داشبوردهای اسپلانک

امکان کانفیگ جستجوها در داشبوردهای اسپلانک به صورت هشدارهای Real Time وجود دارد. در زمان رخ دادن رویداد خاص، ایمیل یا RSS دریافت کنید. فعالیت‌های برنامه‌ریزی شده را اجرا کنید. هشدارها در داشبوردهای Splunk در صورت وقوع شرایط خاص فعال می‌شوند. با هشدار، سریع‌تر از وقوع مشکلات مطلع شوید و آن‌ها را مدیریت کنید. مدیر و کاربران Splunk از هر مرورگری به نرم‌افزار دسترسی دارند. دسترسی راه دور Splunk امکان نظارت و بررسی وضعیت را فراهم می‌کند. مدیران می‌توانند از سیستم‌عامل‌های مختلف و تلفن‌های همراه استفاده کنند. امکان ایجاد داشبوردهای جدید در Splunk وجود دارد. داشبوردها با زبان‌های برنامه‌نویسی و اسکریپت XML قابل تغییر هستند.

برای معرفی اسپلانک به عنوان یکی از پیشرفته‌ترین و کاربردی‌ترین ابزارها در زمینه تجزیه و تحلیل داده‌های بزرگ و مانیتورینگ سیستم‌هااست. این متن به بررسی داشبوردهای اسپلانک می‌پردازد. Splunk به عنوان یک پلتفرم قدرتمند، امکانات گسترده‌ای را در اختیار کاربران قرار می‌دهد که شامل جمع‌آوری، پردازش، و تجسم داده‌ها از منابع مختلف است. این پلتفرم با ارائه امکاناتی نظیر ایجاد داشبوردهای تعاملی، تنظیم هشدارهای Real Time، و مدیریت ایندکس‌ها و فیلدها، به کاربران اجازه می‌دهد تا از داده‌های خود به نحو احسن استفاده کنند. Splunk نه تنها در زمینه فناوری اطلاعات بلکه در بسیاری از بخش‌های دیگر نیز کاربرد دارد و به عنوان یک ابزار همه‌کاره در میان متخصصان این حوزه شناخته می‌شود.

مدیریت ایندکس های اسپلانک

با انتخاب گزینه New Index در داشبوردهای اسپلانک، صفحه‌ای باز می‌شود که می‌توان در آن شاخص جدیدی را تعریف نمود. چنانچه شاخص جدید تعریف نماییم، یک فایل جدید در مسیر Splunk\lib\var\Splunk با نامی که مشخص نموده‌ایم ایجاد می‌شود. برای حذف شاخص غیرضروری می‌توان از منوی Settings و لینک Indexes در داشبوردهای اسپلانک برای حذف شاخص مورد نظر اقدام نمود که در این صورت از کاربر تأیید می‌گیرد و پیغام می‌دهد که این داده غیرقابل برگشت است. در این صورت فولدری که اشاره نمودیم در مسیر Splunk\lib\var\Splunk را حذف می‌نماید.

مشاهده، ایجاد و حذف فیلدها در داشبوردهای اسپلانک

چنانچه از منوی Settings، لینک Fields و سپس Extraction Field را انتخاب کنیم، در این صفحه می‌توان فیلدهای تعریف شده را مشاهده کرد. همچنین، می‌توان در صورت لزوم فیلدهای بیشتری را تعریف کرد. برای این کار، گزینه New را انتخاب می‌کنیم. فیلد Response را تعریف کرده و بعد از فشار دادن دکمه Save، این فیلد به فیلدهای موجود اضافه می‌شود. فیلد مورد نظر را جستجو می‌کنیم و از نتایج نمایش داده شده، لینک Permission را انتخاب می‌نماییم.

در این قسمت، با استفاده از لایسنس اسپلانک، دسترسی‌های لازم را به همه کاربران و کاربر Admin سیستم می‌دهیم و گزینه Save را انتخاب می‌کنیم. بعد از آن، این فیلد در فهرست فیلدهای کاربر و در قسمت Datasource که تعیین کردیم، نمایش داده می‌شود. علاوه بر این روش، می‌توان با انتخاب لینک Fields New Extract، فیلدهای جدیدی تعریف نمود که دارای الگوی خاص مورد نظر ما باشند.

از دکمه Sample می‌توان تعداد نمونه‌هایی که می‌خواهیم بررسی کنیم را انتخاب نماییم. می‌توانیم برای اینکه تعداد بیشتری رکورد داشته باشیم، برای مثال گزینه 10000 رخداد را انتخاب نماییم. چنانچه بخواهیم یک عبارت را برای جستجو تهیه کنیم، دکمه Expression Regular را می‌زنیم. اما اگر عبارتی را بخواهیم که قابل جدا کردن با کاما، فاصله خالی و غیره باشد، دکمه Delimiters را انتخاب می‌کنیم.

ایجاد هشدار اسپلانک

هشدارها برای مانیتور کردن و پاسخ به اتفاقات خاص، کاربردی هستند. با تنظیم هشدار، Splunk در صورت رخ دادن اتفاق خاصی به ما اطلاع می‌دهد. هشدار از جستجوی ضبط شده برای رخدادها در زمان Real Time یا بر اساس پیکربندی از پیش تعریف شده استفاده می‌کند. مثلاً، دستور “Root For Password Failed” را در جستجو وارد می‌کنیم. سپس گزینه “Save Alert > As” را فشار می‌دهیم.

ما می‌توانیم هشدار را می‌توان به صورت برنامه‌ریزی شده یا لحظه‌ای تعریف کنیم. در بخش “Trigger Condition”، شرط مورد نظر را وارد می‌کنیم. مثلاً، تعیین می‌کنیم که هشدار دهد اگر تعداد نتایج در 2 دقیقه بیشتر از 8 شود. پس از ایجاد هشدار، تعیین می‌کنیم که چگونه اطلاع‌رسانی شود. این اطلاع رسانی طریق ایمیل یا اجرای اسکریپت می‌باشد.