精通Splunk 機(jī)器數(shù)據(jù)處理與分析

第1章 Splunk的應(yīng)用\t1
1．1 Splunk的定義\t1
1．2 處理通用文件\t4
1．3 保密性與安全性\t5
1．4 傳統(tǒng)應(yīng)用案例\t7
1．4．1 調(diào)查研究性搜索\t8
1．4．2 監(jiān)測\t10
1．4．3 操作領(lǐng)域的可視化\t12
1．4．4 決策支持――實(shí)時分析\t14
1．5 Splunk――創(chuàng)新應(yīng)用\t17
1．5．1 客戶關(guān)系管理\t17
1．5．2 新興的技術(shù)\t17
1．5．3 知識發(fā)現(xiàn)和數(shù)據(jù)分析\t18
1．5．4 災(zāi)難恢復(fù)\t18
1．5．5 病毒防護(hù)\t18
1．5．6 加強(qiáng)結(jié)構(gòu)化數(shù)據(jù)\t18
1．5．7 項(xiàng)目管理\t19
1．5．8 防火墻應(yīng)用程序\t19
1．5．9 企業(yè)無線解決方案\t19
1．5．10 Hadoop技術(shù)\t19
1．5．11 媒體評估\t20
1．5．12 社交媒體\t20
1．5．13 移動設(shè)備管理\t20
1．6 Splunk的實(shí)際應(yīng)用\t21
1．7 小結(jié)\t21
第2章 高級搜索\t22
2．1 Splunk搜索\t22
2．1．1 搜索儀表板\t22
2．1．2 新建搜索儀表板\t23
2．1．3 Splunk搜索機(jī)制\t23
2．1．4 Splunk快速參考指南\t24
2．1．5 請幫助我\t24
2．1．6 基本優(yōu)化\t24
2．1．7 快速、詳細(xì)或智能搜索模式\t25
2．1．8 指令的分解\t26
2．1．9 了解稀疏和密集搜索之間的差別\t26
2．1．10 搜索運(yùn)算符、指令格式和標(biāo)簽\t26
2．1．11 處理流程\t27
2．1．12 布爾表達(dá)式\t28
2．1．13 將我放在“引號”內(nèi)，否則需要轉(zhuǎn)碼\t29
2．1．14 在Splunk中添加標(biāo)簽\t30
2．1．15 事物型搜索\t32
2．2 知識管理\t33
2．3 子級搜索\t35
2．3．1 子級搜索的輸出設(shè)置\t36
2．3．2 Search Job Inspector\t37
2．4 使用參數(shù)進(jìn)行搜索\t38
2．5 Splunk宏\t39
2．5．1 創(chuàng)建自定義宏指令\t40
2．5．2 使用宏\t40
2．5．3 Splunk的限制條件\t41
2．6 搜索結(jié)果\t42
2．6．1 Splunk基本搜索案例\t42
2．6．2 更多的格式選項(xiàng)\t43
2．7 總結(jié)\t43
第3章 掌握表格、圖表和字段的使用方法\t44
3．1 表格、圖表和字段\t44
3．1．1 匯總成表\t45
3．1．2 以圖表的形式返回搜索結(jié)果\t50
3．2 Splunk目錄存放\t56
3．2．1 使用timechart指令報(bào)表\t57
3．2．2 timechart指令需要的參數(shù)\t58
3．2．3 目錄存放時間范圍VS per_*函數(shù)\t58
3．3 挖掘分析\t59
3．3．1 挖掘分析選項(xiàng)\t61
3．3．2 基本的分析功能\t62
3．3．3 行分析\t62
3．3．4 單元格分析\t63
3．3．5 圖表分析\t65
3．3．6 圖例\t66
3．4 透視表\t66
3．4．1 透視編輯器\t68
3．4．2 使用透視元素\t69
3．5 拆分\t70
3．6 Column Values（列值）\t71
3．7 數(shù)據(jù)透視表格式\t71
3．8 一個簡單的例子\t72
3．9 Sparklines（走勢圖）\t74
3．10 總結(jié)\t76
第4章 查詢（Lookup）\t77
4．1 簡介\t77
4．2 配置簡單的字段查詢（Field Lookup）\t79
4．2．1 在Splunk 網(wǎng)頁端中定義查詢（Lookup）\t79
4．2．2 自動查詢（Automatic Lookups）\t85
4．2．3 配置文件（Configuration Files）\t88
4．2．4 使用配置文件（Configuration File）執(zhí)行查詢（Lookup）――示例\t90
4．2．5 填充查詢表（Lookup Table）\t91
4．2．6 使用dedup（去重復(fù)指令）處理 重復(fù)值（Duplicate）\t93
4．2．7 動態(tài)查詢（Dynamic Lookup）\t94
4．2．8 使用Splunk網(wǎng)頁端\t95
4．2．9 使用配置文件（Configuration File）替代 Splunk網(wǎng)頁端\t97
4．2．10 時基查詢（Time-based Lookup）\t99
4．2．11 出現(xiàn)兩個一樣的值\t103
4．3 指令（Command）綜述\t105
4．3．1 lookup（查詢）指令\t105
4．3．2 inputlookup（輸入查詢）指令與outputlookup（輸出查詢）指令\t105
4．3．3 inputcsv（輸入csv）指令與outputcsv （輸出csv）指令\t106
4．4 總結(jié)\t108
第5章 先進(jìn)的儀表板\t109
5．1 創(chuàng)建有效的儀表板\t109
5．1．1 視圖\t110
5．1．2 面板\t111
5．1．3 模塊\t111
5．2 表格搜索\t112
5．3 返回儀表板\t117
5．3．1 面板編輯器\t117
5．3．2 可視化編輯器\t117
5．3．3 詳細(xì)學(xué)習(xí)儀表板編輯器\t118
5．3．4 構(gòu)建儀表板\t119
5．3．5 儀表板與XML\t128
5．3．6 給我的世界上色\t131
5．4 搜索詳解\t132
5．5 動態(tài)挖掘\t137
5．6 真實(shí)、即時的解決方案\t141
5．7 總結(jié)\t143
第6章 索引庫與索引\t144
6．1 索引的重要性\t144
6．2 什么是Splunk索引\t145
6．2．1 事件處理\t145
6．2．2 索引構(gòu)成\t146
6．2．3 默認(rèn)索引庫\t147
6．3 索引、indexers和集群\t147
6．4 Splunk索引庫管理\t148
6．5 處理多個索引庫\t150
6．5．1 創(chuàng)建多個索引的原因\t150
6．5．2 創(chuàng)建和編輯Splunk索引\t150
6．5．3 其他索引方法\t153
6．5．4 使用新建索引\t155
6．5．5 將所有事件納入索引\t155
6．5．6 導(dǎo)入具體事件\t157
6．6 刪除索引庫及索引的數(shù)據(jù)\t159
6．6．1 刪除Splunk事件\t159
6．6．2 刪除數(shù)據(jù)\t162
6．7 配置索引庫\t166
6．8 移動索引數(shù)據(jù)庫\t166
6．9 擴(kuò)展Splunk索引\t167
6．10 容量\t167
6．11 淺談限制\t168
6．12 總結(jié)\t171
第7章 改進(jìn)APP\t172
7．1 基礎(chǔ)應(yīng)用程序\t172
7．1．1 應(yīng)用程序列表\t173
7．1．2 安裝應(yīng)用程序\t176
7．1．3 禁用或刪除Splunk應(yīng)用程序\t179
7．2 BYO或創(chuàng)建自定義應(yīng)用程序\t180
7．3 應(yīng)用程序常見問題解答\t180
7．4 Splunk的端對端自定義\t181
7．5 應(yīng)用程序創(chuàng)建的準(zhǔn)備工作\t181
7．5．1 開啟Splunk應(yīng)用程序創(chuàng)建\t182
7．5．2 分享應(yīng)用程序\t199
7．6 總結(jié)\t199
第8章 監(jiān)測與報(bào)警\t200
8．1 監(jiān)測內(nèi)容\t200
8．1．1 Recipes\t202
8．1．2 將Splunk指向數(shù)據(jù)\t202
8．1．3 監(jiān)測范疇\t203
8．2 高級監(jiān)測\t204
8．3 定位、定位、定位\t204
8．4 利用轉(zhuǎn)發(fā)器\t205
8．5 我能使用應(yīng)用程序嗎\t207
8．6 Splunk中的Windows輸入\t208
8．7 開始監(jiān)測\t209
8．7．1 自定義數(shù)據(jù)\t209
8．7．2 輸入端鍵入\t210
8．8 Splunk用監(jiān)測到的數(shù)據(jù)做什么\t210
8．9 Splunk\t212
8．9．1 該程序在哪\t212
8．9．2 安裝程序\t213
8．10 查看Splunk部署監(jiān)控器程序\t216
8．11 關(guān)于預(yù)警\t217
8．12 編輯預(yù)警\t225
8．12．1 編輯描述\t225
8．12．2 編輯權(quán)限\t226
8．12．3 編輯預(yù)警類型和觸發(fā)機(jī)制\t226
8．12．4 編輯動作\t227
8．12．5 禁用預(yù)警\t228
8．12．6 復(fù)制預(yù)警\t228
8．12．7 刪除預(yù)警\t229
8．13 Scheduled或real time\t229
8．14 擴(kuò)展功能\t230
8．14．1 Splunk加速\t231
8．14．2 有效期\t231
8．14．3 提要項(xiàng)索引\t232
8．15 總結(jié)\t232
第9章 交易型Splunk\t233
9．1 交易及交易類型\t233
9．2 交易搜索\t235
9．2．1 Splunk交易案例\t236
9．2．2 交易指令\t237
9．2．3 交易和宏搜索\t238
9．2．4 回顧搜索宏\t239
9．3 交易的高級應(yīng)用\t243
9．3．1 設(shè)置交易類型\t243
9．3．2 匯總――事件集合與關(guān)聯(lián)\t247
9．3．3 并發(fā)事件\t247
9．3．4 避免什么――stats而非transaction\t251
9．4 總結(jié)\t253
第10章 Splunk-企業(yè)板塊\t254
10．1 基本概念\t254
10．2 最佳案例\t255
10．3 Splunk知識的定義\t256
10．3．1 數(shù)據(jù)解釋\t257
10．3．2 數(shù)據(jù)的分類\t257
10．3．3 數(shù)據(jù)改進(jìn)\t257
10．3．4 標(biāo)準(zhǔn)化\t258
10．3．5 建模\t258
10．4 戰(zhàn)略知識管理\t258
10．5 用Splunk知識管理進(jìn)行對象管理\t260
10．6 為文檔創(chuàng)建命名規(guī)范\t261
10．7 測試\t264
10．7．1 分享前先測試\t265
10．7．2 測試級別\t265
10．8 改裝\t268
10．9 企業(yè)視野\t269
10．9．1 評估和實(shí)施\t270
10．9．2 創(chuàng)建、使用和重復(fù)\t270
10．9．3 管理和優(yōu)化\t270
10．9．4 更多關(guān)于愿景的信息\t271
10．9．5 一種結(jié)構(gòu)化方法\t271
10．10 總結(jié)\t272
附錄A 快速入門\t273
A．1 話題\t273
A．2 在哪里學(xué)習(xí)Splunk ＆如何學(xué)習(xí)Splunk\t274
A．3 認(rèn)證\t274
A．3．1 信息管理人員\t274
A．3．2 管理員\t275
A．3．3 建筑師\t275
A．3．4 補(bǔ)充認(rèn)證\t275
A．4 Splunk文件\t276
A．5 www． splunk．com\t277
A．6 Splunk答復(fù)\t278
A．7 Splunk基地\t278
A．8 支持門戶\t278
A．9 關(guān)于Splexicon\t279
A．10 關(guān)于“如何”的教程\t280
A．11 用戶會議、博客及新聞組\t281
A．12 專業(yè)服務(wù)\t281
A．13 獲取Splunk軟件\t282
A．13．1 免責(zé)聲明\t282
A．13．2 磁盤空間要求\t282
A．13．3 安裝和調(diào)試\t284
A．14 在環(huán)境中學(xué)習(xí)\t292
A．15 總結(jié)\t293