chaitanyagarware/splunk-for-all

GitHub: chaitanyagarware/splunk-for-all

一套从 SPL 基础到高级搜索、平台管理、安全分析与可观测性的完整免费 Splunk 实战教程。

Stars: 0 | Forks: 0

Splunk for All - from first search to production-scale mastery # 面向所有人的 Splunk **一条免费、实战的学习路径,带你从第一次 Splunk 搜索,进阶到生产级别的 SPL、管理、安全和可观测性。** [![学习路径](https://img.shields.io/badge/learning_path-beginner_to_expert-65A637?style=for-the-badge)](#learning-path) [![实战实验室](https://img.shields.io/badge/hands--on_labs-included-00A4E4?style=for-the-badge)](labs/README.md) [![SPL 示例](https://img.shields.io/badge/SPL-examples-E20082?style=for-the-badge)](reference/spl-cheatsheet.md) [![License: MIT](https://img.shields.io/badge/license-MIT-F7B500?style=for-the-badge)](LICENSE) [开始学习](docs/00-start-here.md) · [SPL 速查表](reference/spl-cheatsheet.md) · [练习实验室](labs/README.md) · [术语表](reference/glossary.md)
## 为什么选择这个仓库? Splunk 感觉就像是将多个产品合而为一:一种搜索语言、一个数据平台、一个运维控制台、一个安全分析引擎,以及一门管理学科。本仓库将所有这些部分串联成一套有系统的学习课程。 每一章都遵循相同的节奏: 1. **理解** 核心概念及其重要性。 2. **查看** 带有注释且可直接复制的 SPL。 3. **实践** 使用内置的示例数据进行操作。 4. **检验** 通过解答和生产环境笔记来验证你的思路。 你可以使用 Splunk Enterprise、合适的 Splunk Cloud Platform 环境来学习这些材料,或者将其作为查询参考。产品访问权限和某些管理功能取决于你的部署方式和角色。 ## 你将学到什么 | 路线 | 成果 | |---|---| | 基础 | Splunk 架构、数据流、索引、事件、字段、时间以及 Search 应用 | | SPL | 过滤、转换、统计、图表、查找、子搜索、正则表达式、JSON 和多值数据 | | 高级搜索 | `tstats`、数据模型、加速、可重用的知识对象、优化以及故障排除 | | 平台 | 输入、解析、配置文件、分布式架构、RBAC、监控以及生命周期规划 | | 应用场景 | 安全检测、调查、服务健康、日志、指标、追踪以及 IT 运维 | | 实践 | 包含 Web、身份验证和电商数据的引导式实验室,以及挑战式的毕业项目 | ## 学习路径 选择适合你目标的路线,或者按照完整顺序进行学习。 ### 1. 初级:构建思维模型 - [从这里开始并搭建实验室](docs/00-start-here.md) - [Splunk 是什么以及数据如何流动](docs/01-foundations/01-what-is-splunk.md) - [架构:forwarder、indexer 和 search head](docs/01-foundations/02-architecture.md) - [安全地导入数据](docs/01-foundations/03-getting-data-in.md) - [你的第一次搜索](docs/02-spl/01-search-fundamentals.md) ### 2. 中级:精通 SPL - [字段、过滤与数据整理](docs/02-spl/02-fields-and-filtering.md) - [统计与时间序列](docs/02-spl/03-statistics-and-time.md) - [查找、关联与子搜索](docs/02-spl/04-enrichment-and-correlation.md) - [正则表达式、JSON 与多值数据](docs/02-spl/05-advanced-data-shaping.md) - [仪表板、告警与报告](docs/03-knowledge/01-search-products.md) ### 3. 高级:像专家一样搜索 - [知识对象与可重用内容](docs/03-knowledge/02-knowledge-objects.md) - [数据模型、CIM 与 `tstats`](docs/03-knowledge/03-data-models-and-tstats.md) - [搜索性能工程](docs/04-advanced/01-performance.md) - [高级搜索模式](docs/04-advanced/02-advanced-patterns.md) - [REST API 与自动化](docs/04-advanced/03-api-and-automation.md) ### 4. 平台:负责任地运维 Splunk - [配置文件与优先级](docs/05-admin/01-configuration.md) - [分布式部署与扩展](docs/05-admin/02-distributed-deployment.md) - [安全、RBAC 与加固](docs/05-admin/03-security-and-rbac.md) - [监控与故障排除](docs/05-admin/04-monitoring-and-troubleshooting.md) ### 5. 进阶路线 - [用于安全分析的 Splunk](docs/06-use-cases/01-security.md) - [用于可观测性的 Splunk](docs/06-use-cases/02-observability.md) - [用于 IT 运维的 Splunk](docs/06-use-cases/03-it-operations.md) - [认证与职业规划路线图](docs/07-career-roadmap.md) ## 在实践中学习 [`datasets/`](datasets/README.md) 目录包含小型的合成数据集,可以安全发布且易于理解。各个实验室的内容是层层递进的: | 实验室 | 技能 | 难度 | |---|---|---| | [01:搜索训练营](labs/01-search-basics.md) | 过滤、字段、排序、表格 | 初级 | | [02:Web 可靠性](labs/02-web-analytics.md) | `stats`、`timechart`、延迟、错误率 | 中级 | | [03:身份验证追踪](labs/03-security-investigation.md) | 关联、检测逻辑、调查 | 中级 | | [04:SPL 性能诊所](labs/04-performance-clinic.md) | Job Inspector、搜索精简、`tstats` 思维 | 高级 | | [05:毕业项目](labs/05-capstone.md) | 端到端的运维仪表板与告警设计 | 高级 | 解答位于 [`labs/solutions/`](labs/solutions/README.md) 目录中。请先尝试自己完成实验;SPL 是在不断提出假设并验证假设的过程中掌握的。 ## 60 秒了解 SPL ``` index=web sourcetype=access_combined status>=500 earliest=-24h | eval latency_ms=round(response_time*1000, 0) | timechart span=15m count AS errors, p95(latency_ms) AS p95_latency_ms BY host ``` 从左到右读: 1. 在 `web` 索引中查找最近的服务器错误事件。 2. 计算出以毫秒为单位的延迟字段。 3. 生成按 host 分割的 15 分钟错误和延迟时间序列。 然后提出关于生产环境的问题:时间范围是否足够精准?`index` 和 `sourcetype` 是否已明确指定?`response_time` 的格式是否一致?分割是否产生了过多的序列?得出结果后需要采取什么行动? ## 仓库导航 ``` Splunk For All/ ├── docs/ # Ordered curriculum: foundations to production ├── datasets/ # Synthetic practice data and ingestion notes ├── labs/ # Exercises, capstones, and checked solutions ├── reference/ # Cheat sheets, command map, glossary, troubleshooting ├── examples/ # Reusable SPL searches and configuration examples ├── scripts/ # Dependency-free repository validation ├── assets/ # Visual identity └── .github/ # Issue forms, pull request template, CI ``` ## 准确性与范围 这是一个独立的社区学习项目。它不是官方的 Splunk 文档,也不隶属于 Splunk Inc. 或获得其认可。Splunk、SPL 及相关名称可能为 Splunk Inc. 的商标。产品行为会因版本、部署类型、许可证、应用和权限的不同而有所差异。请以链接的官方文档作为你所处环境的权威依据: - [Splunk 文档](https://help.splunk.com/) - [搜索参考](https://help.splunk.com/en/splunk-enterprise/search/spl-search-reference) - [Splunk Lantern](https://lantern.splunk.com/) - [Splunk 安全内容](https://research.splunk.com/) - [Splunk 教育](https://www.splunk.com/en_us/training.html) 示例中使用了合成数据和通用的索引名称。切勿将密钥、token、客户数据或无限制的破坏性命令粘贴到共享环境中。 ## 许可证 代码和原创学习材料基于 [MIT 许可证](LICENSE) 发布。外部产品名称和链接的文档仍归其各自所有者所有。
标签:API集成, Awesome, SPL, 代理服务器, 代码示例, 可观测性, 教程, 数据分析, 系统管理, 运维