第1章  Splunk的應(yīng)用 1
1．1  Splunk的定義 1
1．2  處理通用文件 4
1．3  保密性與安全性 5
1．4  傳統(tǒng)應(yīng)用案例 7
1．4．1  調(diào)查研究性搜索 8
1．4．2  監(jiān)測(cè) 10
1．4．3  操作領(lǐng)域的可視化 12
1．4．4  決策支持――實(shí)時(shí)分析 14
1．5  Splunk――創(chuàng)新應(yīng)用 17
1．5．1  客戶(hù)關(guān)系管理 17
1．5．2  新興的技術(shù) 17
1．5．3  知識(shí)發(fā)現(xiàn)和數(shù)據(jù)分析 18
1．5．4  災(zāi)難恢復(fù) 18
1．5．5  病毒防護(hù) 18
1．5．6  加強(qiáng)結(jié)構(gòu)化數(shù)據(jù) 18
1．5．7  項(xiàng)目管理 19
1．5．8  防火墻應(yīng)用程序 19
1．5．9  企業(yè)無(wú)線解決方案 19
1．5．10  Hadoop技術(shù) 19
1．5．11  媒體評(píng)估 20
1．5．12  社交媒體 20
1．5．13  移動(dòng)設(shè)備管理 20
1．6  Splunk的實(shí)際應(yīng)用 21
1．7  小結(jié) 21
第2章  高級(jí)搜索 22
2．1  Splunk搜索 22
2．1．1  搜索儀表板 22
2．1．2  新建搜索儀表板 23
2．1．3  Splunk搜索機(jī)制 23
2．1．4  Splunk快速參考指南 24
2．1．5  請(qǐng)幫助我 24
2．1．6  基本優(yōu)化 24
2．1．7  快速、詳細(xì)或智能搜索模式 25
2．1．8  指令的分解 26
2．1．9  了解稀疏和密集搜索之間的差別 26
2．1．10  搜索運(yùn)算符、指令格式和標(biāo)簽 26
2．1．11  處理流程 27
2．1．12  布爾表達(dá)式 28
2．1．13  將我放在“引號(hào)”內(nèi)，否則需要轉(zhuǎn)碼 29
2．1．14  在Splunk中添加標(biāo)簽 30
2．1．15  事物型搜索 32
2．2  知識(shí)管理 33
2．3  子級(jí)搜索 35
2．3．1  子級(jí)搜索的輸出設(shè)置 36
2．3．2  Search Job Inspector 37
2．4  使用參數(shù)進(jìn)行搜索 38
2．5  Splunk宏 39
2．5．1  創(chuàng)建自定義宏指令 40
2．5．2  使用宏 40
2．5．3  Splunk的限制條件 41
2．6  搜索結(jié)果 42
2．6．1  Splunk基本搜索案例 42
2．6．2  更多的格式選項(xiàng) 43
2．7  總結(jié) 43
第3章  掌握表格、圖表和字段的使用方法 44
3．1  表格、圖表和字段 44
3．1．1  匯總成表 45
3．1．2  以圖表的形式返回搜索結(jié)果 50
3．2  Splunk目錄存放 56
3．2．1  使用timechart指令報(bào)表 57
3．2．2  timechart指令需要的參數(shù) 58
3．2．3  目錄存放時(shí)間范圍VS per_*函數(shù) 58
3．3  挖掘分析 59
3．3．1  挖掘分析選項(xiàng) 61
3．3．2  基本的分析功能 62
3．3．3  行分析 62
3．3．4  單元格分析 63
3．3．5  圖表分析 65
3．3．6  圖例 66
3．4  透視表 66
3．4．1  透視編輯器 68
3．4．2  使用透視元素 69
3．5  拆分 70
3．6  Column Values（列值） 71
3．7  數(shù)據(jù)透視表格式 71
3．8  一個(gè)簡(jiǎn)單的例子 72
3．9  Sparklines（走勢(shì)圖） 74
3．10  總結(jié) 76

第4章  查詢(xún)（Lookup） 77
4．1  簡(jiǎn)介 77
4．2  配置簡(jiǎn)單的字段查詢(xún)（Field Lookup） 79
4．2．1  在Splunk 網(wǎng)頁(yè)端中定義查詢(xún)（Lookup） 79
4．2．2  自動(dòng)查詢(xún)（Automatic Lookups） 85
4．2．3  配置文件（Configuration Files） 88
4．2．4  使用配置文件（Configuration File）執(zhí)行查詢(xún)（Lookup）――示例 90
4．2．5  填充查詢(xún)表（Lookup Table） 91
4．2．6  使用dedup（去重復(fù)指令）處理 重復(fù)值（Duplicate） 93
4．2．7  動(dòng)態(tài)查詢(xún)（Dynamic Lookup） 94
4．2．8  使用Splunk網(wǎng)頁(yè)端 95
4．2．9  使用配置文件（Configuration File）替代 Splunk網(wǎng)頁(yè)端 97
4．2．10  時(shí)基查詢(xún)（Time-based Lookup） 99
4．2．11  出現(xiàn)兩個(gè)一樣的值 103
4．3  指令（Command）綜述 105
4．3．1  lookup（查詢(xún)）指令 105
4．3．2  inputlookup（輸入查詢(xún)）指令與outputlookup（輸出查詢(xún)）指令 105
4．3．3  inputcsv（輸入csv）指令與outputcsv （輸出csv）指令 106
4．4  總結(jié) 108
第5章  先進(jìn)的儀表板 109
5．1  創(chuàng)建有效的儀表板 109
5．1．1  視圖 110
5．1．2  面板 111
5．1．3  模塊 111
5．2  表格搜索 112
5．3  返回儀表板 117
5．3．1  面板編輯器 117
5．3．2  可視化編輯器 117
5．3．3  詳細(xì)學(xué)習(xí)儀表板編輯器 118
5．3．4  構(gòu)建儀表板 119
5．3．5  儀表板與XML 128
5．3．6  給我的世界上色 131
5．4  搜索詳解 132
5．5  動(dòng)態(tài)挖掘 137
5．6  真實(shí)、即時(shí)的解決方案 141
5．7  總結(jié) 143
第6章  索引庫(kù)與索引 144
6．1  索引的重要性 144
6．2  什么是Splunk索引 145
6．2．1  事件處理 145
6．2．2  索引構(gòu)成 146
6．2．3  默認(rèn)索引庫(kù) 147
6．3  索引、indexers和集群 147
6．4  Splunk索引庫(kù)管理 148
6．5  處理多個(gè)索引庫(kù) 150
6．5．1  創(chuàng)建多個(gè)索引的原因 150
6．5．2  創(chuàng)建和編輯Splunk索引 150
6．5．3  其他索引方法 153
6．5．4  使用新建索引 155
6．5．5  將所有事件納入索引 155
6．5．6  導(dǎo)入具體事件 157
6．6  刪除索引庫(kù)及索引的數(shù)據(jù) 159
6．6．1  刪除Splunk事件 159
6．6．2  刪除數(shù)據(jù) 162
6．7  配置索引庫(kù) 166
6．8  移動(dòng)索引數(shù)據(jù)庫(kù) 166
6．9  擴(kuò)展Splunk索引 167
6．10  容量 167
6．11  淺談限制 168
6．12  總結(jié) 171
第7章  改進(jìn)APP 172
7．1  基礎(chǔ)應(yīng)用程序 172
7．1．1  應(yīng)用程序列表 173
7．1．2  安裝應(yīng)用程序 176
7．1．3  禁用或刪除Splunk應(yīng)用程序 179
7．2  BYO或創(chuàng)建自定義應(yīng)用程序 180
7．3  應(yīng)用程序常見(jiàn)問(wèn)題解答 180
7．4  Splunk的端對(duì)端自定義 181
7．5  應(yīng)用程序創(chuàng)建的準(zhǔn)備工作 181
7．5．1  開(kāi)啟Splunk應(yīng)用程序創(chuàng)建 182
7．5．2  分享應(yīng)用程序 199
7．6  總結(jié) 199
第8章  監(jiān)測(cè)與報(bào)警 200
8．1  監(jiān)測(cè)內(nèi)容 200
8．1．1  Recipes 202
8．1．2  將Splunk指向數(shù)據(jù) 202
8．1．3  監(jiān)測(cè)范疇 203
8．2  高級(jí)監(jiān)測(cè) 204
8．3  定位、定位、定位 204
8．4  利用轉(zhuǎn)發(fā)器 205
8．5  我能使用應(yīng)用程序嗎 207
8．6  Splunk中的Windows輸入 208
8．7  開(kāi)始監(jiān)測(cè) 209
8．7．1  自定義數(shù)據(jù) 209
8．7．2  輸入端鍵入 210
8．8  Splunk用監(jiān)測(cè)到的數(shù)據(jù)做什么 210
8．9  Splunk 212
8．9．1  該程序在哪 212
8．9．2  安裝程序 213
8．10  查看Splunk部署監(jiān)控器程序 216
8．11  關(guān)于預(yù)警 217
8．12  編輯預(yù)警 225
8．12．1  編輯描述 225
8．12．2  編輯權(quán)限 226
8．12．3  編輯預(yù)警類(lèi)型和觸發(fā)機(jī)制 226
8．12．4  編輯動(dòng)作 227
8．12．5  禁用預(yù)警 228
8．12．6  復(fù)制預(yù)警 228
8．12．7  刪除預(yù)警 229
8．13  Scheduled或real time 229
8．14  擴(kuò)展功能 230
8．14．1  Splunk加速 231
8．14．2  有效期 231
8．14．3  提要項(xiàng)索引 232
8．15  總結(jié) 232
第9章  交易型Splunk 233
9．1  交易及交易類(lèi)型 233
9．2  交易搜索 235
9．2．1  Splunk交易案例 236
9．2．2  交易指令 237
9．2．3  交易和宏搜索 238
9．2．4  回顧搜索宏 239
9．3  交易的高級(jí)應(yīng)用 243
9．3．1  設(shè)置交易類(lèi)型 243
9．3．2  匯總――事件集合與關(guān)聯(lián) 247
9．3．3  并發(fā)事件 247
9．3．4  避免什么――stats而非transaction 251
9．4  總結(jié) 253
第10章  Splunk-企業(yè)板塊 254
10．1  基本概念 254
10．2  最佳案例 255
10．3  Splunk知識(shí)的定義 256
10．3．1  數(shù)據(jù)解釋 257
10．3．2  數(shù)據(jù)的分類(lèi) 257
10．3．3  數(shù)據(jù)改進(jìn) 257
10．3．4  標(biāo)準(zhǔn)化 258
10．3．5  建模 258
10．4  戰(zhàn)略知識(shí)管理 258
10．5  用Splunk知識(shí)管理進(jìn)行對(duì)象管理 260
10．6  為文檔創(chuàng)建命名規(guī)范 261
10．7  測(cè)試 264
10．7．1  分享前先測(cè)試 265
10．7．2  測(cè)試級(jí)別 265
10．8  改裝 268
10．9  企業(yè)視野 269
10．9．1  評(píng)估和實(shí)施 270
10．9．2  創(chuàng)建、使用和重復(fù) 270
10．9．3  管理和優(yōu)化 270
10．9．4  更多關(guān)于愿景的信息 271
10．9．5  一種結(jié)構(gòu)化方法 271
10．10  總結(jié) 272
附錄A  快速入門(mén) 273
A．1  話題 273
A．2  在哪里學(xué)習(xí)Splunk ＆如何學(xué)習(xí)Splunk 274
A．3  認(rèn)證 274
A．3．1  信息管理人員 274
A．3．2  管理員 275
A．3．3  建筑師 275
A．3．4  補(bǔ)充認(rèn)證 275
A．4  Splunk文件 276
A．5  www． splunk．com 277
A．6  Splunk答復(fù) 278
A．7  Splunk基地 278
A．8  支持門(mén)戶(hù) 278
A．9  關(guān)于Splexicon 279
A．10  關(guān)于“如何”的教程 280
A．11  用戶(hù)會(huì)議、博客及新聞組 281
A．12  專(zhuān)業(yè)服務(wù) 281
A．13  獲取Splunk軟件 282
A．13．1  免責(zé)聲明 282
A．13．2  磁盤(pán)空間要求 282
A．13．3  安裝和調(diào)試 284
A．14  在環(huán)境中學(xué)習(xí) 292
A．15  總結(jié) 293