第1章Splunk的應用1
1.1Splunk的定義1
1.2處理通用文件4
1.3保密性與安全性5
1.4傳統應用案例7
1.4.1調查研究性搜索8
1.4.2監測10
1.4.3操作領域的可視化12
1.4.4決策支持——實時分析14
1.5Splunk——創新應用17
1.5.1客戶關系管理17
1.5.2新興的技術17
1.5.3知識發現和數據分析18
1.5.4災難恢復18
1.5.5病毒防護18
1.5.6加強結構化數據18
1.5.7項目管理19
1.5.8防火牆應用程序19
1.5.9企業無線解決方案19
1.5.10Hadoop技術19
1.5.11媒體評估20
1.5.12社交媒體20
1.5.13移動設備管理20
1.6Splunk的實際應用21
1.7小結21
第2章高級搜索22
2.1Splunk搜索22
2.1.1搜索儀表板22
2.1.2新建搜索儀表板23
2.1.3Splunk搜索機制23
2.1.4Splunk快速參考指南24
2.1.5請幫助我24
2.1.6基本優化24
2.1.7快速、詳細或智能搜索模式25
2.1.8指令的分解26
2.1.9了解稀疏和密集搜索之間的差別26
2.1.10搜索運算符、指令格式和標簽26
2.1.11處理流程27
2.1.12布爾表達式28
2.1.13將我放在「引號」內,否則需要轉碼29
2.1.14在Splunk中添加標簽30
2.1.15事物型搜索32
2.2知識管理33
2.3子級搜索35
2.3.1子級搜索的輸出設置36
2.3.2Search Job Inspector37
2.4使用參數進行搜索38
2.5Splunk宏39
2.5.1創建自定義宏指令40
2.5.2使用宏40
2.5.3Splunk的限制條件41
2.6搜索結果42
2.6.1Splunk基本搜索案例42
2.6.2更多的格式選項43
2.7總結43
第3章掌握表格、圖表和字段的使用方法44
3.1表格、圖表和字段44
3.1.1匯總成表45
3.1.2以圖表的形式返回搜索結果50
3.2Splunk目錄存放56
3.2.1使用timechart指令報表57
3.2.2timechart指令需要的參數58
3.2.3目錄存放時間范圍VS per_*函數58
3.3挖掘分析59
3.3.1挖掘分析選項61
3.3.2基本的分析功能62
3.3.3行分析62
3.3.4單元格分析63
3.3.5圖表分析65
3.3.6圖例66
3.4透視表66
3.4.1透視編輯器68
3.4.2使用透視元素69
3.5拆分70
3.6Column Values(列值)71
3.7數據透視表格式71
3.8一個簡單的例子72
3.9Sparklines(走勢圖)74
3.10總結76
第4章查詢(Lookup)77
4.1簡介77
4.2配置簡單的字段查詢(Field Lookup)79
4.2.1在Splunk網頁端中定義查詢(Lookup)79
4.2.2自動查詢(Automatic Lookups)85
4.2.3配置文件(Configuration Files)88
4.2.4使用配置文件(Configuration File)執行查詢(Lookup)——示例90
4.2.5填充查詢表(Lookup Table)91
4.2.6使用dedup(去重復指令)處理重復值(Duplicate)93
4.2.7動態查詢(Dynamic Lookup)94
4.2.8使用Splunk網頁端95
4.2.9使用配置文件(Configuration File)替代Splunk網頁端97
4.2.10時基查詢(Time—based Lookup)99
4.2.11出現兩個一樣的值103
4.3指令(Command)綜述105
4.3.1lookup(查詢)指令105
4.3.2inputlookup(輸入查詢)指令與outputlookup(輸出查詢)指令105
4.3.3inputcsv(輸入csv)指令與outputcsv(輸出csv)指令106
4.4總結108
第5章先進的儀表板109
5.1創建有效的儀表板109
5.1.1視圖110
5.1.2面板111
5.1.3模塊111
5.2表格搜索112
5.3返回儀表板117
5.3.1面板編輯器117
5.3.2可視化編輯器117
5.3.3詳細學習儀表板編輯器118
5.3.4構建儀表板119
5.3.5儀表板與XML128
5.3.6給我的世界上色131
5.4搜索詳解132
5.5動態挖掘137
5.6真實、即時的解決方案141
5.7總結143
第6章索引庫與索引144
6.1索引的重要性144
6.2什麼是Splunk索引145
6.2.1事件處理145
6.2.2索引構成146
6.2.3默認索引庫147
6.3索引、indexers和集群147
6.4Splunk索引庫管理148
6.5處理多個索引庫150
6.5.1創建多個索引的原因150
6.5.2創建和編輯Splunk索引150
6.5.3其他索引方法153
6.5.4使用新建索引155
6.5.5將所有事件納入索引155
6.5.6導入具體事件157
6.6刪除索引庫及索引的數據159
6.6.1刪除Splunk事件159
6.6.2刪除數據162
6.7配置索引庫166
6.8移動索引數據庫166
6.9擴展Splunk索引167
6.10容量167
6.11淺談限制168
6.12總結171
第7章改進APP172
7.1基礎應用程序172
7.1.1應用程序列表173
7.1.2安裝應用程序176
7.1.3禁用或刪除Splunk應用程序179
7.2BYO或創建自定義應用程序180
7.3應用程序常見問題解答180
7.4Splunk的端對端自定義181
7.5應用程序創建的准備工作181
7.5.1開啟Splunk應用程序創建182
7.5.2分享應用程序199
7.6總結199
第8章監測與報警200
8.1監測內容200
8.1.1Recipes202
8.1.2將Splunk指向數據202
8.1.3監測范疇203
8.2高級監測204
8.3定位、定位、定位204
8.4利用轉發器205
8.5我能使用應用程序嗎207
8.6Splunk中的Windows輸入208
8.7開始監測209
8.7.1自定義數據209
8.7.2輸入端鍵入210
8.8Splunk用監測到的數據做什麼210
8.9Splunk212
8.9.1該程序在哪212
8.9.2安裝程序213
8.10查看Splunk部署監控器程序216
8.11關於預警217
8.12編輯預警225
8.12.1編輯描述225
8.12.2編輯權限226
8.12.3編輯預警類型和觸發機制226
8.12.4編輯動作227
8.12.5禁用預警228
8.12.6復制預警228
8.12.7刪除預警229
8.13Scheduled或real time229
8.14擴展功能230
8.14.1Splunk加速231
8.14.2有效期231
8.14.3提要項索引232
8.15總結232
第9章交易型Splunk233
9.1交易及交易類型233
9.2交易搜索235
9.2.1Splunk交易案例236
9.2.2交易指令237
9.2.3交易和宏搜索238
9.2.4回顧搜索宏239
9.3交易的高級應用243
9.3.1設置交易類型243
9.3.2匯總——事件集合與關聯247
9.3.3並發事件247
9.3.4避免什麼——stats而非transaction251
9.4總結253
第10章Splunk—企業板塊254
10.1基本概念254
10.2最佳案例255
10.3Splunk知識的定義256
10.3.1數據解釋257
10.3.2數據的分類257
10.3.3數據改進257
10.3.4標准化258
10.3.5建模258
10.4戰略知識管理258
10.5用Splunk知識管理進行對象管理260
10.6為文檔創建命名規范261
10.7測試264
10.7.1分享前先測試265
10.7.2測試級別
10.8改裝
10.9企業視野
10.9.1評估和實施
10.9.2創建、使用和重復
10.9.3管理和優化
10.9.4更多關於願景的信息
10.9.5一種結構化方法
10.10總結
……
附錄A快速入門