SPLUNK - BÁSICO

! disclaimer

Toda informação presente neste documento só deve ser acessada por seus
responsáveis e/ou por seus destinatários. Neste documento estão presentes
informações relacionadas as operações e necessidades da empresa
REQUISITANTE, por este motivo, esse material não deverá ser compartilhado
no caso de não haver anuência de seus responsáveis e/ou por parte do
REQUISITANTE. O uso indevido das informações contidas nesse material
poderá implicar em ações legais.
 Francisco Mota
Profissional de Ti com 15 anos de experiência,
formado em Análise e Desenvolvimento de

Instrutores
Sistemas pela UNEB e pós-graduado em Banco
de Dados e Bussiness Intelligence pela Faculdade
SENAC. Trabalhou com Infraestrutura de TI e
Telecomunicações pelo Exército Brasileiro e pelo
Ministério dos Transportes, com Gestão de
Serviços de TI pela RNP e hoje atua como
Consultor Splunk pela Econocom, tendo em seu
currículo as certificações Splunk Core Certified
User, Splunk Core Certified Power User e Splunk
Accredited Sales Engineer I. Na Econocom, já
atuou na Sky, Santander, AUTOPASS, Banco
Carrefour, Hub Fintech e REDE, estando alocado
no Itau desde Set/2019, atuando junto à GAM, sob
supervisão de Leonardo Gatti e Jairo Moraes.
A Econocom

MUNDO
+ de
19 40de experiência
ANOS 3Breceita
€ FY17 10.700
países colaboradores
A Econocom
BRASIL
+ de
DF 400
profissionais

RJ + de
SP
15 ANOS
de experiência
RS
+ de
150%
de crescimento
em 5 anos
 A. Câmera ligada
B. O horario sera dividido entre pequenas pausas para
descanso e 1h de almoço
C. Obrigatório ter feito a avaliação de maturidade caso
nao tenha realizado deve preencher antes de
começar o treinamento
Orientações D. No final do treinamento será aplicado um teste de
conhecimento adquirido. O teste será válido como
registro de presença.
 A. Dados de Máquina
B. Overview Splunk
C. Armazenamento e Ciclo de Vida dos Dados
D. Input de dados

Módulo 1 E. Search Processing Language (SPL)

F. Dashboards
. estrutura

 objetivos
 escopo

arquitetura

requisitos

técnicos

operacionais

responsáveis
 critério de sucesso
 macro cronograma
Dados de máquina
Como tratar esses dados?
Overview Splunk
Overview Splunk
Overview Splunk

1. Acessar endereço:
http://172.25.0.35:8000
Login: primeiro nome
Senha: ste@2020

2. Executar busca para mostrar os índices disponíveis:

index=* | table *
Atividade 1

1. Entrar no diretório /opt

• cd /opt

2. Baixar aplicação
• wget -O splunk-7.3.2-c60db69f8e32-linux-2.6-amd64.deb 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?
architecture=x86_64&platform=linux&version=7.3.2&product=splunk&filename=splunk-7.3.2-c60db69f8e32-linux-2.6-
amd64.deb&wget=true‘

3. Instalar Splunk
• dpkg –i splunk-7.3.2-c60db69f8e32-linux-2.6-amd64.deb

4. Iniciar Splunk
• cd /Splunk/bin/
• ./splunk start

5. Acessar interface web

• http://localhost:8000
Atividade 1

1. Habilitar boot com sistema operacional

• ./splunk enable boot-start

2. Habilitar SSL
• Na interface web, acessar Settings > System > Server settings>General Settings
• Procurar a opção Enable SSL (HTTPS) in Splunk Web, na seção Splunk Web, e selecionar Yes 
• Reiniciar Splunk
./splunk restart ou Settings > System > Server controls > Restart Splunk

Observações:
• A partir desta etapa, é necessário utilizar “https” para acessar a interface web
• É possível configurar um certificado válido para o Splunk Web:
(https://docs.splunk.com/Documentation/Splunk/7.3.1/Security/SecureSplunkWebusingasignedcertificate)
Indexes

1. Repositório de dados do Splunk Enterprise;

2. Os dados recebidos são transformados em eventos, os quais são armazenados
em índices;
3. Não é necessário criar nenhum repositório externo (banco de dados);
4. É possível criar tantos índices quanto necessários num ambiente;
5. Um índice contém arquivos que se enquadram em duas categorias principais:
• Os dados brutos em formato compactado (rawdata);
• Índices que apontam para os dados brutos (arquivos de índice, também chamados de arquivos tsidx), além de
alguns arquivos de metadados;

6. Esses arquivos são organizados por data em diretórios, conhecidos como

buckets;
Indexes - Buckets

1. Um bucket é um espaço de armazenamento criado para abrigar os dados

indexados no Splunk;
2. Os Buckets rotacionam entre seus status quando condições pré-determinadas são
atingidas, sendo os seus eles:
A. Hot – Permite busca e indexação de dados
B. Warm – Permite somente a busca de dados
C. Cold – São armazenados num local diferente dos arquivos originais
D. Frozen – Caso não sejam configurados para arquivamento, serão deletados
E. Thawed – Quando um bucket Frozen é re-indexado
3. É possível gerenciar esse ciclo de vida dos dados, de acordo com tamanho, data
de indexação, etc.

Obs: Para índices ativados com o recurso SmartStore, que coloca dados em um
Indexes - Buckets
Modelo de Licenciamento
Indexer

1. Componente do Splunk responsável por criar e gerenciar índices;

2. Esta função pode concorrer com outras funções (input e busca de dados)
em ambientes StandAlone;
3. Função compatível com utilização em cluster
Indexer
SPL

1. Search Processing Language

2. Linguagem criada pela Splunk para manipular os dados armazenados nos
índices;
3. Sua sintaxe foi originalmente baseada no pipeline Unix e no SQL;
4. Abrange todos os comandos de pesquisa e suas funções, argumentos e
cláusulas;
5. O escopo do SPL inclui a busca, filtro, modificação, manipulação, inserção
e deleção de dados;
6. Comandos de busca podem possuir funções e argumentos;
Sintaxe SPL

1. O pipeline de busca do Splunk conecta os comandos consecutivos através

do caractere “ | “;
2. Na documentação e no assistente de busca, os sinais “< >” representam
argumentos obrigatórios para execução do comando;
3. Os sinais “[ ]” representam argumentos opcionais;

Exemplo: index=syslog sourcetype=syslog ERROR | top user | <field> [AS <newfield>]

Obs: os comandos representados por “< >” se tornam opcionais quando

usados dentro dos sinais “[ ]”.
Atividade 2

1. 2.1 Fazer upload dos arquivos de log

1. Acessar o servidor Splunk via browser
2. Acessar o caminho Settings > Add Data > Upload
Atividade 2

1. 2.1 Fazer upload dos arquivos de log

1. Acessar o servidor Splunk via browser
2. Acessar o caminho Settings > Add Data > Upload
Atividade 2

1. Localizar a opção “Select Source” e escolher o arquivo a ser carregado:

Obs: Também é possível arrastar o arquivo até o local indicado, conforme imagem acima.
 Atividade 2.1 - Continuação

1. Escolher sourcetype do arquivo, conforme orientação do instrutor:

Lista de Sourcetypes pré-definidos: http://docs.splunk.com/Documentation/Splunk/latest/Data/Listofpretrainedsourcetypes

Atividade 2.1 - Continução

1. Preencher as configurações de input, conforme orientação do instrutor:

Atividade 2.1 - Continuação

1. Revisar informações de input, finalizar etapa e iniciar busca nos arquivos

carregados:
 Atividade 2.2

1. Entendendo a interface do app Search & Reporting

Caixa de busca
Opções de Opções de tempo
exibição

Lista de eventos
Lista de campos
Atividade 2.2 - Continuação

1. Encontrar todos os eventos com um termo específico

2. Encontrar todos os eventos com um valor específico para um campo
3. Identificar os campos padrão do Splunk
4. Identificar os campos disponíveis para busca
5. Usando operadores booleanos (AND, OR, NOT) para filtrar buscas
6. Utilizar operadores de comparação
7. Utilizando wildcards
Atividade 2.3 - Comandos básicos

A. Table F. Where
B. Top G. Rename
C. Head H. Eval
D. Sort I. Timechart
E. Stats [avg(), count(), J. Geostats
distinct_count(), max(), min(),
sum(), first(), last()]
Obrigado!