
Cela se produit généralement lorsque vous effectuez une recherche dans les données. Splunk crée les champs lors de la compilation des résultats de la recherche et ne les stocke pas dans l'index.Il est défini comme la période entre le moment où Splunk reçoit de nouvelles données et les données qui sont écrites dans un index Splunk.

37. Énumérez les avantages et les inconvénients de l'indexation sommaire ?

Avantages:

  1. L'index récapitulatif conservera les analyses et les rapports même après l'expiration des données.
Voir également Top 100 des questions et réponses d'entrevue Ansible

Les inconvénients:

  1. type Hayrick d'une recherche n'est pas possible.
  2. Une analyse approfondie n'est pas possible.

38. Écrivez la commande pour arrêter et démarrer le service Splunk ?

La commande pour démarrer le service Splunk : ./splunk start

La commande pour arrêter le service Splunk : ./splunk stop

39. Pouvez-vous faire la différence entre l'application Splunk et le module complémentaire ?

Application Splunk Ajouter
Ceux-ci sont principalement utilisés pour l'analyse de visualisation et la représentation.Ils sont principalement utilisés pour l'optimisation des données et le processus de collecte afin d'augmenter l'efficacité.

40. Définir l'âge des données dans Splunk ?

Les données qui entrent dans l'indexeur sont généralement stockées dans des répertoires appelés compartiments. Un seau est déplacé à travers plusieurs étapes à mesure que les données vieillissent (c'est-à-dire, chaud, tiède, froid, gelé et dégelé). Au fil du temps, les godets 'rouleront' d'une étape à l'autre.

Questions et réponses des entretiens avec Splunk

41. Comment attribuer des nœuds de couleur dans un graphique basés sur des noms de champs dans Splunk ?

La couleur doit être attribuée aux graphiques lors de la création des rapports. Mais, si les couleurs ne sont pas attribuées, les couleurs sont sélectionnées par défaut.

Voici les étapes pour attribuer les couleurs :

  1. Modifiez les panneaux qui sont construits au-dessus du tableau de bord.
  2. Vous devez modifier les paramètres du panneau à partir de l'interface utilisateur
  3. Vous devez sélectionner et choisir les couleurs

OU vous pouvez aller avec les déclarations ci-dessous.

  1. Nous pouvons écrire des commandes pour sélectionner les couleurs de la palette en entrant les valeurs hexadécimales ou en écrivant le code.
  2. Vous devez fournir divers gradients et définir des valeurs dans la jauge radiale ou la jauge d'eau.

42. Comment effacer l'historique de recherche ?

Afin d'effacer l'historique de recherche, vous devez supprimer le fichier ci-dessous du serveur Splunk :

|__+_|

43. Dans Splunk, comment exclure certains événements de l'indexation ?

Parfois, vous ne souhaitez pas indexer tous les événements de l'instance Splunk. Dans un tel cas, comment exclure l'entrée d'événements dans Splunk ?

Prenons un exemple de messages de débogage dans le cycle de développement d'application. Nous pouvons exclure ces messages de débogage en plaçant ces événements dans le file d'attente nulle . Ces files d'attente nulles sont ensuite placées dans transforms.conf au niveau du redirecteur.

44. Pouvez-vous définir Btool dans Splunk ?

Les fichiers de configuration du logiciel Splunk, également appelés fichiers de configuration, seront chargés et fusionnés pour créer l'ensemble de configurations de travail utilisé par le logiciel Splunk lors de l'exécution de certaines tâches. le btool La commande simulera le processus de fusion en utilisant les fichiers de configuration sur disque et créera un rapport indiquant les paramètres fusionnés.

45. Définir l'application Splunk ?

Une application Splunk peut être définie comme une extension de la fonctionnalité Splunk qui possède son propre contexte d'interface utilisateur intégré qui répond à une exigence spécifique. Habituellement, les applications Splunk sont composées de divers objets de connaissance Splunk tels que des recherches, des types d'événements, des balises. Les applications peuvent utiliser ou exploiter d'autres applications ou modules complémentaires.

Questions et réponses des entretiens avec Splunk

46. ​​Définir un Fishbucket ?

Dans Splunk, le Fishbucket est défini comme un sous-répertoire principalement utilisé pour surveiller ou suivre en interne dans quelle mesure le contenu du fichier est indexé. Il a généralement deux contenus pour réaliser cette fonctionnalité, comme les pointeurs de recherche et le CRC.

47. Définir le répertoire d'expédition ?

Le répertoire de répartition dans Splunk stocke les artefacts sur les nœuds où les recherches sont exécutées. Ces nœuds comprendront des homologues de recherche, des têtes de recherche et des instances autonomes de Splunk Enterprise.

48. Comment ajouter des logs locaux à Splunk /forwarder ?

On peut ajouter le système Windows/application/sécurité/IIS et une entrée scriptée en utilisant la méthode ci-dessous :

  1. Tout d'abord, connectez-vous à Splunk.
  2. Ensuite, vous devez aller dans les paramètres et cliquer sur les entrées de données sous le titre Données.
  3. Si vous souhaitez ajouter des événements locaux, cliquez sur ajouter nouveau/modifier devant la colonne collection de journaux d'événements locaux si les journaux sont disponibles sur une machine locale.
  4. Maintenant, sélectionnez les journaux qui doivent être surveillés et sélectionnez le nom de l'index pour lequel vous souhaitez stocker les journaux, puis cliquez sur enregistrer. Une fois enregistré, vous pouvez rechercher les erreurs dans les journaux locaux via l'interface graphique Splunk.

49. Définir la priorité des fichiers de configuration dans Splunk ?

La priorité des fichiers de configuration dans Splunk :

  1. Répertoire local du système (priorité la plus élevée)
  2. Annuaires locaux de l'application
  3. Répertoires par défaut de l'application
  4. Répertoire par défaut du système (priorité la plus basse)

Questions et réponses des entretiens avec Splunk

50. Nommez la dernière version de Splunk utilisée ?

Splunk 8.1.3 ( Vérifier la dernière version )

51. Lister les types de licences Splunk ?

  1. Licence entreprise
  2. License gratuite
  3. Licence de transitaire
  4. Licence bêta
  5. Licences pour les têtes de recherche (pour la recherche distribuée)
  6. Licences pour les membres du cluster (pour la réplication d'index)

52. Où est stockée la configuration par défaut de Splunk ?

|__+_|

53. Pouvez-vous nommer les principaux concurrents directs de Splunk ?

Quelques-uns des principaux concurrents directs de Splunk :

  1. Logstash
  2. Loggly
  3. LogLogique
  4. Sumo Logique, etc.

54. Du point de vue des licences, comment Splunk détermine-t-il un jour ?

En termes de licence Splunk, une journée est mesurée de minuit à minuit sur l'horloge du maître de licence.

55. Répertoriez les fonctionnalités qui ne sont pas disponibles dans Splunk Free ?

  1. Recherche distribuée
  2. Authentification et recherches/alertes planifiées
  3. Transfert en TCP/HTTP (vers non-Splunk)
  4. Gestion du déploiement

Questions et réponses des entretiens avec Splunk

56. Définir les commandes de transaction ?

Nous utilisons la commande transaction dans deux cas spécifiques :

  1. Lorsqu'un identifiant unique (issu d'un ou de plusieurs champs de tables) ne suffit pas à lui seul à différencier deux transactions, alors c'est le cas où l'identifiant sera réutilisé, par exemple, des sessions web qui seront identifiées par un cookie ou une IP client. Dans un tel cas, la durée ou les pauses sont utilisées pour segmenter les données en transactions.
  2. Lorsqu'un identifiant est réutilisé, c'est-à-dire dans les logs DHCP, un message spécifique identifie le début/la fin d'une transaction.
  3. Quand on veut voir le texte brut des événements qui se combinent plutôt que l'analyse des champs constitutifs des événements

57. Pouvons-nous acheter des licences de transitaire ?

Il n'est pas nécessaire d'acheter des licences de transfert car elles sont incluses avec Splunk.

58. Écrivez la commande utilisée pour vérifier les processus Splunk en cours d'exécution sous Unix/Linux ?

Si vous souhaitez vérifier les processus Splunk Enterprise en cours d'exécution sous Unix/Linux, utilisez la commande suivante :

|__+_|

59. Lister les types de sources de données dans Splunk ?

  1. Fichiers et répertoires
  2. Événements du réseau
  3. Sources Windows
  4. Autres ressources

Questions et réponses des entretiens avec Splunk

60. Nommez la commande pour redémarrer Splunk Daemon ?

Splunk Deamon peut être redémarré avec la commande :

|__+_|

61.Nommez la commande pour redémarrer le serveur Web Splunk ?

Nous pouvons redémarrer le serveur Web Splunk en utilisant la commande :

|__+_|

62.Comment désactiver le démarrage de Splunk ?

Pour désactiver le démarrage de Splunk, utilisez la commande ::

|__+_|

63.Comment désactiver le message de lancement Splunk ?

Vous devez définir la valeur OFFENSIVE=Less dans splunk_launch.conf.

64. Comment définir le temps de recherche par défaut dans Splunk 6 ?

Dans Splunk Enterprise 6.0, nous devons utiliser ‘Ui-prefs.conf '. Si nous définissons la valeur, tous nos utilisateurs pourront la voir comme paramètre par défaut :

|__+_|

65. Définir l'algorithme MapReduce ?

MapReduce est défini comme un modèle de programmation pour le traitement d'énormes ensembles de données avec un algorithme distribué parallèle sur le cluster.

Outre les questions techniques de l'entretien, vous devez également vous préparer à certaines questions générales. J'en ai énuméré quelques-uns. Assurez-vous de les parcourir également.

Questions et réponses des entretiens avec Splunk

66. Parlez-moi de vous ?

67. Pourquoi devrions-nous vous embaucher ?

68. Parlez-moi de notre entreprise ?

69. Parlez-moi de vos forces et faiblesses ?

70. Qu'est-ce qui vous distingue des autres ?

Bonne chance avec votre entretien Splunk, et nous espérons que nos questions et réponses d'entretien Splunk vous ont été utiles. Vous pouvez également consulter notre Questions d'entretien chez Qlikview .