安裝

安裝Splunk所需的時間？

Splunk使用標準的rpm、pkg、dmg、deb及其他安裝程式，可在數分鐘之內完成安裝， 並不需要任何外部套件，即可完全安裝在其設定的目錄中。可透過Splunk Web或命令列介面，輕易設定現場資料輸入。

Splunk對作業系統、應用程式及網路有何影響？而對記憶體資源佔用情況為何？

Splunk若已有像是Syslog的現有網路記錄檔功能，就不一定要將Splunk部署在作業系統上。若您選擇在作業系統上安裝Splunk，以本機讀取記錄檔案，則CPU及網路資源佔用與您追蹤相同檔案，並將輸出配置到Netcat的情況相同。若僅將Splunk Server用追蹤檔案並透過網路轉寄，其記憶體資源佔用量低於30 MB的內建記憶體。

使用多CPU或多核心是否能讓Splunk發揮更大的性能？

是的，Splunk在使用多核心時能有更佳的性能，因為能共用其快取；因此，若兩個執行緒使用相同記憶體時會較為接近。

Splunk可在哪些平台上執行？

Splunk可在任何使用2.4版本 (或以上版本) 核心的Linux (x86)、FreeBSD?/x86、Solaris (Sparc和x86) 及Mac OS X (PPC和Intel) 上執行。但Splunk可處理使用任何作業系統的網路裝置資料，而不只是執行來自Splunk的伺服器。若想瞭解系統需求的完整清單，請按此處

Splunk是否需要代理程式？

不需要，Splunk可以為任何格式的記錄檔資料製作索引，而不需要特別的轉換程式解譯每種格式。其可以透過syslog、SNMP遠端存取資料，或是透過rsync監看鏡射的檔案，或是以scp或ftp轉進至中央記錄檔主機。如果您擁有不支援遠端登入的資料來源，可以選擇部署Splunk以即時存取主機上的記錄檔案，但這些都是相同的Splunk軟體套件，並非特殊的代理程式。

資料存取

Splunk支援哪些類型的資料？Splunk是否支援 (產品名稱／記錄檔格式)？

Splunk可由任何裝置或應用程式，支援任何格式的所有IT資料類型。特定資料格式並不需要特殊的剖析器或轉換程式。此種通用的資料支援能力，是來自一種可以自動學習如何處理新來源的強大演算法。

Splunk是否能與其他產品整合？

Splunk不需要與特定產品整合，即可處理其資料。我們確實擁有許多整合功能，包括瀏覽器工具列、指令化警告及一個REST API，以方便達成緊密的使用者介面及警告工作流程整合的搜尋。我們的專業服務團隊也能為您提供整合服務，並提供協助客戶整合至例如Tivoli、Netcool、HP Openview、BMC Patrol和Nagios等產品中。

Splunk是否能在Windows上存取資料？如何存取？

從3.2版本開始，Splunk支援在目前所部署的大多數Windows作業系統上進行安裝，並能提供其他平台上所有絕佳的Splunk功能。這包括Windows事件記錄檔的原生支援。請參考Windows安裝指示說明以開始使用。

Splunk是否能在大型主機上存取資料？如何存取？

可以。大型主機記錄檔可使用scp或ftp(依特定大型主機而定)，轉送至執行Splunk的伺服器上。一旦到達伺服器，便可以如其他類型的資料般加以存取，Splunk並不需要特定記錄檔格式的轉換程式。

Splunk如何存取資料來源？

Splunk可從記錄檔案、FIFO佇列、網路連接埠即時讀取資料。Splunk可跨數百部主機安裝，然後轉送至一或多部中央Splunk伺服器，以達成即時的分散式資料存取。請閱讀系統管理手冊瞭解更多資訊。

Splunk是否能寄送警告？

可以。您可以排程任何搜尋，並建立規則以透過電子郵件、RSS，或觸發Shell指令碼加以警告。

能否使用Splunk產生報告？

是的，您可以使用Splunk內建的統計操作指令，例如stats、sort和top，或是使用完整的SQL select宣告為任何搜尋的結果製作摘要。但Splunk未回報以結構化配置儲存在關聯式資料庫中的資料，而是在搜尋時間動態擷取的欄位上執行報告，因此其具有足夠的彈性，能經過訓練以辨識新的欄位，而不需要重新為資料製作索引。 報告可以製成不同格式的圖表、匯出成csv、新增至儀表板，及排程以電子郵件寄送。

Splunk是否支援法規遵循？

是的，Splunk支援要求您收集及保存記錄檔資料的法規遵循指示，並可對特定類型的記錄檔事件產生警告及報告。其也能幫助遵守法規對於限制電腦存取的強制要求，因為Splunk可以提供開發人員及其他人存取他們所需的生產記錄檔案，而不使他們自行存取電腦。許多Splunk的客戶皆使用這套軟體，以符合PCI或SOX的法規強制要求。

Splunk是否能安全地收集資料並保護資料的完整性？

是的。Splunk能即時遠端存取資料，並能使用加密網路連線，因此資料不會被遭受感染的主機所竄改。Splunk的介面能透過包含使用者存取控制項的Web或命令列介面，針對資料提供可稽核、唯讀的存取。

Splunk如何處理不同時區的記錄檔？

Splunk可依據您在組態檔案中所提供每一主機時區，以標準化處理時間戳記。若有時區資訊，其也可以讀取及使用在記錄檔事件中所找到時間戳記當中的時區。其可將所有時間戳記標準化，變成Splunk伺服器為其資料製作索引的主機時間。

若我的記錄檔無時間戳記該怎麼辦？

Splunk會盡力找尋記錄檔案中的時間戳記。若某些事件缺少時間戳記，其會使用最後使用的時間戳記，直到遇到新的時間戳記為止。但若無任何的時間戳記，Splunk會假設您是以即時方式存取資料，並使用目前的時間作為時間戳記。您可以設定Splunk，以便從檔案名稱讀取日期。

在執行企業授權時，Splunk的各使用者層級 (使用者、進階使用者、系統管理員) 間有何差異？

基本使用者可以搜尋資料、建立個人的搜尋儲存及警告，以及編輯其帳戶資訊。進階使用者可標註事件類型、編輯來源類型，以及建立可在所有使用者功能表上出現的共用搜尋儲存。而Admin（系統管理員）可以新增、編輯或刪除使用者的帳戶、設定資料輸入、設定伺服器設定，以及設定資料轉送、接收及複製等。

Splunk是以何種語言撰寫？

Splunk是以C/C++和Python所撰寫的高效能、分散式軟體伺服器。而其核心資料處理、製作索引及搜尋是使用C/C++，以獲得最大的效能。

資料管理

Splunk是否會儲存我的記錄檔資料複本？

會的。Splunk會與其索引一併儲存一個記錄檔資料的壓縮複本。一旦Splunk已存取過資料，不論您是否已輪換掉您的記錄檔案，或是已銷毀原始資料都不會造成影響。

Splunk如何儲存其資料？ 是否使用關聯式資料庫？ 使用哪種資料庫？

Splunk使用其本身的高效率搜尋索引儲存其資料。其為一種較近似於大部分的搜尋引擎，而非SQL關聯式資料庫的技術。若使用關聯式資料庫的原始資料，是不可能獲得Splunk的瞬時搜尋結果，其只能為少數幾欄製作索引。此外，搜尋索引方法也更為彈性，能夠處理任何類型的資料，而不需要轉換程式或剖析器。

如何構成索引？

Splunk具有熱式、溫式、冷式、凍式「分區」或「大量儲存」資料的概念。我們常常需要主動寫入資料的區域為熱式區域。本目錄分區為$SPLUNK_HOME/var/lib/splunk/defaultdb/db/hot-db/。若是熱式分區資料超過設定限制大小(可設定)，則會移動至溫式分區。溫式分區可以寫入，但通常不使用，且具有且具有db_timestamp1_timestamp2_sequence_number的目錄結構，並位於目錄$SPLUNK_HOME/var/lib/splunk/defaultdb/db/。而序列編號是依照產生分區的順序，時間db_timestamp1是該分區中最舊的事件，而db_timestamp2是分區中最新的事件。然後資料會依據您有多少溫式分區(再次可設定)，移動至colddb ($SPLUNK_HOME/var/lib/splunk/defaultdb/colddb)。在冷式分區中不會對新事件製作索引，只能加以搜尋。依據您的組態，資料會從這裡完全移出索引。事件則會依據日期 (時期) 或總索引大小而移出事件。在將其從索引中移出之前，您可以選擇將資料儲存為凍式狀態 (不可搜尋或寫入)。若需要搜尋本資料，您可以將db_*_*_* 目錄拖至$SPLUNK_HOME/var/lib/splunk/defaultdb/thaweddb目錄中。

Splunk是否會壓縮其儲存的資料？

是的。Splunk會在其資料儲存處壓縮原始資料，然後加入其索引及中繼資料。

Splunk的儲存設備需求為何？

在預設處理方式下，Splunk會對標準Syslog資料使用約40%的未壓縮、未處理記錄檔容量，而對於其他常見的記錄檔格式，最多可能使用到100%的容量。某些資料來源及組態：（如密集使用中繼事件）可能會造成Splunk使用更多空間，這時若降低製作索引的密度，最多可將使用情況降低至12%。大致上，相較於其他記錄檔資料保存的技術來說，Splunk能以最低的儲存成本提供最高的搜尋效能。

Splunk可在線上儲存多少資料？ Splunk可將資料保留在線上多久？

無任何限制。您可以藉由設定其資料撤除原則的方式，以控制Splunk要在線上儲存多少資料。無論資料儲存位置含有一天份或數年的資料，Splunk在進行查找一天份的資料效能都是相同。

Splunk是否能自動撤除舊資料？ 我該如何避免磁碟空間耗盡？

是的，Splunk具有可依據年限及磁碟使用情況，撤除最舊資料的設定值。其也具有維持最少可用磁碟空間量的設定值。請閱讀系統管理手冊瞭解更多資訊。

Splunk停止為我的資料製作索引。這是否因已超過我的授權限制？

不是。Splunk不會因為授權違反情況而停止為資料製作索引。只有在發生重複違反情況時，才會封鎖搜尋。若您的Splunk伺服器停止製作索引，應該有別的原因。請聯絡 support@splunk.com以尋求協助。

Splunk的擴充能力如何？ 如何擴充Splunk？

Splunk的軟體架構設計具備極高的擴充能力，其可以在數分鐘之內部署，以便在伺服器上每天製作數以百MB的索引，並與其他例如監控用的應用程式共用，或亦可部署至數部專用的索引伺服器及上千來源主機上，以便每天即時製作多達數TB的索引。

索引的密度為何？

這得依據資料具有多少分割區塊而決定。例如，如果我們依 . （句號）將1.2.3.4分割，我們就必須在索引上儲存1、1.2、1.2.3…等，如此將會增加許多索引。這些都是可以設定（但不建議變更預設值）。

搜尋

Splunk底層的搜尋技術為何？是 Lucene嗎？

Splunk已開發出其特有、專為即時製作IT資料索引的獨特問題所設計的搜尋技術。Splunk的研發團隊包括某些世界最優秀的搜尋引擎架構工程師，耗費數年時間以解決這類型資料所獨有的問題。

Splunk是否會進行相互關聯？

是的，Splunk具有許多會將資料相互關聯的功能。Splunk會自動將資料來源及事件分類，因此您可以搜尋過往相同類型事件的所有發生次數，並在相似事件組合出現超過特定臨界值時提出警告。其也會依據事件中的值自動尋找關係，譬如共用的使用者名稱及執行緒ID。您可以藉由點選及按下等操作，以瀏覽事件共用IP位址、使用者名稱及其他數值，以臨機操作方式相互關聯資料。其也提供可靠的警告。Splunk 3.0的擴大搜尋語言能使您在單一搜尋中執行複雜的相互關聯，例如尋找所有具超過10次防火牆拒絕，但亦已為接受的所有IP位址。

授權方式

免費及企業授權有何差異？

Splunk可以免費授權執行，使您每天最多製作500 MB的索引，您也可以購買企業授權以取得更高的資料處理量、額外的功能及支援。您亦可透過註冊免費30天的試用企業授權。最佳的是，只需下載一次，同一個軟體套件－只需加入企業授權，即可啟用所有企業功能！ 若想查看兩種版本差異的完整解說，請按此處。

在我的試用授權到期時會如何？

Splunk會繼續為資料製作索引，但除非取得新授權，否則將會封鎖搜尋

如果達到我的授權限制，是否會停止製作索引？

不會，Splunk會一直為資料製作索引。如果超過您的授權限制，將會記錄違反事件。

在超過我的授權限制時會如何？

因我們瞭解有時可能會出現無法預料的單次尖峰，所以Splunk在30天期間內，最多可允許某一組的違反天數，在3.0版本中，其限制是30天期間內有7次違反。如果您超過允許天數的限制，便會封鎖搜尋功能。在第一次違反開始，您就會看到警告，到達違反上限後就會通知已封鎖搜尋。違反橫幅會從上一次違反開始續存7天。在這種情況下，仍可繼續製作索引，因為我們不希望您遺失資料。您可以在違反過後的隔天，在允許的容量範圍內再度進行搜尋，或者可以輸入新的授權。

2.x授權無法在3.0上使用

版本3引進新的授權金鑰格式。如果您是現有的2.x客戶，您的授權將無法在3.0上使用。「Splunk Plus支援」客戶可將其2.x授權升級為3.0。請聯絡Splunk支援以取得您的3.0授權。

購買Splunk

Splunk的價格是多少？ 如何取得授權？

Splunk的定價模式相當簡單－採取永久授權，其定價是依據您整體IT環境中，每天尖峰時段，欲製作索引而未經處理、未壓縮的資料容量而決定。如果您事後需要增加授權，以便製作更多的索引來管理搜尋，可隨時進行升級。請參見Splunk商店，瞭解更多關於價格的詳情。

如何得知我有多少資料？

您可以試用免費授權或30天企業試用版授權，並查看Splunk在試用期間記錄多少資料，以瞭解您的使用量。Splunk 3.0具有預先設定的系統管理儀表板，可顯示您每日及每小時的索引製作使用量。您亦可與Splunk銷售團隊人員洽談，以協助您判斷想要為多少資料製作索引。

是否可以在不同伺服器上，重複使用相同的授權金鑰？

不行。您可以跨不同伺服器分割單一授權購買內容，但必須為每一伺服器取得不同金鑰的支援，並告知我們想要如何劃分您的授權。例如，如果您想要將一份200 GB的授權購買內容，分割至兩部分別製作100GB索引的伺服器，您必須要求我們發送兩份100 GB的金鑰，而非在兩部伺服器上使用單一金鑰。而轉送伺服器可以使用免費授權，並仍可轉送至使用企業授權的索引伺服器。

Splunk的服務及支援供應方案有哪些？

Splunk透過論壇、免費線上說明文件、IRC頻道及回覆寄送至 support@splunk.com的電子郵件，為社群的會員提供協助。「Splunk Plus支援」為企業授權客戶提供電話支援、保證的回應時間及存取線上案例入口網站。請參見我們的支援概觀以瞭解這些供應方案的詳情。台灣地區，請將電子郵件寄至alextsui@systex.com.tw。

Splunk是否提供安裝協助及其他專業服務？

是的。Splunk以套裝及按日計算的方式，提供部署設計、安裝、設定、自訂化及整合服務。請參考我們的專業服務以瞭解更多詳情。

Splunk是否提供訓練？

是的，我們提供完整的訓練課程方案。請與當地精誠資訊 splunk 業務發展小組聯繫，台灣地區：vincentc_c@systex.com.tw；中國地區：ingridchiang@systex.com.tw

是否能安排由Splunk銷售團隊進行示範？

請與當地精誠資訊 splunk 業務發展小組聯繫，台灣地區：vincentc_c@systex.com.tw；中國地區：ingridchiang@systex.com.tw

是否能延長我的試用版授權？

請與當地精誠資訊 splunk 業務發展小組聯繫，台灣地區：vincentc_c@systex.com.tw；中國地區：ingridchiang@systex.com.tw

SplunkBase及Splunk社群

SplunkBase是什麼？

SplunkBase是一個可以讓Splunk使用者分享報告、儀表板及其他組態的套件，以便加入其Splunk伺服器，並交換有關其IT問題資訊的IT知識庫。

如何使用SplunkBase？

如果您正在使用Splunk，可以按一下任何搜尋結果旁的「查找事件」(Lookup Event)，以存取關於您資料特定事件類型的SplunkBase知識。 您也可以直接前往網際網路上的SplunkBase網站，以搜尋、瀏覽、新增各項主題及事件，或是貢獻相關資訊。

Splunk社群如何與Splunk軟體產品相互配合？

SplunkBase是一項供開發人員及系統管理員，分享Splunk解決方案及其疑難排解經驗的獨特媒介。當系統管理員在他們的伺服器、路由器、服務或軟體程式上查看到有問題的事件時，他們能夠立即在SplunkBase中查找該事件。而本社群驅動的知識庫能提供事件發生原因及理由的詳細資訊。系統能辨識他們所使用的軟體，並將使用者與具有相似問題且成功的其他社群會員相連結。 此外，Splunk使用者也可透過SplunkBase尋找無數的套件，和Splunk產品的附加元件。在本網站中，相關的套件及附加元件皆依您所瀏覽的特定頁面加以列示，若您主要想尋找套件，亦提供套件瀏覽程式。您也可以透過SplunkBase分享自行建立的套件。

Splunk社群擁有多少會員？

本社群擁有上千名使用者，且每日亦再成長中。

目前網路上不是已有許多系統管理員專屬的社群？ 為何還需要SplunkBase？

目前的確已有許多系統管理員的使用者群組及論壇，當中有某些群組獲得相當的成功，但皆有其範圍限制。Splunk社群的獨特之處，在於可針對廣泛的技術領域建立一個事件資料及疑難排解技巧的百科 (Wiki)，並且強調這些技術的豐富交互操作能力。此外，本社群具有與特定記錄檔事件相關的豐富資訊知識庫。在系統管理員發現特定的問題並檢驗其記錄檔案時，他們不僅能夠查找事件的意義，還能與其他面臨相似問題的系統管理員或開發人員進行對話。豐富的知識資料庫 (SplunkBase)、強大的疑難排解工具 (Splunk)，以及實用的共同合作網站的組合，能為IT專業人員提供無法在其他網際網路位置獲得的獨特經驗。

客戶及合作夥伴

Splunk有哪些合作夥伴？

我們與各家資料中心的領導軟體、硬體及服務廠商組成合作夥伴生態系統，以促成Splunk的整合。

我們的Splunk Powered計畫能讓合作夥伴在其自行的解決方案中提供內嵌的IT搜尋，以便即時疑難排解任何問題。使用Splunk Powered產品，廠商的客戶可以執行臨機操作調查、對多重元件問題提出警告，以及對跨解決方案和與其互動的資料中心活動提出報告。Splunk目前已可內嵌在各種廠商的產品中，包括電子郵件、安全性及網路管理產品。

Splunk亦可與領導系統管理套件整合，並積極參與主要廠商，例如IBM、HP、BMC、CA和Juniper的合作夥伴計畫。

Splunk有哪些客戶？ 總共有多少客戶？

已有超過150,000人次下載Splunk，以及超過600家企業、服務供應商及政府單位，包括21st Century Insurance、Aetna、BEA、British Telecom、Catholic Healthcare West、Chevron、Cisco、Comcast、Dow Jones、LinkedIn、Motorola、NASA、Orbitz、Raytheon、Riverbed、Shopzilla、T-Mobile、Telstra、Thomson、Verisign、Verizon、Visa和Vodafone等，都是Splunk的客戶。

是否具有經銷商計畫？

是的。請聯絡partnering@splunk.com，以瞭解更多如何成為Splunk經銷商的資訊。

Splunk是否有OEM產品？

是的。Splunk Powered能為OEM合作夥伴引進，同時在他們的產品及接合技術中快速搜尋IT資料的能力，以便在發生問題時調查原因。擁有了Splunk Powered，合作夥伴可以：

請聯絡partnering@splunk.com，以瞭解Splunk Powered OEM計畫的各項資訊。

開始使用

如何開始使用？

如果您尚未安裝Splunk，請閱讀安裝手冊。如果已安裝，請以您伺服器的連接埠8000開啟瀏覽器。如果您已擁有企業授權，必須以預設使用者名稱「admin」及密碼「changeme」登入。

我剛安裝企業版的Splunk，並嘗試首次登入其Web介面。而顯示詢問使用者名稱及密碼，我該輸入什麼？

預設使用者名稱是「admin」，密碼為「changeme」。

如何為檔案製作索引？

以系統管理員登入Splunk Web介面，按下左上方的「Admin」連結。然後按一下資料輸入，依該處的介面指示說明操作。 您也可以鍵入$SPLUNK_HOME/bin/splunk help input，以瞭解透過命令列新增資料的協助。

我已進入Splunk介面，但該如何搜尋？

在Splunk主頁的中央，您應該可以看到來源類型、主機及來源的清單。選擇適當項目後按下，即可看到所有相關的事件。 或者您可以開啟使用者介面上方的Splunk下拉式功能表。將游標移到「Saved Splunks」上，並選擇「all」。本搜尋將會傳回您Splunk索引中的每一事件 (最多至10,000筆最近的事件)。

是否可將新版本的Splunk安裝在舊版上，而不會遺失任何組態或資料？

是的。請參考安裝手冊以瞭解操作指示。

資料索引

是否可以自訂Splunk處理資料的方式？

請參考系統管理手冊，瞭解如何設定Splunk以處理各種不同資料類型的資訊。

如何分辨我的資料是否已製作索引？

您索引中的總事件數會列在您的Splunk Web主頁上。若想瞭解更多資訊，請按下主頁右上角的Admin連結。Admin頁包括一個列出每種資料輸入方法的輸入狀態標籤，包括仍在處理檔案的方法。

請輸入index::splunklogger，以查看您的伺服器自啟動以來，所完成之所有工作的紀錄。

我已為超過10,000筆事件製作索引。為何在執行「meta::all」搜尋時無法全部顯示？

Splunk搜尋結果預設僅限於最近的10,000筆事件，幾乎皆是以時間排序。若想查看超過10,000筆事件，請在Splunk Web的Preferences功能表中變更設定值。

我該如何設定Splunk以對封存 (停止增加) 檔案製作索引？

在Splunk Web中，選擇Admin > Data Inputs > Files and Directories，然後新增一個目錄。在Source的下拉式選單中，選擇「Watch and copy」或「Watch and symlink」。

我該如何設定Splunk以對現場 (持續增加) 檔案製作索引？

在Splunk Web中，選擇Admin > Data Inputs > Files and Directories，然後新增一個目錄。在Source的下拉式選單中選擇「Tail」。

是否可以設定由不同主機對我的中央Splunk伺服器進行現場資料輸入？

是的，免費及企業授權皆可（但企業授權的使用方式更為方便）。

若您擁有免費授權，請掛載您的遠端記錄檔案，或使用遠端Syslog將資料由您的生產主機，傳送到Splunk伺服器的Syslog檔案上，然後將本資料載入您的Splunk伺服器。如果您擁有企業授權，可將Splunk安裝在您的生產主機上，以存取本機資料，並透過TCP，即時從這些Splunk伺服器轉送至您的中央Splunk伺服器上。所有您可以跨網路部署Splunk的選項，皆於 部署章節中詳細說明。

Windows

Splunk是否能在Windows上執行?

Splunk現在能在Windows上執行，請瀏覽下載頁立即免費下載試用版！

Splunk如何處理資料

Splunk將多筆事件以單一事件處理。Splunk以錯誤位置分割多行事件，應該如何修正？

您可以編輯來源或Sourcetype的屬性組合，以覆寫Splunk預設的多行事件處理規則。其完整操作指示請參考系統管理手冊。您也可以參考$SPLUNK_HOME/splunk/etc/bundles/當中的範例檔案。

Splunk無法正確辨識時間戳記，該如何修正？

您可以訓練Splunk，以便使其更能辨識時間戳記。請執行$SPLUNK_HOME/bin/splunk train dates，以對Splunk提示從資料來源進行擷取的日期。

我想要在source::之類的預設欄位新增例如user::的自訂欄位，該如何處理？

您可以在屬性組態檔案中，指定搜尋時間欲額外製作索引或擷取的欄位。其操作指示請參考系統管理手冊。您也可以參考 $SPLUNK_HOME/etc/bundles/props.conf.example和$SPLUNK_HOME/etc/bundles/transforms.conf.example當中的範例檔案。

若有一些較為敏感的資料， 能否在製作索引前將其取出？

是的。Splunk具有一個匿名代理程式，可讓您用來維護機密性。請參考我們的系統管理手冊章節，瞭解如何將您的資料樣本匿名化。

我想要在電子郵件記錄檔中，同時依寄件人及收件人搜尋郵件，但它們是以通用郵件ID記錄在不同的事件中，Splunk能否處理這樣的狀況？

是的。您必須設定Splunk以識別通用欄位，命令其建立中繼事件，以概括所有具備該欄位的事件。您可以參考在$SPLUNK_HOME/etc/bundles目錄中，以及系統管理手冊中的範例檔案。

Splunk是否能讀取毫秒？

是的，從Splunk 3.2開始，現在已能在索引的時間戳記欄支援剖析毫秒。

管理

若想變更Splunk所使用的連接埠，該如何做？

在Splunk Web介面中，前往Admin > Server > Settings，可以在此變更連接埠。之後您必須重新啟動Splunk，設定值才會生效。

若想清除我的索引，該如何處理？

請執行命令$SPLUNK_HOME/bin/splunk help clean，以查看抹除您所有資料，或只抹除特定索引的選項。

整合及擴充Splunk

是否能使用SOAP或REST，從其他應用程式與Splunk交談？

是的。請參考我們的「開發人員手冊」。

可依據Splunk搜尋結果發送告警？

是的，您可以透過電子郵件、RSS及自訂指令碼，為任何搜尋儲存、排程及設定警告選項。

疑難排解

我剛加入企業授權，Splunk現在要求我登入，登入憑證是什麼？

預設使用者名稱是「admin」，密碼為「changeme」。

我輸入一個我的資料中所含有的名詞，為何得不到任何結果？

Splunk是將資料分解成區塊製作索引，以搜尋精確符合項目。如果您輸入「foo」，Splunk會嘗試尋找精確符合「foo」的區塊。因此「sfoo」或「food」皆不符搜尋。若想進行這類型的搜尋，您可以使用*作為萬用字元 (例如「*foo」或「foo*」)。

如果仍無法執行，請以更廣範圍的搜尋，例如「meta::all」開始。若想瞭解Splunk如何將事件分解成區塊，請將游標移至結果上－每個反白的分隔字串皆為個別的區塊。

我前往Splunk伺服器的URL，卻沒有任何顯示內容，該怎麼辦？

首先，請確定您擁有正確的伺服器URL，並嘗試以telnet或ssh連接主機。若您可以登入，請檢查兩種Splunk程序是否皆能執行。在Shell提示中，鍵入$SPLUNK_HOME/bin/splunk status，或僅使用ps命令。您應該可以看到兩個程序 － splunkd和splunkWeb (twisted.py)。

請鍵入「splunk restart.」重新啟動Splunk 伺服器。這時splunkd和splunkWeb都應回報 [ OK ]。

已啟動Splunk，但Splunkd無法啟動，該怎麼辦？

請確定您在啟動Splunk時使用正確的路徑。最佳的確認方式，就是瀏覽至$SPLUNK_HOME/bin，然後輸入./splunk restart。($SPLUNK_HOME是安裝的路徑)。如果仍無法啟動Splunk，請聯絡支援中心。

Webserver顯示splunkd已當掉，但事實並沒有，這是怎麼一回事？

Webserver必須透過管理連接埠連接Splunk Daemon；此連接埠預設為8089。本錯誤最常見的理由是，Webserver無法連接本連接埠。請檢查下列事項

我的磁碟空間不足，該怎麼辦？

請參考我們系統管理手冊的「索引管理」小節。

我進行了一些組態變更，但不確定其是否能正常運作。

請參考系統管理手冊的「測試組態變更」小節。

2.x授權無法在3.0上使用

版本3引進新的授權金鑰格式。如果您是現有的2.x客戶，您的授權將無法在3.0上使用。「Splunk Plus支援」客戶可以將其2.x授權升級為3.0。請聯絡Splunk支援以取得您的3.0授權。/p>

如果您正在使用免費授權，可以執行下列步驟：

我無法在Internet Explorer 6中匯出結果

在Internet Explorer中，有一個關於以SSL下載檔案的程式錯誤。其問題及解決方式記載於此處

該如何停用「檢查更新」訊息？

請將下列這行加入到web.conf的 [settings] 小節 (若有需要，請在$SPLUNK_HOME/etc/system/local中建立新檔案)： updateCheckerBaseURL = 0

尋求協助

如何瞭解更多Splunk進階功能的資訊？

探索進階功能最佳的方式，就是使用教學檔。

您也可以使用線上說明瞭解命令列介面的詳細內容。請輸入 $SPLUNK_HOME/bin/splunk help 以開始使用。

若不慎遺失Splunk.com密碼時，我該怎麼做？

使用網站的取回密碼功能，將您的使用者名稱和／或密碼以電子郵件寄到登錄地址。

該如何報告問題？

請填寫我們的線上案例提交表格，或將電子郵件寄到support@splunk.com，以提交您的問題。

該如何提出建議？

您可以隨時寄送電子郵件到我們的支援團隊support@splunk.com。此外，您也可以查看我們的工作藍圖，在當中投票選出您想要的新功能。

若此處並未列出我的問題，可以在何處尋求協助？

請閱讀我們的說明文件。

若想獲得Splunk支援團隊的免費支援，請提交線上支援案例（您必須是註冊使用者並登入，才能使用本項服務）。您也可以使用我們的IRC支援頻道，請連接EFnet IRC (irc.efnet.org) 網路，頻道名稱為#splunk。

意見評註