Инструкторы
Курсы ведут сертифицированные специалисты с многолетним практическим опытом работы с платформой Splunk
Dataset
Все практические задания основаны на наборе синтезированных данных, повторяющих нагрузку от ключевых информационных источников
Поддержка
В рамках курса предусмотрены отступления от содержания для решения конкретных практических задач слушателей, укладывающихся в содержание курса
Цель курса
Освоение платформы Splunk для самостоятельного решения практических задач. Получение навыков по подключению источников, анализу машинных данных и построению отчетности. Формирование знаний об архитектуре решений на базе Splunk, языке поисковых запросов (SPL) и способе построения специализированных приложений на платформе Splunk.
Целевая аудитория
Технические специалисты, применяющие Smart Monitor в своих организациях, и сотрудники интеграторов, реализующие проекты по мониторингу на данной платформе. Курс будет полезен для тех, кто хочет повысить эффективность использования Smart Monitor и реализовать сложные практические задачи.
Требование к оборудованию
для подключения к on-line курсам:
- любая операционная система;
- актуальный браузер (допустимы последние версии Firefox, Chrome, Safari, Edge);
- от 4 Гб ОЗУ;
- клиент SSH;
- клиент RDP.
Обязательные навыки
для успешного прохождения курса:
Все нужные навыки вы получите непосредственно на курсе. Специальных требований к необходимой подготовке слушателей не предъявляется.
Будет плюсом
для лучшего понимания курса:
- знакомство с SQL;
- знание Python;
- опыт работы с Java Script.
Содержание курса
Курс предлагает три полных дня погружения в платформу. Формат занятий включает в себя набор лекций для ознакомления с выбранными темами, и практических занятий на лабораторном стенде со специально подготовленным набором тестовых данных. Перечень тем и детализация по каждой из них представлены ниже.
День #1
Основы использования Splunk
Знакомство со Splunk
- позиционирование Splunk;
- области применения Splunk;
- описание возможностей получения данных в Splunk;
- описание этапов жизненного цикла обработки данных в Splunk;
- описание основных компонентов платформы Splunk;
- описание возможностей поиска и визуализации данных;
Изучение интерфейса Splunk
- базовые термины и определения, используемые в курсе;
- описание лабораторной среды и демонстрационного стенда;
- введение в интерфейс, основная навигация;
- обзор приложений на базе платформы Splunk.
Введение в механизм поиска по данным
- выполнение базовых поисковых запросов;
- работа с временными диапазонами поисковых запросов;
- определение содержания результатов поиска;
- детализация/уточнение результатов поиска;
- использование временной шкалы;
- работа с событиями;
- управление поисковыми заданиями.
Применение поисковых механизмов
- структура языка поисковых запросов (SPL);
- обзор основных команд поиска и методов поиска;
- команды, трансформирующие данные: top, rare, stats.
Дополнительная обработка результатов поиска
- работа с результатами поиска: фильтрация, детализация, группировка;
- корреляция данных: формирование событий, работа с транзакциями, группировка полей.
Создание отчетов и визуализация данных
- сохранение поиска в виде отчета (Reports);
- редактирование отчетов;
- варианты визуализации данных (диаграммы, графики, таблицы и прочее);
- создание панелей инструментов (Dashboards);
- добавление отчетов на панель инструментов;
- изменение панелей инструментов;
- визуализация результатов работы статистических и трансформирующих команд;
- обогащение визуализации, использование команд trendline, iplocation, geostats и аналогов.
Практика применения SPL
Интерактивная лекция. Лектор подключается к Splunk и формирует поисковые запросы, используя полезные, но редко используемые команды, параллельно объясняя синтаксис и алгоритм их работы:
- механизм subsearch;
- команды streamstats, eventstats;
- команда autoregress;
- dynamic eval;
- способы построения транзакций: transaction, stats, join, append, map.
День #2
Продвинутое использование Splunk
Создание дашбордов, использование Simple XML
- знакомство со способами создания дашбордов;
- изучение внутренней структуры основанных на Simple XML дашбордов;
- типы визуализации, расширенная настройка визуализации с помощью Simple XML;
- автоматическое обновление дашбордов.
Расширение функциональности дашбордов
- понятие токена, использование токенов для управления вводом пользователя;
- использование механизма post-process search для ускорения работы дашбордов;
- расширение функциональности дашбордов с помощью пользовательских JS-скриптов и стилей CSS.
Работа с объектами знаний (Knowledge Objects)
- обзор типов источников событий и типов данных;
- управление правами доступа к данным;
- политика согласованного именования объектов знаний;
- инструмент lookup и его применение для обработки данных;
- создание, настройка lookup, размещение в файле, автоматизация;
- создание и использование тегов (Tags);
- описание типов (Event Types) событий, их создание и использование;
- использование макросов (Macros) с применением параметров;
- применение сценариев реагирования (Workflow Actions): функции GET, POST и Search.
Работа с полями в Splunk
- изучение механизма Field Extractor (FX);
- определение вариантов для извлечения полей с использованием FX;
- обзор процесса извлечения полей вручную с использованием FX;
- использование FX для изменения извлекаемых полей;
- псевдонимы полей данных (Field Aliases) и вычисляемые поля (Calculated Fields).
Построение отчетности, схемы оповещения и реагирования
- создание и настройка отчетов по расписанию (Scheduled Reports);
- создание оповещений (Alerts), использование полей в оповещениях;
- нестандартные действия оповещений (Alert Actions.
Введение в Data Model
- построение и акселерация Data Model;
- практика применения Data Model в поисковых запросах;
- описание общей информационной модели (CIM – Common Information Model).
День #3
Разработка и интеграция решений на Splunk
Обзор архитектуры Splunk и лицензирование
- описание основных компонентов платформы Splunk;
- внутренняя архитектура платформы;
- общие требования Splunk: права доступа, синхронизация времени, сетевые порты;
- особенности использования в виртуальной среде;
- варианты лицензирования и контроль использования лицензии.
Источники данных, индексирование данных и понятие индекса
- варианты сбора данных;
- применение Universal Forwarder;
- индексирование данных, обзор индексов (Indexes);
- разделение информации на отдельные индексы.
Ролевая модель Splunk
- описание механизмов ролевого доступа;
- пользователи (Users), роли (Roles) и возможности (Capabilities);
- варианты аутентификации и интеграция ролевой модели с Microsoft Active Directory.
Интеграция со сторонними системами
- обзор методов интеграции;
- использование Splunk REST API и SDK;
- использование Splunk Web Framework для поиска и визуализации данных.
Применение готовых решений (Apps и Add-ons)
- структура каталогов Splunk;
- приложения (Apps) и надстройки (Add-ons);
- структура приложений и конфигурационные файлы Splunk;
- создание собственных приложений и надстроек;
- становка полезных приложений и технических надстроек из базы Splunkbase;
- обзор премиальных приложений Splunk: Enterprise Security, UBA, ITSI.
Создание пользовательских Alert Action и Modular Input
- пользовательские источники данных и активные действия Splunk;
- создание пользовательских источников данных;
- создание пользовательских активных действий Splunk;
- приложение Splunk Add-on Builder.