Search Under the Hood

Dieses eLearning-Modul gibt den Teilnehmern einen zusätzlichen Einblick in die Verarbeitung von Suchvorgängen durch Splunk. Die Teilnehmer erfahren etwas über die Splunk-Architektur, wie die Komponenten einer Suche aufgeschlüsselt und über die Pipeline verteilt werden und wie man Suchanfragen behebt, wenn die Ergebnisse nicht wie erwartet zurückkommen.

Thema 1 - Nachforschungen zu Recherchen

• Verwenden Sie den Search Job Inspector, um zu prüfen, wie eine Suche verarbeitet wurde, und um Leistungsprobleme zu beheben.
• Verwenden Sie SPL-Kommentare, um Probleme zu identifizieren und zu isolieren

Thema 2 - Splunk-Architektur

• Verstehen der Rolle von Suchköpfen, Indexern und Forwardern in einer Splunk-Bereitstellung
• Verstehen, wie die Komponenten eines Buckets (.tsidx- und journal.gz-Dateien) verwendet werden
• Verstehen, wie Bloom-Filter verwendet werden, um die Suchgeschwindigkeit zu verbessern

Thema 3 - Streaming- und Nicht-Streaming-Befehle

• Beschreiben Sie die Bestandteile eines Suchstrings
• Verstehen der Verwendung von zentralisierten und verteilbaren Befehlen
• Effizientere Suchen erstellen

Thema 4 - Unterbrecher und Segmentierung

• Verstehen, wie Segmenter in Splunk verwendet werden
• Lispy verwenden, um die Anzahl der von der Festplatte gelesenen Ereignisse zu reduzieren

Thema 5 - Befehle und Funktionen zur Fehlerbehebung

• Verwendung des Befehls fieldsummary
• Verwendung des Befehls makeresults
• Verwendung von Informationsfunktionen mit dem Befehl eval
  • die isnull-Funktion
  • die typeof-Funktion