План обучения администратора Splunk — День 22 — Важные концепции скачать в хорошем качестве

План обучения администратора Splunk — День 22 — Важные концепции

В этом видео мы обсудим наиболее часто используемые конфигурационные файлы Splunk, которые необходимы для большинства развертываний и конфигураций. Если вы работаете администратором Splunk, понимание этих файлов имеет решающее значение для ввода данных и базового администрирования. Мы рассмотрим пять наиболее важных конфигурационных файлов: • inputs.conf – позволяет Splunk считывать и собирать данные из различных источников. • outputs.conf – пересылает данные в определенное место назначения (например, с пересыльщика на индексатор). • props.conf – управляет тем, как данные анализируются и структурируются. • transforms.conf – обрабатывает преобразования полей, маршрутизацию и поиск. • limits.conf – управляет настройками производительности в Splunk Enterprise. Вы также узнаете, как эти конфигурационные файлы взаимодействуют с различными компонентами Splunk: Универсальный пересыльщик (Universal Forwarder) inputs.conf – Собирает данные из производственной среды props.conf – Выполняет ограниченный/базовый анализ outputs.conf – Отправляет данные на индексатор Индексатор (Indexer) inputs.conf – Принимает входящие данные props.conf – Выполняет полный анализ outputs.conf – Обычно не требуется, но может присутствовать Поисковый узел (Search Head) inputs.conf – Собирает внутренние журналы props.conf – Обрабатывает извлечение и поиск полей во время поиска outputs.conf – Необходим для сводного индексирования и пересылки внутренних данных Мы также объясним, как данные передаются от источника → пересыльщика → индексатора → поискового узла и какие конфигурационные файлы задействованы на каждом этапе. Рекомендации по работе с конфигурационными файлами Splunk ✔ Избегайте хранения конфигураций в $SPLUNK_HOME/etc/system/local (используйте вместо этого app/local) ✔ Никогда не изменяйте файлы в папке по умолчанию ✔ Всегда размещайте пользовательские конфигурации в локальном каталоге вашего приложения ✔ Используйте команду btool для проверки приоритета конфигураций ✔ Перезапускайте Splunk только при необходимости ✔ Копируйте только необходимые настройки из папки по умолчанию в локальную — избегайте полного копирования и вставки Когда перезапускать компоненты Splunk Мы объясняем, когда перезапускать: Splunk Web При включении или отключении SSL Splunkd (бэкэнд-служба) Изменения, связанные с индексом (извлечение данных во время индексации, свойства временных меток) Изменения пользователей и ролей (LDAP, обновления паролей, возможности) Изменения в лицензировании Изменения в конфигурации веб-сервера Обновления фильтрации на основе ролей Настройки индексатора (дисковое пространство, имя сервера, порты) Изменения часового пояса или вывода пересыльщика Некоторые установки приложений Перед развертыванием приложения всегда тестируйте его установку в непроизводственной среде.