《Splunk智能運維實戰》——導讀

在這個以科技為中心的世界裡，各式各樣的機器産生了大量的資料。splunk是以推出了業内領先的大資料智能運維平台——splunk enterprise。這個強大的平台能讓使用者将機器資料轉化為可操作的、非常重要的運維智能。

本書融合了各種實用方法，旨在提供指導和實用知識，以便使讀者掌握splunk enterprise 6的各種功能，從資料中提取出強大而重要的運維智能。

本書通過簡單易學、循序漸進的操作技巧，教授讀者如何有效地收集、分析并建立所在環境的營運資料報表。這些技巧将展示如何加快智能報表的傳遞，并教授讀者通過儀表盤和應用splunk enterprise中的各種可視化手段來恰當地展示資料。讀完本書，讀者将能建立一個強大的智能運維應用程式，并學會使用splunk enterprise平台的多項關鍵特性。

當讀者向他人介紹splunk enterprise平台和自己新掌握的擷取智能運維的能力時，可将書中簡單易學的訣竅用作教學工具。

本書的主要内容

第1章介紹将資料導入splunk的多種方法，包括從本地檔案和目錄收集資料，通過tcp/udp端口輸入，直接從通用轉發器導入或使用腳本化和子產品化輸入。該章還會介紹一個資料集，在之後的章節都會用到它。我們還将學習如何生成樣本資料，以便與本書的每項技巧配套使用。

第2章介紹了本書的第一組技巧。該章所介紹的資訊和技巧将利用第1章擷取的資料，教授使用splunk的spl（搜尋處理語言）來搜尋事件資料；應用字段抽取；按字段值将同類事件分組；使用table、top、chart和stats指令來建構基本的報表。

第3章指導讀者在前一章建立的報表基礎上進行可視化建構。該章将教授如何通過splunk提供的強大的可視化手段将資料和報表生動地呈現出來。該章将要介紹的可視化手段包括單值、圖表（條形圖、餅圖、折線圖和面積圖）、散點圖和計量器。

第4章在前一章的可視化圖表的基礎上，講授儀表盤的概念。該章提供的資訊和技巧将簡要介紹儀表盤的用途，并教授讀者如何恰當地使用儀表盤，如何使用儀表闆編輯器來建立儀表盤，如何建立表單來搜尋事件資料等。

第5章讓讀者更深入地研究資料，介紹事務、次級搜尋、并發、關聯和更進階的搜尋指令。通過該章提供的資訊和技巧，讀者将學會從不同的來源聚合資訊，并了解如何在不同的事件資料之間建立關聯。

第6章将介紹查找和工作流程操作的概念，為的是增加分析資料。該章介紹的技巧可幫助讀者應用這個核心功能來進一步加深對所分析資料的了解。

第7章解釋為什麼預定警報或實時警報是完整的智能運維和營運認知的關鍵。該章将介紹主動警報的概念和益處，并說明何時應用這些警報最好。該章提供的技巧将指導讀者在前面章節所學知識的基礎上建立警報。

第8章介紹彙總索引的概念，為的是加快報表速度并節約擷取商業情報的時間。該章會簡單介紹一些将彙總索引用于加快報表速度或長時間儲存聚集統計資料的常見情況。

第9章介紹splunk enterprise 6推出的兩個最新、最強大的特性：資料模型和透視工具。該章提供的技巧将指導讀者學習建造資料模型并使用透視工具迅速設計基于已構模組化型的智能報表。

第10章是本書的最後一章，介紹splunk的4個非常強大的特性。這些特性允許讀者使用splunk來創造豐富和強大的互動體驗。該章給出的技巧讓讀者能超越splunk enterprise的核心功能并制作自己的帶有強大d3可視化的智能運維應用程式。此外，它也将講述查詢splunk的rest api的技巧，并給出一個基礎的python應用來使用splunk的sdk執行搜尋。

閱讀前的準備工作

要學習本書提供的技巧，讀者需要安裝splunk enterprise 6并擁有本書附帶的樣本資料。這些技巧适用于所有splunk enterprise環境，但為了得到最佳結果，我們建議大家使用本書提供的樣本。

本書提供的樣本會附帶splunk事件生成器工具，這樣當你學習這些技巧時，事件資料就能重新整理，事件會重放。

本書的讀者對象

本書面向所有使用者。不管是初學者還是進階人員，任何想将splunk enterpri

se平台用作智能運維工具的人都可以閱讀本書。書中包括的技巧對it、安全、産品、營銷或任何其他領域的人都有幫助。

書中有些部分會用到正規表達式并介紹一些利用python和xml語言的技巧。讀者若具有這些方面的經驗會更有益處，但這些知識不是必需的。

[第1章　遊戲時間——導入資料

<a href="https://yq.aliyun.com/articles/107978/">1.2　索引檔案和目錄</a>

<a href="https://yq.aliyun.com/articles/107993/">1.3　從網絡端口擷取資料</a>

<a href="https://yq.aliyun.com/articles/108001/">1.4　使用腳本輸入</a>

<a href="https://yq.aliyun.com/articles/108013/">1.5　使用子產品輸入</a>

<a href="https://yq.aliyun.com/articles/108031/">1.6　使用通用轉發器收集資料</a>

<a href="https://yq.aliyun.com/articles/108041/">1.7　為本書加載樣本資料</a>

<a href="https://yq.aliyun.com/articles/108066/">1.8　定義字段提取内容</a>

<a href="https://yq.aliyun.com/articles/108082/">1.9　定義事件類型和标簽</a>

<a href="https://yq.aliyun.com/articles/108089/">1.10　小結</a>

[第2章　深入資料——搜尋和報表

<a href="https://yq.aliyun.com/articles/108109/">2.2　使原始事件資料具備可讀性</a>

<a href="https://yq.aliyun.com/articles/108121/">2.3　找出最常通路的網頁</a>

<a href="https://yq.aliyun.com/articles/108127/">2.4　找出最常使用的web浏覽器</a>

<a href="https://yq.aliyun.com/articles/108132/">2.5　找出浏覽量來源最多的網站</a>

<a href="https://yq.aliyun.com/articles/108137/">2.6　制作網頁響應代碼的圖表</a>

<a href="https://yq.aliyun.com/articles/108145/">2.7　顯示網頁響應時間的統計資料</a>

<a href="https://yq.aliyun.com/articles/108153/">2.8　列出浏覽次數最多的産品</a>

<a href="https://yq.aliyun.com/articles/108159/">2.9　制作應用程式使用性能的圖表</a>

<a href="https://yq.aliyun.com/articles/108163/">2.10　制作應用程式記憶體使用情況的圖表</a>

<a href="https://yq.aliyun.com/articles/108167/">2.11　計算資料庫連接配接的總數</a>

<a href="https://yq.aliyun.com/articles/108172/">2.12　小結</a>

[第3章　儀表盤和可視化——讓資料閃光

<a href="https://yq.aliyun.com/articles/108184/">3.2　建立智能運維儀表盤</a>

<a href="https://yq.aliyun.com/articles/108194/">3.3　使用餅圖展示最常通路的網頁</a>

<a href="https://yq.aliyun.com/articles/108202/">3.4　顯示唯一訪客數量</a>

<a href="https://yq.aliyun.com/articles/108243/">3.5　使用計量器顯示錯誤的數量</a>

<a href="https://yq.aliyun.com/articles/108250/">3.6　制作每一主機不同請求方法數量的圖表</a>

<a href="https://yq.aliyun.com/articles/108257/">3.7　制作請求方法、浏覽量和響應時間的時間圖</a>

<a href="https://yq.aliyun.com/articles/108262/">3.8　使用散點圖根據大小和響應時間辨別離散的請求</a>

<a href="https://yq.aliyun.com/articles/108264/">3.9　制作面積圖顯示應用程式的性能統計資料</a>

<a href="https://yq.aliyun.com/articles/108266/">3.10　使用條形圖按類别顯示平均花銷</a>

<a href="https://yq.aliyun.com/articles/108268/">3.11　制作折線圖顯示項目浏覽量和購買量随時間的變化</a>

<a href="https://yq.aliyun.com/articles/108269/">3.12　小結</a>

第4章　建立智能運維應用程式

4.1　簡介

4.2　建立智能運維應用程式

4.3　添加儀表盤和報表

4.4　更高效地組織儀表盤

4.5　動态鑽取活動報表

4.6　建立表單搜尋web活動

4.7　将網頁活動報表連結至表單

4.8　顯示訪客地理分布圖

4.9　計劃儀表盤的pdf傳遞

4.10　小結

第5章　智能拓展——資料模型和透視

5.1?簡介

5.2?為web通路日志建立資料模型

5.3?為應用程式日志建立資料模型

5.4　加速資料模型

5.5　透視總交易量

5.6　根據地理位置透視購買量

5.7　透視響應最慢的網頁

5.8　用透視圖顯示最多的錯誤代碼

5.9　小結

第6章　深入挖掘——進階搜尋

6.1　簡介

6.2　計算網站平均會話時間

6.3　計算多層web請求的平均執行時間

6.4　顯示最大并發結賬

6.5　分析web請求之間的關系

6.6　預測網站流量大小

6.7　尋找數量反常的web請求

6.8　識别潛在的會話欺騙

6.9　小結

第7章　豐富資料——查找和工作流程

7.1　簡介

7.2　查詢産品編碼描述

7.3　标記可疑ip位址

7.4　建立會話狀态表

7.5　在ip位址中添加主機名

7.6　為給定的ip位址搜尋arin

7.7　為給定錯誤觸發谷歌搜尋

7.8　為應用程式錯誤建立憑證

7.9　從外部資料庫查詢庫存

7.10　小結

第8章　搶先一步——建立警報

8.1　簡介

8.2　警告異常網頁響應時間

8.3　警告實時結賬過程中的錯誤

8.4　警告異常使用者行為

8.5　警告失敗并觸發腳本響應

8.6　警告預計銷售量超出庫存量

8.7　小結

第9章　加速智能資料彙總

9.1　簡介

9.2　計算每小時會話及完成交易的數量

9.3　按城市回填購買數量

9.4　按時間順序顯示并發會話最大數量

9.5　小結

第10章　更進一步——自定義、web架構、rest api和sdk

10.1　簡介

10.2　自定義應用程式的導航

10.3　添加網絡點選量的力導向圖

10.4　添加産品購買量的月曆熱圖

10.5　遠端查詢splunk的rest api以擷取唯一頁面浏覽量

10.6　建立python應用程式傳回唯一ip位址

10.7　建立自定義搜尋指令來格式化産品名稱

10.8　小結