Splunk Enterprise

Splunk Enterpse官方最新版提供数据分析功能，可以帮助用户分析各种来源的数据，将复杂的数据添加到软件转换为可视化的分析结果，方便用户根据分析的结果判断各种数据异常情况或者是数据涨幅趋势，结合数据图表以及可视化的仪表盘就可以清晰浏览数据分析结果；本软件功能非常多，可以通过软件快速搜索数据，可以创建分析数据过程满足特定条件时触发的警报，可以添加交互，管理权限并导出仪表板，也可以生成报告手册，可以将搜索和数据透视表保存为报告，支持编辑报告计划和将报告打印为PDF，为用户提供更多数据分析和输出方案！

Splunk Enterpse软件功能

一、索引编制

Splunk Enterpse为构成您的IT基架构的数据建立索引。您可以从网站，应用程序，，数据库，作系统等中获取数据。Splunk实例的最大索引量取决于Splunk Enterpse许可证。

二、搜索

搜索是用户在Splunk Enterpse中导航数据的主要方式。您可以将搜索另存为报告，并使用它来增强仪表板面板的功能。搜索可从您的数据中提供洞察力，例如：

从索引中检索事件

计算指标

在动时间窗口内搜索特定条件

识别数据中的模式

未来趋势

三、快讯

当历史搜索和实时搜索的搜索结果均符合配置的条件时，警报会您。您可以配置警报以触发作，例如将警报发送到指定的电子邮件地址，将警报发布到RSS feed并运行自定义脚本，例如将警报事件发布到syslog的脚本。

四、仪表板

仪表板包含模块面板，例如搜索框，字段，图表等。仪表板面板通常连接到保存的搜索或数据透视。它们显示完成的搜索的结果以及在后台运行的实时搜索的数据。

五、枢

数据透视表是指您使用“数据透视编辑器”创建的表，图表或数据可视化。使用数据透视编辑器，用户可以将数据模型对象定义的属映到表，图表或数据可视化，而无需使用搜索处理语言（SPL）编写搜索来生成它们。数据透视图可以另存为报告并添加到仪表盘中。

六、报告书

Splunk Enterpse允许您将搜索和数据透视保存为报告，将报告作为仪表板面板添加到仪表板。临时运行报告，安排定期运行报告，或设置计划的报告以在结果满足特定条件时生成警报。

七、资料模型

数据模型对有关一组或多组索引数据的专业领域知识进行编码。它们使Pivot Editor用户可以创建报表和仪表板，而无需设计生成报表和仪表板的搜索。

Splunk Enterpse软件特色

Splunk提供了应用程序和附加组件，并带有针对Windows或Linux专用数据源，Cisco安全数据，Symantec Blue Coat数据等内容的预配置输入。在Splunkbase上寻找适合您需求的应用程序或加载项。Splunk Enterpse还附带了许多数据源配方，例如Web志，Java 2 Platform，Enterpse Edition（J2EE）志或Windows能指标。您可以从Splunk Web的“添加数据”页面中找到这些内容。如果配方和应用程序不能满足您的需求，那么您可以使用常规输入配置功能来指定您的特定数据源。

数据源类型

Splunk提供了用于配置多种数据输入的工具，包括特定于特定应用程序需求的数据输入。Splunk还提供了用于配置任意数据输入类型的工具。通常，您可以按以下方式对Splunk输入进行分类：

1、文件和目录

2、网络事件

3、Windows资源

4、其他来源

Splunk Enterpse安装方法

1、下载得到很多zip文件，将zip全部选中点击解压

2、随后打开splunk-6.4.3-b03109c2bad4-x-release.msi就可以开始安装，接受协议点击install

3、提示安装的过程，等待主程序安装结束

4、提示软件安装结束，不要启动软件

Splunk Enterpse官方最新方法

1、在任务管理器将splunkd的服务内容关闭，暂时结束服务

2、打开crack，将补丁splunkd.exe复制到安装地址替换

3、将splunkd服务启动，打开主程序使用

4、打开主程序，登录并载入随附的splunk-enterpse.lic就可以完成激活

Splunk Enterpse教程

索引，索引器和索引器集群

本手册讨论了Splunk Enterpse数据存储库以及创建和管理它们的Splunk Enterpse组件。

该指数是对Splunk的企业数据存储库。Splunk Enterpse将传入的数据转换为事件，并将其存储在索引中。

索引器是对数据进行 索引的Splunk Enterpse实例。对于小型部署，单个实例也可以执行其他Splunk Enterpse功能，例如数据输入和搜索管理。但是，在较大的分布式部署中，数据输入和搜索管理的功能将分配给其他Splunk Enterpse组件。在单实例或分布式部署的上下文中，本手册仅专注于索引功能。

一个分度器集群是一组配置为复制对方的数据索引，使系统保持的所有数据的多个副本。此过程称为 索引复制或索引器群集。通过多个相同的数据副本，群集可在提高搜索数据可用的同时防止数据丢失。

1、指标

在Splunk Enterpse处理传入数据时，它将数据添加到索引中。Splunk Enterpse附带了多个索引，您可以根据需要创建其他索引。

Splunk Enterpse索引包含各种文件。这些文件分为两个主要类别：

压缩形式的原始数据（rawdata）

指向原始数据的索引（索引文件，也称为tsidx文件），以及一些元数据文件

Splunk Enterpse管理索引以促进灵活的搜索和快速的数据检索，最终根据用户可配置的时间表将其归档。Splunk Enterpse使用平面文件处理所有事务；它不需要在后台运行任何第三方数据库软件。

要开始建立索引，您只需指定要Splunk Enterpse进行索引的数据输入。您可以随时添加更多输入，Splunk Enterpse也将开始为它们建立索引。

默认情况下，Splunk Enterpse将所有用户数据放入一个预先配置的索引中。它还出于内部目的采用了其他几个索引。您可以添加新索引并管理现有索引以满足数据需求。

2、事件处理

在建立索引期间，Splunk Enterpse执行 事件处理。它处理传入的数据以实现快速搜索和分析，并将结果作为事件存储在索引中。在建立索引时，Splunk Enterpse可以通过多种方式增强数据，包括：

将数据流分成单个可搜索的事件。

创建或标识时间。

提取字段，例如主机，源和源类型。

对传入的数据执行用户定义的作，例如标识自定义字段，屏蔽敏感数据，编写新的或修改的键，对多行事件应用中断规则，过滤不需要的事件以及将事件路由到指定的索引或。

3、索引类型

Splunk Enterpse支持两种类型的索引：

事件索引。事件索引具有最小的结构，并且可以容纳任何类型的数据，包括指标数据。事件索引是默认索引类型。

指标索引。指标索引使用高度结构化的格式来处理与指标数据相关的更高容量和更低延迟要求。与将相同数据放入事件索引相比，将度量数据放入度量索引可以提高能，并减少索引存储的使用。

索引器在处理和管理两种索引类型方面的差异很小。尽管其名称如此，事件处理和指标索引的事件处理顺序相同。指标数据实际上只是一种高度结构化的事件数据。

4、索引器

索引器是Splunk Enterpse组件，用于创建和管理索引。索引器的主要功能是：

索引传入的数据。

搜索索引数据。

在仅包含一个Splunk Enterpse实例的单机部署中，索引器还处理数据输入和搜索管理功能。这种小型部署可能会满足组织中单个部门的需求。

对于更大规模的需求，索引从数据输入功能中分离出来，有时也从搜索管理功能中分离出来。在这些较大的分布式部署中，Splunk Enterpse索引器可能驻留在其自己的计算机上，并且只能处理索引以及搜索其索引数据。在这些情况下，其他Splunk Enterpse组件将接管非索引角色。转发器使用数据，索引器索引并搜索数据，搜索头协调整个索引器中的搜索。这是一个扩展部署的示例：

Splunk索引器只是一个Splunk Enterpse实例。

5、索引器群集

索引器群集是一组Splunk Enterpse节点，它们协同工作，提供冗余的索引和搜索功能。集群中有三种类型的节点：

单个主节点来管理集群。主节点是特殊类型的索引器。

几个对等节点处理集群的索引功能，为数据建立索引并其多个副本，并在整个数据中运行搜索。

一个或多个搜索头可协调所有对等节点之间的搜索。

索引器群集具有从一个对等节点自动故障转移到下一个对等节点的功能。这意味着，如果一个或多个对等节点失败，则传入的数据将继续获得索引，并且索引的数据将继续可搜索。

关于转发和接收

您可以将数据从一个Splunk Enterpse实例转发到另一个Splunk Enterpse实例，甚至转发到非Splunk系统。执行转发的Splunk实例称为转发器。

从一个或多个转发器接收数据的Splunk实例称为接收器。接收者通常是Splunk索引器，但也可以是另一个转发器。

1、样本转发布局

此图显示了三个转发器，这些转发器将数据发送到单个接收器（索引器），该接收器对数据进行索引并使其可用于搜索：

与原始网络提要相比，转发器代表了一种更强大的数据转发解决方案，它们具有以下功能：

标记元数据（源，源类型和主机）

可配置的缓冲

资料压缩

SSL安全

使用任何可用的网络端口

转发和接收功能使各种有趣的拓扑成为可能。您可以构建环境来处理诸如数据合并，负载平衡和数据路由之类的功能。

将对等方添加到集群

您可以随时将对等节点添加到索引器群集。为此，只需启用Splunk Enterpse实例作为对等节点即可。

在启用对等节点之前，请熟悉相关的系统要求。确保Splunk Enterpse实例满足版本兼容和所有其他记录的要求。

当对等方启动时，主节点将最新的配置分发包分发给对等方

启用对等节点后，您可能需要采取步骤以确保对等节点正在接收来自转发器的数据。有多种方法可以配置转发器和对等节点之间的关系。根据群集与转发器的连接方式，您可能需要配置新的对等节点或转发器，或同时配置两者。

最后一步，请考虑重新平衡群集的数据，以便将现有数据移至新的对等节点上。这允许新的对等方分担搜索负担