دانلود کتاب آموزشی Splunk Core Certified Advanced Power User جلد اول

دوره آموزشی Splunk Core Certified Advanced Power User یک دوره پیشرفته برای کاربران Splunk است که به دنبال افزایش مهارت‌های خود در استفاده از Splunk Search Processing Language (SPL)، ایجاد گزارش‌ها، داشبوردهای پیچیده، و تحلیل داده‌ها هستند. این دوره به طور ویژه برای آمادگی آزمون Splunk Core Certified Advanced Power User طراحی شده است. در ادامه سرفصل‌های این دوره آورده شده است:

بخش 1. مقدمه و آماده‌سازی دوره

فصل 1. آشنایی با اهداف دوره و ساختار آن

• معرفی اهداف اصلی دوره پیشرفته

• نحوه پوشش سرفصل‌های آزمون Advanced Power User

• مروری بر مهارت‌هایی که در انتهای دوره به دست می‌آیند

فصل 2. پیش‌نیازهای مفهومی و فنی

• آشنایی با مفاهیم اولیه Splunk:

  • index

  • sourcetype

  • forwarder

  • search head

• مرور دستورات پایه SPL مانند: search, fields, table, stats

• آشنایی با معماری Splunk و اجزای اصلی آن

فصل 3. آماده‌سازی محیط آزمایشگاهی (Lab Setup)

• نصب و راه‌اندازی نسخه Enterprise یا Free

• پیکربندی اولیه Index و Data Input

• فعال‌سازی ابزارهای موردنیاز برای داشبورد، Alert و Visualizations

• بررسی داده‌های نمونه و آماده‌سازی اولیه آن‌ها

فصل 4. معرفی رابط کاربری Splunk

• مرور پنل‌های اصلی:

  • Search & Reporting

  • Dashboards

  • Alerts

  • Settings

• آشنایی با محیط Splunk Web و نحوه تعامل با آن

• نحوه استفاده از Splunk Apps برای افزایش قابلیت‌ها

فصل 5. آشنایی با ساختار و قواعد زبان SPL

• ساختار دستوری SPL و نحوه اجرای جستجو

• مفاهیم Pipe (|) و chaining دستورات

• نحوه خواندن نتایج جستجو در جدول‌های خروجی

فصل 6. مفاهیم پایه‌ای Time Picker و بازه‌های زمانی

• نحوه فیلتر کردن داده‌ها بر اساس زمان

• استفاده از Time Range Picker

• مقایسه بازه‌های زمانی در جستجوهای اولیه

فصل 7. ذخیره‌سازی و اشتراک‌گذاری جستجوها

• نحوه ذخیره کردن Searchها

• اشتراک‌گذاری خروجی‌ها با تیم

• ایجاد گزارش‌های اولیه (Reports) بر اساس نتایج ساده

فصل 8. روش استفاده از Documentation رسمی و کمک‌گیرهای تعبیه‌شده

• نحوه استفاده از Splunk Docs و Dev Portal

• معرفی کمک‌های تعبیه‌شده در محیط جستجو

• استفاده از مثال‌های آماده برای یادگیری سریع‌تر

بخش 2. جستجوهای پیشرفته در Splunk

فصل 1. ترکیب داده‌ها با دستورات Join و Append

• مقایسه عملکرد join، append و appendcols

• محدودیت‌ها و نکات بهینه‌سازی استفاده از join

• ترکیب لاگ‌ها از چند sourcetype یا index مختلف

فصل 2. استفاده از Subsearch برای ساختارهای تو‌در‌تو

• تعریف Subsearch و کاربردهای آن

• مثال‌هایی برای مقایسه چند مرحله‌ای داده‌ها

• محدودیت زمانی و حجم نتایج در Subsearch

فصل 3. استفاده پیشرفته از دستور Map

• ساختار map و نحوه اجرا روی نتایج Subsearch

• موارد استفاده در عملیات تحلیلی پیچیده

• مقایسه عملکرد با join و append

فصل 4. تحلیل رفتار کاربران با Self-Join و Transaction

• استفاده از transaction برای شناسایی رویدادهای زنجیره‌ای

• تحلیل session کاربر با self-join

• مدیریت timeout و correlation ID در جستجوهای رفتارمحور

فصل 5. استفاده از Conditionals در SPL (دستورات شرطی)

• ترکیب if، case، و coalesce برای تحلیل مقایسه‌ای

• ساخت معیارهای هشدار شرطی یا تطبیق مقادیر

• کنترل جریان تحلیل با eval شرطی

فصل 6. تحلیل‌های مقایسه‌ای بین داده‌های تاریخی و جاری

• استفاده از streamstats و eventstats برای تحلیل گذشته‌نگر

• ساخت مدل‌های baseline برای مقایسه ناهنجاری‌ها

• مثال‌هایی از مقایسه میزان مصرف منابع یا رفتار کاربران در بازه‌های زمانی متفاوت

فصل 7. بهینه‌سازی عملکرد جستجوها

• استفاده از دستور tstats در برابر stats

• Index-time extraction در مقابل search-time extraction

• تکنیک‌هایی برای کاهش زمان اجرا در داده‌های بزرگ

بخش 3. کار با فیلدها

فصل 1. استخراج فیلدها به‌صورت دستی و خودکار

• بررسی روش‌های auto-extraction و manual extraction در زمان index و جستجو

• استفاده از Field Extractor در Web UI برای ایجاد Extractهای جدید

• تنظیمات props.conf و transforms.conf برای مدیریت فیلدهای از پیش تعریف‌شده در Splunk Universal Forwarder و Indexer

فصل 2. استفاده از دستور rex برای استخراج فیلد با regex

• ساخت regex برای لاگ‌های Apache، syslog، و اپلیکیشن‌های سفارشی

• تعیین نام فیلد خروجی و ساختاردهی آن

• جلوگیری از استخراج اشتباه با استفاده از anchorها و گروه‌های non-capturing

فصل 3. تحلیل داده‌های JSON، XML و ساختارهای پیچیده با spath

• استخراج فیلدهای تو در تو (nested fields) از اسناد JSON

• استفاده از spath input= برای کار با پیام‌های ساخت‌یافته API یا لاگ‌های kubernetes

• تحلیل XML با استفاده از مسیرهای کامل xpath مانند event.log.entry.message

فصل 4. تعریف فیلدهای محاسباتی با eval

• محاسبه مقادیر عددی و متنی در لحظه (on-the-fly)

• ترکیب فیلدها و ساخت فیلدهای جدید

• استفاده از توابع eval مانند case(), if(), len(), replace(), و coalesce()

فصل 5. استفاده از alias و calculated fields

• تعریف alias برای فیلدهایی با نام‌های متفاوت ولی مفهوم یکسان

• تعریف فیلدهای محاسباتی دائمی در props.conf با EVAL-

فصل 6. کار با Lookups برای تکمیل فیلدها

• پیوند lookup tables به نتایج جستجو با lookup, inputlookup, outputlookup

• به‌روزرسانی lookup فایل‌ها از طریق command-line یا از طریق UI

• تعریف Lookup automatic mappings در transforms.conf

فصل 7. استفاده از دستورات fields, rename, table, replace

• مدیریت نمایش و مرتب‌سازی فیلدها

• تغییر نام فیلدها برای خوانایی بهتر خروجی گزارش‌ها

• جایگزینی مقادیر خاص برای داده‌های طبقه‌بندی‌شده

فصل 8. مخفی‌سازی، فیلتر یا حذف فیلدهای ناخواسته

• استفاده از fields - برای حذف فیلدها از خروجی

• تعریف تنظیمات در props.conf برای فیلدهای مخفی هنگام indexing

فصل 9. ساخت فیلدهای چند مقداری (multi-value fields)

• استفاده از mvindex, mvcount, mvjoin, mvexpand در eval

• تحلیل لاگ‌هایی که حاوی فیلدهای آرایه‌ای یا لیستی هستند

فصل 10. رفع ناسازگاری‌های ساختاری فیلدها

• هماهنگ‌سازی ساختار فیلدها در چند sourcetype مختلف

• اصلاح ساختارهای ناسازگار با استفاده از eval, coalesce, و alias

بخش 4. تجمیع و تحلیل داده‌ها

فصل 1. معرفی دستورات Aggregation در Splunk

• تعریف Aggregation در Splunk و کاربرد آن

• تفاوت بین stats، chart، timechart و eventstats

فصل 2. استفاده از دستور stats برای تجمیع داده‌ها

• بررسی توابع آماری مانند: count، sum، avg، max، min

• گروه‌بندی بر اساس یک یا چند فیلد

• مثال عملی: شمارش تعداد loginها بر اساس نام کاربری

فصل 3. مقایسه eventstats با stats

• اضافه کردن مقادیر آماری بدون حذف داده‌های اصلی

• کاربردهای ترکیبی eventstats با eval

• مثال عملی: شناسایی رخدادهایی که بالاتر از میانگین زمان پاسخ هستند

فصل 4. استفاده از timechart برای تحلیل زمانی

• نحوه گروه‌بندی زمانی (span)

• نمایش روندهای زمانی با فیلدهای مختلف

• مثال عملی: رسم روند تعداد خطاها در بازه‌های یک‌ساعته

فصل 5. استفاده از chart برای دسته‌بندی داده‌ها در محورهای X و Y

• مقایسه چند مقدار در یک جدول محوری (pivot-like)

• استفاده از توابع تجمیعی در chart

• مثال عملی: نمایش تعداد رویدادها به ازای هر سرویس در هر مکان

فصل 6. استفاده از top و rare برای شناسایی مقادیر پرتکرار یا کمیاب

• شناسایی IPهای پرتکرار یا لاگ‌های نادر

• فیلتر نتایج پرتکرار یا کم‌تکرار در میان رویدادها

فصل 7. تحلیل چند‌بعدی داده‌ها با stats و eval

• استفاده از فیلدهای محاسباتی برای تحلیل عمیق‌تر

• ساخت نمودارهای وابسته به شرایط شرطی

• ترکیب stats با where برای فیلتر نتایج

فصل 8. استفاده از bin برای دسته‌بندی بازه‌ای داده‌ها

• ایجاد دسته‌های زمانی یا عددی برای تحلیل‌های مقطعی

• مثال: گروه‌بندی زمان پاسخ‌ها در بازه‌های 100 میلی‌ثانیه

فصل 9. استفاده از addcoltotals و addtotals برای افزودن جمع کل

• نمایش مجموع سطرها یا ستون‌ها در جداول خروجی

• کاربرد در داشبوردهای مدیریتی و گزارش‌ها

فصل 10. ایجاد گزارش‌های سفارشی بر پایه Aggregation

• ذخیره و زمان‌بندی گزارش‌های تجمیعی

• اعمال فیلترهای دینامیک بر گزارش‌ها در لحظه

فصل 11. بهینه‌سازی عملکرد دستورات Aggregation

• محدود کردن حجم داده با search قبل از stats

• استفاده از dedup، fields، where برای سبکتر کردن جستجو

• مثال عملی: اجرای سریع‌تر گزارش‌ها با کاهش فیلدهای غیرضروری

بخش 5. کار با Lookups و Pivot

فصل 1. معرفی Lookups و کاربردهای آن

• تعریف Lookup چیست و چرا استفاده می‌شود

• تفاوت بین Static، External و KV Store Lookups

• موارد استفاده رایج Lookups در تحلیل داده‌ها (مانند enrich کردن لاگ‌ها)

فصل 2. ایجاد فایل‌های Lookup و بارگذاری آن‌ها

• ساخت فایل‌های CSV برای استفاده به‌عنوان Lookup

• بارگذاری فایل در محیط Splunk (از طریق UI و CLI)

• تعیین مجوزهای دسترسی به Lookupها

فصل 3. پیکربندی تعریف Lookupها (Lookup Definitions)

• تنظیمات Lookup Definition از طریق رابط کاربری

• اتصال Lookup به فیلد خاص

• مثال عملی از تطبیق آدرس IP با لیست سیاه

فصل 4. استفاده از Lookup در جستجوهای SPL

• استفاده از دستور lookup برای تطبیق فیلد

• استفاده از inputlookup برای جستجو مستقیم در فایل

• استفاده از outputlookup برای نوشتن نتایج در Lookup

فصل 5. مدیریت پیشرفته Lookups با KV Store

• تعریف KV Store و تفاوت آن با فایل‌های استاتیک

• ساخت Lookup KV Store با استفاده از Collections

• ذخیره داده‌های ساختاریافته در KV Store

• بروزرسانی و مدیریت داده‌ها از طریق SPL

فصل 6. تعریف Automatic Lookups

• اتصال خودکار Lookup به sourcetype یا source خاص

• تعریف و ویرایش Auto-Lookup در رابط Splunk

• مثال: افزودن نام کاربری به‌طور خودکار به هر رویداد بر اساس شناسه کارمند

فصل 7. معرفی Pivot در Splunk

• تعریف و فلسفه Pivot برای کاربران غیرفنی

• تفاوت Pivot با جستجوی SPL

• ساختار مدل‌های داده (Data Models)

فصل 8. ساخت Data Model برای استفاده در Pivot

• ایجاد مدل داده‌ها (Data Model Editor)

• تعریف object و constraints

• استفاده از accelerate برای بهبود سرعت Pivot

فصل 9. استفاده از Pivot برای تجزیه‌وتحلیل داده‌ها

• ساخت جدول‌ها و نمودارهای آماری از طریق Pivot

• اعمال فیلتر، گروه‌بندی و aggregation

• ذخیره خروجی به‌عنوان داشبورد یا گزارش

فصل 10. کاربرد عملی Lookups و Pivot در سناریوهای واقعی

• سناریوی تطبیق نام کاربری با اطلاعات دپارتمان از فایل CSV

• تحلیل امنیتی با تطبیق IPهای خارجی با لیست‌های تهدید

• ایجاد گزارش‌های مدیریتی از طریق Pivot برای واحدهای غیر فنی

بخش 6. ایجاد داشبوردهای پیشرفته

فصل 1. آشنایی با Splunk Dashboard Studio

• تفاوت‌های Dashboard Classic و Dashboard Studio

• ساختار معماری داشبورد جدید (JSON-based panels)

• روش‌های ایجاد داشبورد از طریق GUI و XML

فصل 2. طراحی داشبوردهای تعاملی

• تعریف Layout و ساختار‌بندی داشبوردها

• ایجاد panels با queryهای SPL

• استفاده از Grid، Absolute، و Canvas layout

فصل 3. اضافه کردن ورودی‌های پویا (Dynamic Inputs)

• ایجاد ورودی‌های token-based (مانند dropdown، time picker، radio)

• استفاده از token برای فیلتر کردن جستجوها

• اتصال ورودی‌ها به visual components

فصل 4. طراحی نمودارها و نمایش‌های گرافیکی پیشرفته

• استفاده از visualizationهای built-in (bar, line, pie, table, map, etc.)

• اعمال رنگ‌بندی شرطی و قالب‌های پیشرفته در جدول‌ها

• استفاده از visualizationهای HTML/JS سفارشی (Custom Visualizations)

فصل 5. استفاده از Drilldown و لینک‌های تعاملی

• ایجاد لینک داخلی بین panels یا صفحات مختلف

• تنظیمات Drilldown برای فیلتر کردن بر اساس مقادیر انتخاب‌شده

• اجرای queryهای پویا با Drilldown

فصل 6. ترکیب چند جستجو در یک داشبورد

• استفاده از base search و shared search برای بهینه‌سازی

• به اشتراک‌گذاری نتایج بین panels مختلف

• مدیریت وابستگی‌های بین visual components

فصل 7. استفاده از داشبوردهای چندمنظوره (Multi-page Dashboards)

• طراحی و پیاده‌سازی داشبورد با چند تب

• لینک‌سازی بین صفحات و مدیریت tokenهای سراسری

فصل 8. زمان‌بندی و Auto-refresh داشبوردها

• پیکربندی Auto-refresh برای panels

• بهینه‌سازی زمان‌بندی جستجوها در داشبوردهای زنده (Live Monitoring)

فصل 9. امنیت، دسترسی و انتشار داشبورد

• مدیریت permission برای داشبوردها و پوشه‌ها

• کنترل دسترسی مبتنی بر Role برای ویرایش/مشاهده

• انتشار داشبورد در برنامه‌ها یا اشتراک‌گذاری عمومی

فصل 10. مستندسازی، نسخه‌بندی و نگهداری داشبوردها

• مستندسازی داشبوردها برای پشتیبانی تیمی

• ذخیره نسخه‌ها و اعمال تغییرات تدریجی

• بررسی Logهای اجرای داشبورد و مانیتورینگ عملکرد آن‌ها