Detaillierter Kursinhalt
Thema 1 - Daten in Splunk erhalten
- Einen Überblick über Splunk geben
- Beschreiben Sie die vier Phasen des verteilten Modells
- Beschreiben Sie die Dateneingabetypen und Metadateneinstellungen
- Konfigurieren Sie die ersten Eingabetests mit Splunk Web
- Testen von Indizes mit Input Staging
Thema 2 - Konfigurationsdateien
- Identifizieren von Splunk-Konfigurationsdateien und -Verzeichnissen
- Beschreiben Sie den Vorrang von Index- und Suchzeit
- Validierung und Aktualisierung von Konfigurationsdateien
Thema 3 - Forwarder-Konfiguration
- Identifizierung der Rolle von Produktionsindexierern und Spediteuren
- Verstehen und Konfigurieren von Universal Forwarders
- Verstehen und Konfigurieren von Heavy Forwarders
- Verstehen und Konfigurieren von Zwischenforwardern
- Identifizieren Sie zusätzliche Speditionsoptionen
Thema 4 - Forwarder-Verwaltung
- Beschreiben Sie Splunk Deployment Server (DS)
- Verwalten von Forwardern mithilfe von Bereitstellungsanwendungen
- Konfigurieren von Bereitstellungsclients und Clientgruppen
- Überwachung der Aktivitäten der Speditionsleitung
Thema 5 - Eingänge überwachen
- Erstellen von Datei- und Verzeichnisüberwachungseingängen
- Optionale Einstellungen für Monitoreingänge verwenden
- Bereitstellen eines entfernten Monitoreingangs
Thema 6 - Netzwerk-Eingänge
- Erstellen von Netzwerkeingängen (TCP und UDP)
- Beschreiben Sie optionale Einstellungen für Netzwerkeingänge
Thema 7 - Scripted Inputs
- Erstellen einer einfachen geskripteten Eingabe
Thema 8 - Agentenlose Eingaben
- Konfigurieren der agentenlosen Eingabe von Splunk HTTP Event Collector (HEC)
- Beschreiben Sie Splunk App für Stream
Thema 9 - Eingaben in das Betriebssystem
- Identifizierung Linux-spezifischer Eingaben
- Identifizieren von Windows-spezifischen Eingaben
Thema 10 - Feinabstimmung der Eingaben
- Verstehen Sie die Standardverarbeitung, die während der Eingabephase stattfindet
- Konfigurieren Sie die Optionen für die Eingabephase, z. B. die Feinabstimmung des Quellentyps und die Zeichensatzkodierung
Thema 11 - Parsing-Phase und Datenvorschau
- Verstehen Sie die Standardverarbeitung, die beim Parsen stattfindet
- Optimieren und Konfigurieren der Unterbrechung von Ereignislinien
- Erklären, wie Zeitstempel und Zeitzonen extrahiert oder Ereignissen zugewiesen werden
- Verwenden Sie die Datenvorschau, um die Erstellung von Ereignissen während der Parsing-Phase zu überprüfen.
Thema 12 - Manipulation von Rohdaten
- Erklären, wie Datenumwandlungen definiert und aufgerufen werden
- Verwenden Sie Transformationen mit props.conf und transforms.conf, um:
- Rohdaten während der Indizierung maskieren oder löschen
- Sourcetype oder Host auf der Grundlage von Ereigniswerten außer Kraft setzen
- Weiterleitung von Ereignissen an bestimmte Indizes auf der Grundlage des Ereignisinhalts
- Verhindern, dass unerwünschte Ereignisse indiziert werden
- Verwenden Sie SEDCMD zum Ändern von Rohdaten
Thema 13 - Unterstützung von Wissensobjekten
- Definieren von Standard- und benutzerdefinierten Suchzeitfeld-Extraktionen
- Ermittlung der Vor- und Nachteile von indizierten Zeitfeldextraktionen
- Konfigurieren von Extraktionen indizierter Felder
- Beschreiben Sie die Standard-Suchzeit-Extraktionen
- Verwaiste Wissensobjekte verwalten