splunk功能分析【精品PPT】

Splunk 分析,邹维涛 2013-8-15,目录,Splunk概述Splunk功能Splunk用户体验Splunk案例,3,Splunk概述-用户面临的问题,庞大的数据/日志文件防护系统,大量的错误警讯异质设备,独立而且无效率,Splunk概述-Splunk,Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备（物理、虚拟和云中）生成的快速移动型计算机数据 。让IT人员可以快速的在异质平台、系统中迅速查找到问题所在，就像在生活中有问题就上Google、百度找答案一样简单的方法。,5,用Vi开启,Splunk概述-Splunk与传统方式区别,5,找出问题点,Logs,人工解读,传统方式,使用Splunk,自(手)动取得,找出问题点,在单一控制台追踪,Splunk可以主动监控异常,并发出主动通知,用辅助工具分析Ex: Excel,Logs,Logs,Logs,Logs,Logs,Logs,Logs,用Vi开启,用Vi开启,用Vi开启,人工解读,人工解读,人工解读,不同的系统之间,往往监控工具不一致,不互相支持,目录,Splunk概述Splunk功能Splunk用户体验Splunk案例,Splunk功能-索引,WindowsRegistryEvent logsFile systemsysinternals,虚拟化HypervisorGuest OSGuest Apps,Linux/UnixConfigurationssyslogFile systemps, iostat, top,应用WeblogsLog4J, JMS, JMX.NET eventsCode and scripts,支持任何设备、 服务器、应用所产出的数据,数据中心,自动辨识时间戳、记录与字段不需要开发 parsers or adapters以档案系统存储数据高效能与高扩容,Splunk功能-索引,Splunk功能-Search(搜寻),键入关键词后任意搜寻既时的在线查询，立即产生长时间结果用交互比对查询，缩小事件范围用时间、关键词与复杂流程拼凑关连事件,Splunk具备快速自定的各种型态搜寻，而不是只有固定几种的字段，不需要指定数据的格式(format)，更可结合时间与关键词进行搜寻，呈现出清楚的搜寻结果，使用上就像Google一样的直观易用。,Splunk功能-Search(搜寻),Splunk功能-Search(搜寻),Splunk功能-Alert(警报通知),透过通知与动作进行主动式监控根据定时搜索结果进行实时报警、通知与动作可透握RSS、Email或SNMP通知安全或网管系统通过脚本启动的方式可将重新开启服务器或是发送派工单给自动化,Splunk能够定期排程执行，并依据搜寻结果发出各项警示通知，可以透过email、RSS或SNMP等方式链接其他管理接口，可触发执行自行定义的回应方式，例如重新启动应用程序、系统或网络设备。,Splunk功能-Alert(警报通知),Splunk功能-Report(分析报告),无须透过其他工具可直接产出报表11种报表格式，如直方图、线性图、分区图、圆饼图、单点图等可双维与多维度分析报表皆为动态报表可随时点选并再次搜寻14种报表运算方式，强化报表可看性报表可随时转换为仪表版模式,Splunk提供强大的报表能力，能够将搜寻结果以各项清晰的图表呈现，更可弹性化地产生企业管理阶层所想要的报告内容。,Splunk功能-Report(分析报告),Splunk功能- Share(资源共享),搜寻报表转为监控仪表版，可经由权限控 管分享信息接口搜寻分析可储存后，分享给特定人员信息搜寻可以收敛至关键词分享搜寻，或 只授予部分变更权限,由各种设备所产生的IT 数据是相当枯燥乏味的，透过Splunk可将它转化为切实可用的重要IT信息，并且能为任何人所用，不需要太多艰深的知识即可找出想要的信息。,Splunk功能- Share(资源共享),Splunk功能- Share(资源共享),Splunk功能- Secure(安全功能),用户联机与数据访问权限控制 IT 数据联机加密与压缩数据库加密与压缩不变更原始数据的完整性,企业的IT信息其重要性不言可喻，Splunk可整合企业既有的认证系统进行安全管控，确保数据在存取、分析和稽核时不会破坏数据的完整性。,Splunk功能- Secure(安全功能),Splunk功能- Scale(可扩张),单机使用做数据管理与搜集，一般做单存资料运算处理,具可延展性，可透过单一接口存取各种源数据，存取数据的广度可大幅延伸，数据储存的地点亦不受限制。,大型架构与分散型架构，可以个别独立运算与集中管理以 Cloud computing 云端运算形式，进行各地运算， 集中产出结果。,中型架构，做Active Active 或是 Active Standby 模式。可区分系统、网络、设备与应用，由Splunk Forwarder收集，再传递至主要的 Splunk做运算。可于IT Data Forward传递前先进行过滤，将需要 的数据进行传递。,Splunk功能- Scale(可扩张),Splunk功能- Scale(可扩张),Splunk功能- Scale(可扩张),目录,Splunk概述Splunk功能Splunk用户体验Splunk案例,Splunk用户体验,券商案例/splunk/broker/运营商使用案例/splunk/wsp/银行案例/splunk/bank/,Splunk用户体验,Splunk用户体验,Splunk案例,使用案例/splunk/netis-workshop-for-splunk/,目录,Splunk概述Splunk功能Splunk用户体验Splunk案例,参考资料,/spl