Splunk 工具教程文档.docVIP

Splunk测试工具学习任务 目录 目录 3 一．Splunk基础知识 5 二． Splunk的功能特性 6 1. 多平台支持 6 2. 从任意源索引任意数据 6 3. 从远程系统转发数据 6 4. 关联复杂事件 7 5. 专为大型数据构建 7 6. 在整个数据中心扩展 7 7. 提供角色行的安全性 7 三．Splunk导览 8 1. 索引任何数据 8 2. 搜索与调查 9 3. 与搜索结果互动 9 4. 新增知识 10 5. 关联复杂事件 10 6. 监视和警报 11 7. 报告与分析 11 8. 自定义仪表板与视图 12 9. 构建于部署Splunk应用程序 12 四． Splunk各版本之间的功能比较 13 五．Splunk的独特优势 15 1、无风险快速回报 15 2、受到用户喜爱 15 3、处理您所有的机器数据 15 4、适应动态环境 15 5、适用于所有类型的用户 16 6、满足整个 IT 行业的策略需求 16 7、从笔记本电脑扩展至数据中心 16 六． Splunk安装过程 17 1. 客户端下载地址： 17 2. 双击，开始安装： 17 3. 打开客户端，端口号配置： 21 4. Splunk配置过程 21 5. 重启Splunk服务 21 6. 客户端计算机名称 23 七． Splunk的使用 24 1. 登录Splunk 24 2. 欢迎使用界面 24 2.1 欢迎标签： 25 3. 在Splunk中添加数据 25 3.1 向Splunk中添加示例数据 25 4. 开始在Splunk中搜索数据 32 4.1 摘要仪表板 33 4.2 仪表板涵盖的内容 33 4.3 开始搜索 34 4.4 搜索结果显示 35 4.5 Splunk停止搜索 36 4.6 搜索助手 36 4.7 搜索结果中的关键字高亮 37 5. 使用时间轴 37 5.1 搜索 37 5.2 滑动鼠标，选中一个柱状体 37 5.3 双击一个柱状体 38 5.4 通配符* 38 5.5 字段菜单 39 6. 字段选取 39 6.1 在字段菜单中点击“字段选取”链接 39 6.2 滚动浏览可见字段列表 40 八． 字段值报表 41 8.1 使用字段菜单 41 8.2 访问报表创建器 42 8.3 实例：失败交易计数 43 九． 仪表板 48 9.1 创建仪表板 48 9.2 定义仪表板面板搜索? 49 十．性能指标的添加和搜索 50 10.1 添加数据，选择Windows性能指标 50 10.2 开始在本机上进行Windows性能指标收集 50 10.3 开始搜索 52 10.4 查看搜索结果 53 十一．IIS日志的添加和搜索 54 11.1 添加数据，选择添加IIS日志 54 11.2 开始在本地Splunk搜索服务器上的IIS日志 54 11.3 开始搜索iis日志文件 57 11.4 查看搜索结果 58 总结 59 一．Splunk基础知识 Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备（物理、虚拟和云中）生成的快速移动型计算机数据 。从一个位置搜索并分析所有实时和历史数据。 使用 Splunking 处理计算机数据，可让您在几分钟内（而不是几个小时或几天）解决问题和调查安全事件。监视您的端对端基础结构，避免服务性能降低或中断。以较低成本满足合规性要求。关联并分析跨越多个系统的复杂事件。获取新层次的运营可见性以及 IT 和业务智能。 二． Splunk的功能特性 1. 多平台支持 Splunk是一个可以在所有主流操作系统上运行的独立软件包 - 只需选择您的平台，然后下载并安装即可。您需要处理和运行的是用户使用的 Web 界面，以及用于索引计算机数据的引擎。 目前Splunk支持的平台有Windows XP, Vista, 7, and 8 (32-bit/64-bit)/Windows Server 2003, 2003 R2, 2008, and 2008 R2 (32-bit/64-bit)、2.6+ kernel Linux distributions(32-bit/64-bit)、Solaris（8,9,10,11）、OSX（10.5，10.6，10.7）、FreeBSD 7,8（32-bit/64-bit）、AIX （5.3，6.1，7.1） 、HP-UX（11i v2，11i v3）. Splunk 可以从任何源实时索引任何类型的计算机数据。可以在 Splunk 中指向您的服务器或网络设备的系统日志、设置 WMI 轮询、监视实时日志文件，并能够监视您的文件系统或 Windows 注册表中的更改，或安排脚本获取系统指标。Splunk 可以索引您的所有机器数据，而无需购买、编