Splunk-中階應用與管理

原廠授權教材

本課程由精誠Splunk Tech專業技術顧問團隊針對已有Splunk使用經驗的高手玩家，設計出更具挑戰性的技術課程。第一部分課程設計使Splunk系統管理者熟悉相關管理工作：各種instances安裝方式、注意事項、參數設定、各種資料匯入、資料傳收、資料管理、使用者帳號管理、授權管理、基本的問題查找與排除方式以及Splunk本身運作的各種監控機制。第二階段則提供給Splunk App開發者學習如何建立Splunk App，開發dashboards、search forms、search views，學習使用Splunk提供的各種UI模組，並打包App提供使用者下載。

Splunk系統管理者、Splunk App開發者

本課程為進階課程，學員需上過「SPL2：Splunk-實作入門」（敬請參考SPL2：Splunk-實作入門課程內容）

Part I：7 hrs

1.安裝Splunk

1-1 標準安裝需求

1-2 安裝

1-3 啟動、停止、重起Splunk服務

2.如何取得日誌

2-1 如何取得日誌

2-2 使用Apps取得日誌

2-3 日誌來源設定說明

3.匯入資料

3-1 手動匯入資料

3-2 說明Splunk匯入資料的幾種方式與差異

3-3 資料匯入參數說明

4.匯入Windows日誌

4-1 了解與Windows相關的日誌

4-2 設定Windows日誌匯入參數

5.Forwarders

5-1 種類比較

5-2 了解使用forwarder的好處

5-3 部署與設定forwarders

6.了解資料處理

6-1 如何傳收資料

6-2 設定資料型態

6-3 如何使用時區設定

6-4 設定搜尋期間的欄位擷取

7.Splunk 儲存資料方式

7-1 設定索引

7-2 資料備份說明

7-3 備份參數說明

7-4 回復備份的資料

8.使用者權限

8-1 了解使用者與角色

8-2 建立角色

8-3 delete role說明

9.授權

9-1 授權的種類

9-2 何謂違反授權

9-3 授權群組、授權池、授權堆疊

9-4 增加或是移除授權

10.日常維護作業

10-1 何謂job，管理 job 的方式

10-2 何謂告警以及設定方式

10-3 何謂知識物件與權限

10-4 問題檢視方法

10-5 如何取得外部支援

11.Splunk 版本更新

11-1 了解Splunk 版本更新模式

11-2 如何取得Splunk更新訊息

11-3 版本更新建議步驟

Part II：8 hrs

1.何謂Apps

1-1 何謂Apps

1-2 使用者權限與Apps

2.建立與編修組合視頁

2-1 在Search App建立一個組合視頁

2-2 使用編輯器編修組合視頁

3.簡易XML選項

3-1 何謂簡易XML選項

3-2 編修簡易XML

4.建立App

4-1 了解App的目錄結構

4-2 建立App

5.Form Searches

5-1 何謂Form Search視頁

5-2 建立Form Search視頁

5-3 權限設定

6.進階視頁

6-1 了解進階視頁與XML架構

6-2 了解視頁外觀

6-3 將簡易XML轉換為進階XML

7.何謂模組

7-1 模組的定義

7-2 使用進階XML模組建立視頁

8.組合視頁

8-1 通用模組說明

8-2 使用進階XML模組建立組合視頁

9.流程

9-1 何謂流程

9-2 在搜尋結果中使用流程功能

10.選單與圖示

10-1 建立選單

10-2 建立App的圖示

10-3 套用 CSS

10-4 使用IFrame 與server side includes 改變呈現方式

11.包裝Apps

11-1 如何部署Apps

11-2 如何打包Apps

上課時間：AM 9:00 – PM 5:00