امکان کانفیگ جستجوها در داشبوردهای اسپلانک به صورت هشدارهای Real Time وجود دارد. در زمان رخ دادن رویداد خاص، ایمیل یا RSS دریافت کنید. فعالیتهای برنامهریزی شده را اجرا کنید. هشدارها در داشبوردهای Splunk در صورت وقوع شرایط خاص فعال میشوند. با هشدار، سریعتر از وقوع مشکلات مطلع شوید و آنها را مدیریت کنید. مدیر و کاربران Splunk از هر مرورگری به نرمافزار دسترسی دارند. دسترسی راه دور Splunk امکان نظارت و بررسی وضعیت را فراهم میکند. مدیران میتوانند از سیستمعاملهای مختلف و تلفنهای همراه استفاده کنند. امکان ایجاد داشبوردهای جدید در Splunk وجود دارد. داشبوردها با زبانهای برنامهنویسی و اسکریپت XML قابل تغییر هستند.
برای معرفی اسپلانک به عنوان یکی از پیشرفتهترین و کاربردیترین ابزارها در زمینه تجزیه و تحلیل دادههای بزرگ و مانیتورینگ سیستمهااست. این متن به بررسی داشبوردهای اسپلانک میپردازد. Splunk به عنوان یک پلتفرم قدرتمند، امکانات گستردهای را در اختیار کاربران قرار میدهد که شامل جمعآوری، پردازش، و تجسم دادهها از منابع مختلف است. این پلتفرم با ارائه امکاناتی نظیر ایجاد داشبوردهای تعاملی، تنظیم هشدارهای Real Time، و مدیریت ایندکسها و فیلدها، به کاربران اجازه میدهد تا از دادههای خود به نحو احسن استفاده کنند. Splunk نه تنها در زمینه فناوری اطلاعات بلکه در بسیاری از بخشهای دیگر نیز کاربرد دارد و به عنوان یک ابزار همهکاره در میان متخصصان این حوزه شناخته میشود.
مدیریت ایندکس های اسپلانک
با انتخاب گزینه New Index در داشبوردهای اسپلانک، صفحهای باز میشود که میتوان در آن شاخص جدیدی را تعریف نمود. چنانچه شاخص جدید تعریف نماییم، یک فایل جدید در مسیر Splunk\lib\var\Splunk با نامی که مشخص نمودهایم ایجاد میشود. برای حذف شاخص غیرضروری میتوان از منوی Settings و لینک Indexes در داشبوردهای اسپلانک برای حذف شاخص مورد نظر اقدام نمود که در این صورت از کاربر تأیید میگیرد و پیغام میدهد که این داده غیرقابل برگشت است. در این صورت فولدری که اشاره نمودیم در مسیر Splunk\lib\var\Splunk را حذف مینماید.
مشاهده، ایجاد و حذف فیلدها در داشبوردهای اسپلانک
چنانچه از منوی Settings، لینک Fields و سپس Extraction Field را انتخاب کنیم، در این صفحه میتوان فیلدهای تعریف شده را مشاهده کرد. همچنین، میتوان در صورت لزوم فیلدهای بیشتری را تعریف کرد. برای این کار، گزینه New را انتخاب میکنیم. فیلد Response را تعریف کرده و بعد از فشار دادن دکمه Save، این فیلد به فیلدهای موجود اضافه میشود. فیلد مورد نظر را جستجو میکنیم و از نتایج نمایش داده شده، لینک Permission را انتخاب مینماییم.
در این قسمت، با استفاده از لایسنس اسپلانک، دسترسیهای لازم را به همه کاربران و کاربر Admin سیستم میدهیم و گزینه Save را انتخاب میکنیم. بعد از آن، این فیلد در فهرست فیلدهای کاربر و در قسمت Datasource که تعیین کردیم، نمایش داده میشود. علاوه بر این روش، میتوان با انتخاب لینک Fields New Extract، فیلدهای جدیدی تعریف نمود که دارای الگوی خاص مورد نظر ما باشند.
از دکمه Sample میتوان تعداد نمونههایی که میخواهیم بررسی کنیم را انتخاب نماییم. میتوانیم برای اینکه تعداد بیشتری رکورد داشته باشیم، برای مثال گزینه 10000 رخداد را انتخاب نماییم. چنانچه بخواهیم یک عبارت را برای جستجو تهیه کنیم، دکمه Expression Regular را میزنیم. اما اگر عبارتی را بخواهیم که قابل جدا کردن با کاما، فاصله خالی و غیره باشد، دکمه Delimiters را انتخاب میکنیم.
ایجاد هشدار اسپلانک
هشدارها برای مانیتور کردن و پاسخ به اتفاقات خاص، کاربردی هستند. با تنظیم هشدار، Splunk در صورت رخ دادن اتفاق خاصی به ما اطلاع میدهد. هشدار از جستجوی ضبط شده برای رخدادها در زمان Real Time یا بر اساس پیکربندی از پیش تعریف شده استفاده میکند. مثلاً، دستور “Root For Password Failed” را در جستجو وارد میکنیم. سپس گزینه “Save Alert > As” را فشار میدهیم.
ما میتوانیم هشدار را میتوان به صورت برنامهریزی شده یا لحظهای تعریف کنیم. در بخش “Trigger Condition”، شرط مورد نظر را وارد میکنیم. مثلاً، تعیین میکنیم که هشدار دهد اگر تعداد نتایج در 2 دقیقه بیشتر از 8 شود. پس از ایجاد هشدار، تعیین میکنیم که چگونه اطلاعرسانی شود. این اطلاع رسانی طریق ایمیل یا اجرای اسکریپت میباشد.