سوالات مصاحبه اسپلانک
اگر به دنبال سوالات مصاحبه اسپلانک هستید این مقاله از ساینت برای شماست. حتی اگر به صورت مبتدی می خواهید آموزش اسپلانک را دنبال کنید نیز این مقاله دید مناسبی را برای شما فراهم میکنه، کسب تخصص اسپلانک فرصت های بسیاری در شرکت های معتبر را برای شما فراهم میکنه. طبق تحقیقات اسپلانک سهم بالایی در بازار کار چه در ایران و چه در جهان دارد. بنابراین، شما فرصت های زیادی دارید که در به عنوان متخصص اسپلانک مشغول کار شوید. ساینت کامل ترین منبع سوالات مصاحبه اسپلانک را در این مقاله از سوالات مقدماتی تا سوالات پیشرفته را برای شما آماده کرده.
سوالات مصاحبه اسپلانک
در اینجا بیشترین سوالات متداول مصاحبه اسپلانک وجود دارد:
- Splunk چیست؟
- شماره پورت های که Splunk از آن استفاده می کند کدامند؟
- مولفه های معماری اسپلانک شامل چه مواردی هستند؟
- splunk indexer چیست؟ مراحل ایندکسینگ در اسپلانک به چه شکل است؟
- انواع لایسنس اسپلانک کدامند؟
- app splunk چیست؟
- پیکربندی پیش فرض splunk در کجا ذخیره می شود؟
- summary index در splunk چیست؟
- splunk DB connect چیست؟
- buckets چیست؟ چرخه عمر buckets splunk را توضیح دهید؟
با خواندن سوالات بالا میتوانید میزان آشنایی خودتو رو محک بزنید. بیاین ببینیم پاسخ سوالات با آنچه که در ذهن شماست چقدر شباهت دارد.
سوال: اسپلانک چیست؟
پاسخ: اسپلانک مانند گوگل برای داده های شما است. این یک نرم افزار ویا موتور جستجو است که می تواند برای جستجو، رسم نمودارهای گرافیکی، نظارت، گزارش و غیره از داده های سازمانی شما استفاده شود. اسپلانک از طریق نمودارها، هشدارها، گزارش ها و غیره، داده های ارزشمند ماشین را می گیرد و آنها را به اطلاعات عملیاتی قدرتمند تبدیل می کند.
سوال: شماره پورت هایی که Splunk از آنها استفاده می کند کدامند؟
پاسخ: در زیر شماره پورت های متداول استفاده شده توسط splunk وجود دارد، اما در صورت لزوم می توانید آنها را تغییر دهید.
Service | Port number Used |
Splunk Web Port | ۸۰۰۰ |
Splunk Management Port | ۸۰۸۹ |
Splunk Indexing Port | ۹۹۹۷ |
Splunk Index Replication Port | ۸۰۸۰ |
Splunk network port | ۵۱۴ (Used to get data in from netwok port i.e. UDP data) |
KV store | ۸۱۹۱ |
سوال: کامپوننت های معماری اسپلانک چیست؟
پاسخ: در زیر اجزای splunk آورده شده است:
- Search head: GUI را برای جستجو فراهم می کند
- ایندکسر: داده های دستگاه را نمایه می کند
- Forwarder: به Indexer وارد می شود
- Deployment server: مدیریت اجزای اسپلانک در محیط توزیع شده
سوال: آخرین نسخه اسپلانک چند است؟
پاسخ: آخرین نسخه اسپلانک ۸.۲
اسپلانک ایندکسر چیست؟ مراحل ایندکسینگ اسپلانک چیست؟
پاسخ: ایندکسر یکی از مولفه های Splunk Enterprise است که ایندکس ها را ایجاد و مدیریت می کند. کار اصلی ایندکسر عبارت است از:
- نمایه سازی داده های دریافتی.
- جستجوی داده های نمایه شده.
سوال: اسپلانک forwarder چیست و انواع splunk forwarder کدامند؟
پاسخ: دو نوع اسپلانک forwarder به شرح زیر وجود دارد
(UF) Universal forwarder: برای جمع آوری داده ها به صورت محلی بر روی سیستم های غیر Splunk نصب شده است، نمی تواند داده ها را تجزیه یا فهرست کند.
Heavy weight forwarder (HWF): نمونه کاملی از splunk با قابلیت پردازش معمولاً به عنوان جمع کننده از راه دور، انتقال دهنده میانی و فیلتر داده احتمالی کار می کند زیرا داده ها را تجزیه می کند، برای سیستم های تولید کننده لاگ ها توصیه نمی شوند. مقاله مرتبط: اسپلانک Forwarder چیست
سوال: مهمترین فایل های پیکربندی splunk کدامند یا می توانید چند فایل پیکربندی مهم را در splunk بگویید؟
جواب:
- props.conf
- indexes.conf
- inputs.conf
- transforms.conf
- server.conf
سوال: انواع لایسنس اسپلانک کدامند؟
جواب:
- Enterprise license
- free license
- Forwarder license
- Beta license
- Licenses for search heads (برای جستجوی توزیع شده)
- Licenses for cluster members (برای تکثیر شاخص)
سوال: app splunk چیست؟
پاسخ: app Splunk حاوی یک مخزن/دایرکتوری از تنظیمات، جستجوها، داشبورد و غیره در splunk است.
سوال: پیکربندی پیش فرض splunk در کجا ذخیره می شود؟
پاسخ: $splunkhome/etc/system/default
سوال: چه ویژگی هایی به صورت رایگان splunk در دسترس نیستند؟
پاسخ: Splunk رایگان فاقد این ویژگی ها است:
- احراز هویت و جستجوها / هشدارهای برنامه ریزی شده
- توزیع جستجو
- بازارسال در TCP / HTTP (به غیر splunk)
- deployment management
سوال: اگر license master از کار بیفتد یا قابل دسترس نباشیدچه اتفاقی می افتد؟
پاسخ: License slave یک تایمر ۲۴ ساعته را شروع می کند، پس از آن امکان جستجو مسدود می شود (ولی ایندکسینگ همچنان ادامه دارد). کاربران نمی توانند داده ها را در آن سیستم جستجو کنند تا زمانی که دوباره بتوانند به license master دسترسی پیدا کنند.
سوال: summary index در اسپلانک چیست؟
پاسخ: summary index ایندکسی است که Splunk Enterprise در صورت عدم نشان دادن ایندکس دیگری استفاده می کند.
سوالات مصاحبه اسپلانک پیشرفته
سوال:splunk DB connect چیست؟
پاسخ: Splunk DB Connect یک پلاگین عمومی پایگاه داده SQL برای Splunk است که به شما امکان می دهد اطلاعات پایگاه داده را با کوئری و گزارش های Splunk به راحتی ادغام کنید.
سوال: تفاوت بین stats و transaction command چیست؟
جواب: transaction command در دو حالت خاص بسیار مفید است:
شناسه منحصر به فرد (از یک یا چند زمینه) به تنهایی برای تمایز بین دو transaction کافی نیست. این مورد در صورت استفاده مجدد از شناسه ، به عنوان مثال جلسات وب مشخص شده توسط کوکی / کلاینت IP است. در این حالت، از زمان دهی یا مکث نیز برای تقسیم بندی داده ها به معاملات استفاده می شود. در موارد دیگر که از شناسه مجدداً استفاده می شود، مثلاً در لاگ های مربوط به DHCP ، یک پیام خاص ممکن است آغاز یا پایان یک transaction را مشخص کند.
هنگامی که مطلوب است که متن خام وقایع به جای تجزیه و تحلیل در زمینه های تشکیل دهنده وقایع، با هم ترکیب شوند.
در موارد دیگر معمولاً بهتر است که از stats استفاده شود، زیرا عملکرد به ویژه در محیط جستجوی توزیع شده بالاتر است. اغلب یک شناسه منحصر به فرد وجود دارد و می توان از آمار استفاده کرد.
سوال: چگونه می توان مشکلات عملکرد splunk را عیب یابی کرد؟
پاسخ: پاسخ به این سوال بسیار گسترده خواهد بود اما اساساً مصاحبه کننده به دنبال کلمات کلیدی زیر در مصاحبه است:
- splunkd.log را برای خطا بررسی کنید
- مشکلات عملکرد سرور یعنی cpu / usag حافظه ، i / o دیسک و غیره را بررسی کنید
- برنامه SOS (Splunk on splunk) را نصب کنید و اخطار و خطا ها در داشبورد بررسی کنید
- تعداد جستجوهای ذخیره شده در حال اجرا و میزان مصرف منابع سیستم را بررسی کنید
- Firebug را که افزونه firefox است را نصب کنید. بعد از نصب و فعال شدن ، وارد splunk شوید (با استفاده از firefox) ، پانل های Firebug را باز کنید ، به پنل ‘Net’ بروید (باید آن را فعال کنید). پنل Net به شما درخواست ها و پاسخ های HTTP را بهمراه زمان سپری شده نشان می دهد در هرکدام. با این کار به سرعت اطلاعات زیادی در مورد درخواست هایی که برای چند ثانیه به صورت جداگانه در حال اجرا هستند را ارائه می دهد.
سوال: اسپلانک buckets چیست؟ چرخه عمر buckets را توضیح دهید؟
پاسخ: اسپلانک داده های نمایه شده را در دایرکتوری هایی قرار می دهد که به آنها ” buckets ” می گویند. از نظر فیزیکی یک فهرست شامل حوادث یک دوره خاص است. یک buckets با افزایش سن چندین مرحله را طی می کند:
Hot: حاوی داده های تازه ایندکس شده است. برای قابلت نوشتن در آن فعال است Read-only نیست برای هر شاخص یک یا چند buckets داغ وجود دارد
Warm: داده ها از Hot به Warm تغییر پیدا می کنند. Bucket های گرم زیادی وجود دارد.
Colld: داده ها از Warm به Colld انتقال پیدا می کنند. Bucket های های سرد زیادی وجود دارد.
Frozen: داده ها از Colld به Frozen منتقل می شوند. ایندکسر به صورت پیش فرض داده های Frozen را حذف می کند، اما می توانید آن ها را بایگانی کنید. داده های بایگانی شده بعداً قابل یخ زدایی(این اصطلاح رو من خودم درست کردم) هستند (نکته: داده ها در Bucket های Frozen قابل جستجو نیستند)
به طور پیش فرض، سطل های شما در $SPLUNK_HOME/var/lib/splunk/defaultdb/db قرار دارند. باید Bucket های Hot و Warm را آنجا ببینید. به طور پیش فرض، Splunk اندازه Bucket ها را برای سیستم های ۶۴ بیتی ۱۰ گیگابایت و برای سیستم های ۳۲ بیتی ۷۵۰ مگابایت تنظیم می کند.
سوال: تفاوت بین دستورات stats و eventstats چیست؟
پاسخ: دستور Stats آمار خلاصه ای از همه زمینه های موجود را در نتایج جستجوی شما تولید می کند و آنها را به عنوان مقادیر در فیلد های جدید ذخیره می کند. Eventstats مشابه دستور stats است، با این تفاوت که نتایج جمع شده به صورت درون خطی به هر رویداد اضافه می شوند و تنها در صورت مرتبط بودن تجمع با آن رویداد استفاده می شود.
eventstats آمار درخواستی را مانند stats محاسبه می کند، اما آنها را در داده های اولیه اصلی aggregate می کند.
سوال: لایسنس های اسپلانک چه چیزی را مشخص می کنند؟
پاسخ: چه مقدار داده می توانید در هر ۲۴ ساعت ایندکس کنید
سوال: از نظر اسپلانم چگونه ۱ روز در مدل لایسنس تعیین می کند؟
پاسخ: نیمه شب تا نیمه شب بر اساس ساعت license master
سوال: لایسنس های forwarder چگونه خریداری می شوند؟
پاسخ: آنها با splunk همراه هستند، نیازی به خرید جداگانه نیست
سوال: دستور ریستارت برای رابط وب اسپلانک چیست؟
پاسخ: Splunk start splunkweb
سوال: دستور شروع مجدد سرویس اسپلانک چیست؟
پاسخ: Splunk start splunkd
سوال: دستور بررسی وضعیت پروسس اسپلانک در لینوکس چیست؟
پاسخ: ps aux | grep splunk
سوال: دستور برای فعال کردن splunk در زمان راه اندازی سیستم چیست؟
پاسخ: $SPLUNK_HOME/bin/splunk enable boot-start
سوال: چگونه شروع خوکار splunk را غیرفعال کنیم؟
پاسخ: $SPLUNK_HOME/bin/splunk disable boot-start
سوال: sourcetype در splunk چیست؟
پاسخ: Sourcetype روش جداسازی برای شناسایی داده ها است
سوال: چگونه رمزعبور ادمین اپلانک را ریست کنیم؟
پاسخ: برای تنظیم مجدد رمز ورود خود، به سروری که splunk بر روی آن نصب شده است وارد شوید و نام فایل passwd را در مکان: $SPLUNK_HOME/etc/passwd تغییر دهید و سپس splunk را مجدداً راه اندازی کنید. پس از راه اندازی مجدد می توانید با استفاده از نام کاربری پیش فرض وارد شوید: رمز عبور ادمین: changeme
سوال: چگونه پیام راه اندازی splunk را غیرفعال کنیم؟
پاسخ: مقدار OFFENSIVE=Less را در splunk_launch.conf وارد کنید
سوال: چگونه تاریخچه جستجوی splunk را پاک کنیم؟
پاسخ: پرونده زیر را در سرور splunk حذف کنید
$splunk_home/var/log/splunk/searches.log
سوال: btool چیست یا چگونه می توانید فایل های پیکربندی splunk را عیب یابی کنید؟
پاسخ: Splunk btool ابزار خط فرمان است که به ما کمک می کند مشکلات فایل های پیکربندی را عیب یابی کنیم یا مقادیر نصب شده Splunk Enterprise را ببینیم.
سوال: تفاوت app splunk با splunk add-on چیست؟
پاسخ: اساساً هر دو شامل پیکربندی و گزارشات از پیش پیکربندی شده و غیره است، اما splunk add-on برنامه تصویری ندارد. برنامه های Splunk دارای برنامه بصری از پیش پیکربندی شده هستند. مقاله مرتبط: اسپلانک Apps و Add-ons
سوال: اولویت فایل های .conf در splunk چیست؟
پاسخ: اولویت پرونده به شرح زیر است:
- System local directory – بالاترین الویت
- App local directories
- App default directories
- System default directory – پایینترین اولویت
سوال: fishbucket یا fishbucket index چیست؟
پاسخ: این یک فهرست یا فهرست در مکان پیش فرض /opt/splunk/var/lib/splunk است. این شامل نشانگرهای جستجوگر و CRC برای پرونده هایی است که فهرست بندی می کنید ، بنابراین splunkd می تواند تشخیص دهد که آنها را قبلاً خوانده است یا خیر. با جستجوی “index = _thebucket” می توانیم از طریق GUI به آن دسترسی پیدا کنیم.
اگر به مقاله سوالات مصاحبه اسپلانک علاقه مند بودبد پیشنهاد میکنم مقاله: سوالات مصاحبه امنیت شبکه به همراه پاسخ! را نیز مطالعه کنید
مطالب زیر را حتما بخوانید
-
تحلیل لاگ (Log Analysis) چیست؟ و چگونه به امنیت شما کمک میکند
99 بازدید
-
Sysmon چیست و چگونه در جمع آوری لاگ به شما کمک میکند
1.57k بازدید
-
مدرک اسپلانک
3.07k بازدید
-
نرم افزار SIEM چیست؟ این ابزار قدرتمند چگونه به امنیت شما کمک می کند
4.49k بازدید
-
اسپلانک API چیست؟ و چگونه به کسب و کار شما کمک می کند
1.38k بازدید
-
اسپلانک Apps و Add-ons های آن چه هستند و چه کمکی به ما می کنند؟
1.62k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.