Splunk Enterprise 8.0 - Datenadministration - Schulung (3 Tage)

Kurzbeschreibung

Dieser Splunk-Kurs richtet sich an Systemadministratoren, die Daten in den Splunk Indexer übertragen wollen. Die Teilnehmer erlernen die Installation, Konfiguration, Verwaltung, Überwachung und Fehlerbehebung von Splunk Forwarder und Splunk Deployment Server-Komponenten kennen. Es werden grundlegende Kenntnisse das Forwarder Management, die Phasen des Splunk Index, die Monitor-, Netzwerk- und Skript-Inputs, die Analysephase und die Rohdaten-Bearbeitung behandelt.

Voraussetzungen

• Splunk 8.0 - Grundlagen Teil 1
• Splunk 8.0 - Grundlagen Teil 2
• Splunk Enterprise 8.0 - Systemadministration

Seminarinhalt

Einführung in die Datenadministration
• Übersicht über Splunk
• Die vier Phasen des verteilten Modells
• Splunk Konfigurationsdateien und -Verzeichnisse
• Die Priorität von Indexzeit und Suchzeit
• Verwendung von btool zum Abruf der Konfigurationsinformationen

Das Einlesen von Daten - Staging
• Auflistung der vier Phasen des Splunk Indizierung
• Die Dateneingabetypen und Standard-Metadateneinstellungen
• Unterschiede zwischen Eingabe- ujnd Analysephase
• Konfiguration der ersten Eingabetests mit Splunk Web

Konfiguration von Forwarder
• Die Rolle von Indexer und Forwarder in der Produktion
• Die Funktionalität des Universal Forwarder und des Heavy Forwarder
• Konfiguration des Forwarder
• Zusätzliche Forwarder Optionen

Heavy Forwarder und das Forwarder Management
• Heary Forwarder und Use Cases
• Durchführung der Heavy Forwarder-Konfiguration
• Bereitstellung einer App für den Heavy Forwarder
• Der Splunk Deployment Server (DS)
• Verwaltung von Forwarder mithilfe von Bereitstellungs-Apps
• Konfiguration der Bereitstellungs-Clients und Clientgruppen
• Monitoring der Forwarder Managment Aktivitäten

Monitor Inputs
• Erstellung von Datei- und Verzeichnis Monitor Inputs
• Verwendung von optionalen Einstellungen für Monitor Inputs
• Bereitstellung eines Remote Monitor Inputs

Netzwerk- und Skript Inputs
• Erstellung von Netzwerk Inputs (TCP und UDP)
• Die optionalen Einstellungen für Netzwerk Inputs
• Erstellung eines grundlegenden skriptbasierten Inputs

Windows- und agentenlose Inputs
• Die Windows-spezifischen inputs.conf Instanzen und Attribute
• Konfiguration der agentenlosen Inputs von Splunk HTTP Event Collector (HEC)
• Die Windows Input-Typen und -verwendungen
• Monitoring von HEC mit MC

Feinabstimmung der Inputs
• Die Standardverarbeitung während einer Input-Phase
• Konfiguration der Input-Phasen-Optionen, wie die Quelltyp-Optimierung und die Zeichensatzcodierung

Analyse-Phase und Daten
• Die Standardverarbeitung während der Analyse-Phase
• Extrahierung der Zeitstempel und Zeitzonen oder Zuweisung der Ereignisse
• Verwendung der Datenvorschau zur Überprüfung der Ereigniserstellung während der Analysephase

Bearbeitung von Rohdaten
• Definition und Aufruf von Datenumwandlungen
• Verwendung von Transformationen mit props.conf und transforms.conf zur: Markierung und Löschung von Rohdaten während der Indizierung, Überschreibung des Quelltyps oder Host-basierend auf Ereigniswerte, Weiterleitung von Ereignissen basierend auf den Ereignishinhalt an bestimmte Indizes, Verhinderung der Indizierung unerwünschter Ereignisse
• Verwendung von SEDCMD zur Änderung von Rohdaten

Unterstützung von Knowledge Objekten
• Definition von Standardextraktionen für Standard- und benutzerdefinierte Suchzeitfelder
• Vor- und Nachteile der Indexzeitfeld-Extraktionen
• Konfiguration indizierter Feldzeitextraktionen
• Standardextraktionen für die Suchzeit
• Verwaltung verwaister Knolledge-Objekte

Zielgruppen

• Systemadministratoren

Preise und Termine

Software

Splunk Enterprise 8.0

Verwandte Schulungen

Splunk 7.3 - Analyse und DataScience - SchulungSplunk 8.0 - Erstellung von Dashboards - SchulungSplunk 8.0 - Erweiterte Suche und Reporting - Schulung

Seminarsprache

Wir bieten unsere Seminare hauptsächlich in deutscher Sprache an – je nach Wunsch aber gerne auch in Englisch oder einer anderen Seminarsprache. Bitte fragen Sie doch einfach bei uns an.