安装
安装Splunk所需的时间？
Splunk使用标准的rpm、pkg、dmg、deb及其他安装程序，可在数分钟之内完成安装， 并不需要任何外部组件，即可完全安装在其设定的磁盘目录中。可通过Splunk Web或命令行接口，轻松的设定现场数据输入。
Splunk对生产系统、应用程序及网络有何影响？ 对内存资源占用情况又如何？
若已有像是Syslog的现有网络记录文件功能，就不一定需要将Splunk部署在生产系统上。若您选择在生产系统上安装Splunk，以本机读取记录档案，则CPU及网络资源占用与您追踪相同档案，并将输出配置到Netcat的情况相同。若仅将Splunk Server用在追踪档案并通过网络转寄，其内存资源占用量低于30 MB的内建内存。
使用多CPU或多核心是否能让Splunk发挥更大的性能？
Splunk在使用多核心时能有更棒的性能表现，因为能共享其缓存；因此，若两个线程使用相同内存时会较为接近。
Splunk可在哪些平台上运行？
Splunk可在任何使用2.4版本 (或以上版本) 核心的Linux (x86)、FreeBSD?/x86、Solaris (Sparc和x86) 及Mac OS X (PPC和Intel) 上运行。Splunk可处理使用任何操作系统的网络设备数据，而不仅仅是处理来自Splunk服务器的数据。若想了解系统需求的完整列表，请按此处
Splunk是否需要代理程序？
不需要。Splunk可以处理任意格式的记录文件数据并制作索引，而不需要特别的转换程序解译每种格式。其可以通过syslog、SNMP远程访问资料，或是通过rsync监视映射的档案，或是以scp、ftp转进至中央记录文件主机。如果您拥有不支持远程登录的数据源，可以选择部署Splunk以实时存取生产主机上的记录档案，但这些都是相同的Splunk软件组件，并非特殊的代理程序。

[url]http://www.splunk.com/doc/3.4/faq/AccessData[/url]

存取资料
Splunk支持哪些类型的数据？ Splunk是否支持 (产品名称／记录文件格式)？
Splunk可由任何设备或应用程序，通用支持任何格式的所有IT数据类型。特定数据格式并不需要特殊的分析器或转换程序。此种通用的数据支持能力，是来自一种可以自动学习如何处理新来源的强大算法。
Splunk是否能与其他产品整合？
Splunk不需要与特定产品整合，即可处理其数据。我们确实拥有许多整合功能，包括浏览器工具栏、指令化警告及一个REST API，以方便达成紧密的用户接口及警告工作流程整合的搜寻。我们的专业服务团队也能为您提供整合服务，并提供协助客户整合至例如Tivoli、Netcool、HP Openview、BMC Patrol和Nagios等产品中。
Splunk是否能在Windows上存取资料？ 如何存取？
从3.2版本开始，Splunk支持在目前所部署的大多数Windows操作系统上进行安装，并能提供其他平台上所有绝佳的Splunk功能。这包括Windows事件记录文件的原生支持。请参考Windows安装指示说明以开始使用。
Splunk是否能在大型主机上存取数据？ 如何存取？
可以。大型主机记录文件可使用scp或ftp (依特定大型主机而定) ，转送至执行Splunk的服务器上。一旦到达服务器，便可以如其他类型的资料般加以存取，Splunk并不需要特定记录文件格式的转换程序。
Splunk如何存取数据源？
Splunk可从记录档案、FIFO队列、网络端口或数据库实时读取数据。Splunk可跨数百部生产主机安装，然后传送至一或多部中央Splunk服务器，以达成实时的分布式数据存取。请阅读系统管理手册了解更多信息。
Splunk是否能发送警告？
可以。您可以排程任何搜寻，并建立规则以通过电子邮件、RSS，或触发Shell脚本加以警告。
能否使用Splunk产生报告？
是的，您可以使用Splunk内建的统计操作子，例如stats、sort和top，或是使用完整的SQL select宣告为任何搜寻的结果制作摘要。但Splunk未回报以结构化配置储存在关系数据库中的数据，而是在搜寻时间动态截取 的字段上执行报告，因此其具有足够的弹性，能经过训练以辨识新的字段，而不需要重新为数据制作索引。
报告可以制成不同格式的图表、导出成csv、新增至仪表板，及排程以电子邮件寄送。
Splunk是否支持法规遵循？
是的，Splunk支持要求您收集及保存记录文件数据的法规遵循指示，并可对特定类型的记录文件事件产生警告及报告。其也能帮助遵守法规对于限制生产计算机存取的强制要求，因为Splunk可以提供开发人员及其他人存取他们所需的生产记录档案，而不使他们自行存取生产计算机。许多Splunk的客户都使用这套软件，以符合PCI或SOX的法规强制要求。
 
Splunk是否能安全地收集数据并保护数据的完整性？
是的。Splunk能实时访问远程数据，并能使用加密网络联机，因此数据不会被遭受感染的主机所窜改。Splunk的接口能通过包含用户访问控制项的Web或命令行接口，针对数据提供可审核、只读的存取。
Splunk如何处理不同时区的记录文件？
Splunk可依据您在组态档案中所提供每一主机的时间偏差，以标准化处理时间戳。若有时区信息，其也可以读取及使用在记录文件事件中所找到时间戳当中的时区。其可将所有时间戳标准化，变成Splunk服务器为其数据制作索引的主机时间。
若我的记录文件无时间戳该怎么办？
Splunk会尽力找寻记录档案中的时间戳。若某些事件缺少时间戳，其会使用最后使用的时间戳，直到遇到新的时间戳为止。但若无任何的时间戳，Splunk会假设您是以实时方式存取数据，并使用目前的时间作为时间戳。您可以设定Splunk，以便从文件名读取日期。
在执行企业授权时，Splunk的各使用者层级 (用户、进阶用户、系统管理员) 间有何差异？
基本用户可以搜索数据、建立个人储存的搜索及警告，以及编辑其帐户信息。进阶使用者可标注事件类型、编辑来源类型，以及建立可在所有用户菜单上出现的共享储存搜寻。而Admin（系统管理员）可以新增、编辑或删除用户的帐户、设定数据输入、设定服务器设定，以及设定数据传输、接收及复制等。
 
Splunk是以何种语言撰写？
Splunk是以C/C++和Python所撰写的高效能、分布式软件服务器。而其核心数据处理、制作索引及搜寻是使用C/C++，以获得最大的效能。

[url]http://www.splunk.com/doc/3.4/faq/DataManagement[/url]

数据管理
Splunk是否会储存我的记录文件数据复本？
会的。Splunk会与其索引一并储存一个记录文件数据的压缩复本。一旦Splunk已存取过数据，不论您是否已轮换掉您的记录档案，或是已销毁原始数据都不会造成影响。
Splunk如何储存其数据？ 是否使用关系数据库？ 使用哪种数据库？
Splunk使用其本身的高效率搜寻索引储存其数据。其为一种较近似于大部分的搜索引擎，而非SQL关系数据库的技术。若使用关系数据库的原始数据，是不可能获得Splunk的瞬时搜寻结果，其只能为少数几栏制作索引。此外，搜寻索引方法也更为弹性，能够处理任何类型的数据，而不需要转换程序或分析器。
如何构成索引？
Splunk具有热式、温式、冷式、冻式「分区」或「大量储存」数据的概念。若我们主机动写入／读取数据，则可将分区视为热式。本分区为$SPLUNK_HOME/var/lib/splunk/defaultdb/db/hot-db/目录。若是热式分区采取设定限制 (可设定)，则会变为温式分区。温式分区可以写入，但通常不使用，且具有db_时间戳1_时间戳2_序列_编号的目录结构，并位于$SPLUNK_HOME/var/lib/splunk/defaultdb/db/当中。而序列编号是产生分区的顺序，因此时间戳1是该分区中最旧的事件，而时间戳2是分区中最早的事件。 然后数据会依据您有多少温式分区 (再次可设定)，移动至colddb ($SPLUNK_HOME/var/lib/splunk/defaultdb/colddb)。在colddb中不会对新事件制作索引，只能加以搜寻。依据您的组态，资料会从这里完全移出索引。事件则会依据日期 (时期) 或总索引大小而移出事件。在将其从索引中移出之前，您可以选择将资料储存为冻式状态 (不可搜寻或写入)。若需要搜寻本数据，您可以将db_*_*_* 目录拖至$SPLUNK_HOME/var/lib/splunk/defaultdb/thaweddb目录中。
Splunk是否会压缩其储存的数据？
是的。Splunk会在其数据储存处压缩原始数据，然后加入其索引及元数据。
Splunk的储存设备需求为何？
在预设处理方式下，Splunk会对标准Syslog资料使用约40%的未压缩、未处理记录文件容量，而对于其他常见的记录文件格式，最多可能使用到100%的容量。某些数据源及组态：（如密集使用中继事件）可能会造成Splunk使用更多空间，这时若降低制作索引的密度，最多可将使用情况降低至12%。大致上，相较于其他记录文件数据保存的技术来说，Splunk能以最低的储存成本提供最高的搜寻效能。
Splunk可在在线储存多少数据？ Splunk可将数据保留在在线多久？
无任何限制。您可以藉由设定其数据撤除原则的方式，以控制Splunk要在在线储存多少数据。无论数据储存位置含有一天份或数年的数据，Splunk在进行查找一天份的数据性能都是相同。
Splunk是否能自动撤除旧数据？ 我该如何避免磁盘空间耗尽？
是的，Splunk具有可依据年限及磁盘使用情况，撤除最旧数据的设定值。其也具有维持最少可用磁盘空间量的设定值。请阅读系统管理手册了解更多信息。
Splunk停止为我的数据制作索引。这是否因已超过我的授权限制？
不是。Splunk不会因为授权违反情况而停止为数据制作索引。只有在发生重复违反情况时，才会封锁搜寻。若您的Splunk服务器停止制作索引，应该有别的原因。请联络[email]support@splunk.com[/email]以寻求协助。
Splunk的扩充能力如何？ 如何扩充Splunk？
Splunk的软件架构设计具备极高的扩充能力，其可以在数分钟之内部署，以便在服务器上每天制作数以百MB的索引，并与其他例如监控用的应用程序共享，或亦可部署至数部专用的索引服务器及上千来源主机上，以便每天实时制作多达数TB的索引。
索引的密度为何？
这得依据资料具有多少分割区块而决定。例如，如果我们依 . （句号）将1.2.3.4分割，我们就必须在索引上储存1、1.2、1.2.3…等，如此将会增加许多索引。这些都是可以设定（但不建议变更默认值）。
[url]http://www.splunk.com/doc/2.2.6/admin/adminreducedensity[/url]

[url]http://www.splunk.com/doc/3.4/faq/Search[/url]

搜寻
Splunk底层的搜寻技术为何？是 Lucene吗？
Splunk已开发出其特有、专为实时制作IT数据索引的独特问题所设计的搜寻技术。Splunk的研发团队包括某些世界最优秀的搜索引擎架构工程师，耗费数年时间以解决这类型数据所独有的问题。
 
Splunk是否会进行相互关联？
是的，Splunk具有许多会将数据相互关联的功能。Splunk会自动将数据源及事件分类，因此您可以搜寻过往相同类型事件的所有发生次数，并在相似事件组合出现超过特定临界值时提出警告。其也会依据事件中的值自动寻找关系，譬如共享的使用者名称及线程ID。您可以藉由点选及按下等操作，以浏览事件共享IP地址、用户名称及其他数值，以临机操作方式相互关联数据。其也提供可靠的警告。Splunk 3.0的扩大搜寻语言能使您在单一搜寻中执行复杂的相互关联，例如寻找所有具超过10次防火墙拒绝，但亦已为接受的所有IP地址。

[url]http://www.splunk.com/doc/3.4/faq/Licensing[/url]

授权方式
免费及企业授权有何差异？
Splunk可以免费授权执行，使您每天最多制作500 MB的索引，您也可以购买企业授权以取得更高的数据处理量、额外的功能及支持。您亦可通过注册免费30天的试用企业授权。最佳的是，只需下载一次，同一个软件套件－只需加入企业授权，即可启用所有企业功能！
若想查看两种版本差异的完整说明，请按此处。
在我的试用授权到期时会如何？
Splunk会继续为数据制作索引，但除非取得新授权，否则将会封锁搜寻。
如果达到我的授权限制，是否会停止制作索引？
不会，Splunk会一直为数据制作索引。如果超过您的授权限制，将会记录违反事件。
 
在超过我的授权限制时会如何？
因我们了解有时可能会出现无法预料的单次尖峰，所以Splunk在30天期间内，最多可允许某一组的违反天数，在3.0版本中，其限制是30天期间内有7次违反。如果您超过允许天数的限制，便会封锁搜寻功能。在第一次违反开始，您就会看到警告，到达违反上限后就会通知已封锁搜寻。违反横幅会从上一次违反开始续存7天。在这种情况下，仍可继续制作索引，因为我们不希望您遗失资料。您可以在违反过后的隔天，在允许的容量范围内再度进行搜寻，或者可以输入新的授权。
2.x授权无法在3.0上使用
版本3引进新的授权密钥格式。如果您是现有的2.x客户，您的授权将无法在3.0上使用。「Splunk Plus支持」客户可将其2.x授权升级为3.0。请联络Splunk支援以取得您的3.0授权。

[url]http://www.splunk.com/doc/3.4/faq/PurchasingSplunk[/url]

购买Splunk
Splunk的价格是多少？ 如何取得授权？
Splunk的定价模式相当简单－采取永久授权，其定价是依据您整体环境中每天尖峰欲制作索引的未处理、未压缩数据容量而决定。如果您事后需要增加授权，以便制作更多的索引，可随时进行升级。请参见Splunk商店，了解更多关于价格的详情。
如何得知我有多少数据？
您可以试用免费授权或30天企业试用版授权，并查看Splunk在试用期间记录多少数据，以了解您的使用量。Splunk 3.0具有预先设定的系统管理仪表板，可显示您每日及每小时的索引制作使用量。您亦可与Splunk销售团队人员洽谈，以协助您判断想要为多少数据制作索引。
是否可以在不同服务器上，重复使用相同的授权密钥？
不行。您可以跨不同服务器分割单一授权购买内容，但必须为每一服务器取得不同密钥的支持，并告知我们想要如何划分您的授权。例如，如果您想要将一份200 GB的授权购买内容，分割至两部分别制作100GB索引的服务器，您必须要求我们发送两份100 GB的密钥，而非在两部服务器上使用单一密钥。而转送服务器可以使用免费授权，并仍可转送至使用企业授权的索引服务器。
Splunk的服务及支持供应方案有哪些？
我们通过论坛、免费联机帮助文件、IRC频道及回复寄送至[email]support@splunk.com[/email]的电子邮件，为社群的会员提供协助。「Splunk Plus支持」为企业授权客户提供电话支持、保证的响应时间及存取在线案例入口网站。请参见我们的支援概观以了解这些供应方案的详情。
Splunk是否提供安装协助及其他专业服务？
是的。Splunk以套装及按日计算的方式，提供部署设计、安装、设定、自定义化及整合服务。请参考我们的专业服务以了解更多详情。

SplunkBase及Splunk社区
SplunkBase是什么？
SplunkBase是一个可以让Splunk使用者分享报告、仪表板及其他组态的组件，以便加入其Splunk服务器，并交换有关其IT问题信息的IT知识库。

如何使用SplunkBase？
如果您正在使用Splunk，可以单击任何搜寻结果旁的「查找事件」(Lookup Event)，以存取关于您数据特定事件类型的SplunkBase知识。
您也可以直接前往因特网上的SplunkBase网站，以搜寻、浏览、新增各项主题及事件，或是贡献相关信息。
Splunk社区如何与Splunk软件产品相互配合？
SplunkBase是一项供开发人员及系统管理员，分享Splunk解决方案及其疑难解答经验的独特媒介。当系统管理员在他们的服务器、路由器、服务或软件程序上查看到有问题的事件时，他们能够立即在SplunkBase中查找该事件。而本社群驱动的知识库能提供事件发生原因及理由的详细信息。系统能辨识他们所使用的软件，并将用户与具有相似问题且成功的其他社区会员相连结。
此外，Splunk使用者也可透过SplunkBase寻找无数的组件，和Splunk产品的附加组件。在本网站中，相关的套件及附加组件皆依您所浏览的特定页面加以陈列，若您主要想寻找套件，亦提供套件浏览程序。您也可以通过SplunkBase分享自行建立的组件。
Splunk社区拥有多少会员？
本社区拥有上千名使用者，且每日亦再成长中。
目前网络上不是已有许多系统管理员专属的社区？ 为何还需要SplunkBase？
目前的确已有许多系统管理员的用户群组及论坛，当中有某些群组获得相当的成功，但皆有其范围限制。Splunk社群的独特之处，在于可针对广泛的技术领域建立一个事件数据及疑难解答技巧的百科 (Wiki)，并且强调这些技术的丰富互操作能力。此外，本社区具有与特定记录文件事件相关的丰富信息知识库。在系统管理员发现特定的问题并检验其记录档案时，他们不仅能够查找事件的意义，还能与其他面临相似问题的系统管理员或开发人员进行对话。丰富的知识数据库 (SplunkBase)、强大的疑难解答工具 (Splunk)，以及实用的共同合作网站的组合，能为IT专业人员提供无法在其他因特网位置获得的独特经验。

[url]http://www.splunk.com/doc/3.4/faq/CustomersAndPartners[/url]

客户及合作伙伴
Splunk有哪些合作伙伴？
我们与各家数据中心的领导软件、硬件及服务厂商组成合作伙伴生态系统，以促成Splunk的整合。
我们的Splunk Powered计划能让合作伙伴在其自行的解决方案中提供内嵌的IT搜寻，以便实时疑难解答任何问题。使用Splunk Powered产品，厂商的客户可以执行临机操作调查、对多重组件问题提出警告，以及对跨解决方案和与其互动的数据中心活动提出报告。Splunk目前已可内嵌在各种厂商的产品中，包括电子邮件、安全性及网络管理产品。
Splunk亦可与领导系统管理组件整合，并积极参与主要厂商，例如IBM、HP、BMC、CA和Juniper的合作伙伴计划。
Splunk有哪些客户？ 总共有多少客户？
已有超过150,000人次下载Splunk，以及超过600家企业、服务供货商及政府单位，包括21st Century Insurance、Aetna、BEA、British Telecom、Catholic Healthcare West、Chevron、Cisco、Comcast、Dow Jones、LinkedIn、Motorola、NASA、Orbitz、Raytheon、Riverbed、Shopzilla、T-Mobile、Telstra、Thomson、Verisign、Verizon、Visa和Vodafone等，都是Splunk的客户。

开始使用
如何开始使用？
如果您尚未安装Splunk，请阅读安装手册。如果已安装，请以您服务器的端口8000开启浏览器。如果您已拥有企业授权，必须以默认用户名称「admin」及密码「changeme」登入。
我刚安装企业版的Splunk，并尝试首次登入其Web界面。而显示询问用户名称及密码，我该输入什么？
默认用户名称是「admin」，密码为「changeme」。
如何为档案制作索引？
以系统管理员登入Splunk Web接口，按下左上方的「Admin」连结。然后单击数据输入，依该处的接口指示说明操作。
您也可以键入$SPLUNK_HOME/bin/splunk help input，以了解透过命令行新增数据的协助。
我已进入Splunk接口，但该如何搜寻？
在Splunk主页的中央，您应该可以看到来源类型、主机及来源的列表。选择适当项目后按下，即可看到所有相关的事件。
或者您可以开启用户接口上方的Splunk下拉菜单。将光标移到「Saved Splunks」上，并选择「all」。本搜寻将会传回您Splunk索引中的每一事件 (最多至10,000笔最近的事件)。
是否可将新版本的Splunk安装在旧版上，而不会遗失任何设置或数据？
是的。请参考安装手册以了解操作指示。

[url]http://www.splunk.com/doc/3.4/faq/AccessingData[/url]

存取资料
是否可以自定义Splunk处理数据的方式？
请参考系统管理手册，了解如何设定Splunk以处理各种不同数据类型的信息。
如何分辨我的数据是否已制作索引？
您索引中的总事件数会列在您的Splunk Web主页上。若想了解更多信息，请按下主页右上角的Admin连结。Admin页包括一个列出每种资料输入方法的输入状态标签，包括仍在处理档案的方法。
请输入index::splunklogger，以查看您的服务器自启动以来，所完成之所有工作的纪录。
我已为超过10,000笔事件制作索引。为何在执行「meta::all」搜寻时无法全部显示？
Splunk搜寻结果预设仅限于最近的10,000笔事件，几乎皆是以时间排序。若想查看超过10,000笔事件，请在Splunk Web的Preferences菜单中变更设定值。
我该如何设定Splunk以对封存 (停止增加) 档案制作索引？
在Splunk Web中，选择Admin > Data Inputs > Files and Directories，然后新增一个目录。在Source的下拉式选单中，选择「Watch and copy」或「Watch and symlink」。
我该如何设定Splunk以对现场 (持续增加) 档案制作索引？
在Splunk Web中，选择Admin > Data Inputs > Files and Directories，然后新增一个目录。在Source的下拉式选单中选择「Tail」。
是否可以设定由不同主机对我的中央Splunk服务器进行现场数据输入？
是的，免费及企业授权皆可（但企业授权的使用方式更为方便）。
若您拥有免费授权，请挂载您的远程记录档案，或使用远程Syslog将数据由您的生产主机，传送到Splunk服务器的Syslog档案上，然后将本数据加载您的Splunk服务器。如果您拥有企业授权，可将Splunk安装在您的生产主机上，以存取本机数据，并通过TCP，实时从这些Splunk服务器转送至您的中央Splunk服务器上。所有您可以跨网络部署Splunk的选项，皆于部署章节中详细说明。

[url]http://www.splunk.com/doc/3.4/faq/AccessingWindows[/url]

Windows
Splunk是否能在Windows上执行?
Splunk现在能在Windows上执行，请浏览下载页以下载试用版！

[url]http://www.splunk.com/doc/3.4/faq/DataHandling[/url]

Splunk如何处理数据
Splunk将多笔事件以单一事件处理。Splunk以错误位置分割多行事件，应该如何修正？
您可以编辑来源或Sourcetype的属性组合，以覆写Splunk预设的多行事件处理规则。其完整操作指示请参考系统管理手册。您也可以参考$SPLUNK_HOME/splunk/etc/bundles/当中的范例档案。
Splunk无法正确辨识时间戳，该如何修正？
您可以训练Splunk，以便使其更能辨识时间戳。请执行$SPLUNK_HOME/bin/splunk train dates，以对Splunk提示从数据源进行截取的日期。
我想要在source::之类的预设字段新增例如user::的自定义字段，该如何处理？
您可以在属性配置档案中，指定搜寻时间欲额外制作索引或截取的字段。其操作指示请参考系统管理手册。您也可以参考
$SPLUNK_HOME/etc/bundles/props.conf.example和$SPLUNK_HOME/etc/bundles/transforms.conf.example当中的范例档案。
若有一些较为敏感的数据， 能否在制作索引前将其取出？
是的。Splunk具有一个匿名代理程序，可让您用来维护机密性。请参考我们的系统管理手册章节，了解如何将您的数据样本匿名化。
我想要在电子邮件记录文件中，同时依寄件人及收件人搜寻邮件，但它们是以通用邮件ID记录在不同的事件中，Splunk能否处理这样的状况？
是的。您必须设定Splunk以识别通用字段，命令其建立中继事件，以概括所有具备该字段的事件。您可以参考在$SPLUNK_HOME/etc/bundles目录中，以及系统管理手册中的范例档案。
Splunk是否能读取毫秒？
是的，从Splunk 3.2开始，现在已能在索引的时间戳栏支持剖析毫秒。

[url]http://www.splunk.com/doc/3.4/faq/Administration[/url]

管理
若想变更Splunk所使用的端口，该如何做？
在Splunk Web接口中，前往Admin > Server > Settings，可以在此变更端口。之后您必须重新启动Splunk，设定值才会生效。
若想清除我的索引，该如何处理？
请执行命令$SPLUNK_HOME/bin/splunk help clean，以查看抹除您所有数据，或只抹除特定索引的选项。

[url]http://www.splunk.com/doc/3.4/faq/IntegratingAndExtendingSplunk[/url]

整合及扩充Splunk
是否能使用SOAP或REST，从其他应用程序与Splunk交谈？
是的。请参考我们的「开发人员手册」。
可依据Splunk搜寻结果发送告警？
是的，您可以透过电子邮件、RSS及自定义脚本，为任何搜寻储存、排程及设定警告选项。

[url]http://www.splunk.com/doc/3.4/faq/IntegratingAndExtendingSplunk[/url]

疑难解答
我刚加入企业授权，Splunk现在要求我登入，登入凭证是什么？
默认用户名称是「admin」，密码为「changeme」。
我输入一个我的数据中所含有的名词，为何得不到任何结果？
Splunk是将数据分解成区块制作索引，以搜寻精确符合项目。如果您输入「foo」，Splunk会尝试寻找精确符合「foo」的区块。因此「sfoo」或「food」皆不符搜寻。若想进行这类型的搜寻，您可以使用*作为通配符 (例如「*foo」或「foo*」)。
如果仍无法执行，请以更广范围的搜寻，例如「meta::all」开始。若想了解Splunk如何将事件分解成区块，请将光标移至结果上－每个反白的分隔字符串皆为个别的区块。
我前往Splunk服务器的URL，却没有任何显示内容，该怎么办？
首先，请确定您拥有正确的服务器URL，并尝试以telnet或ssh连接主机。若您可以登入，请检查两种Splunk程序是否皆能执行。在Shell提示中，键入$SPLUNK_HOME/bin/splunk status，或仅使用ps命令。您应该可以看到两个程序 － splunkd和splunkWeb (twisted.py)。
请键入「splunk restart.」重新启动Splunk 服务器。这时splunkd和splunkWeb都应回报 [ OK ]。
已启动Splunk，但Splunkd无法启动，该怎么办？
请确定您在启动Splunk时使用正确的路径。最佳的确认方式，就是浏览至$SPLUNK_HOME/bin，然后输入./splunk restart。($SPLUNK_HOME是安装的路径)。如果仍无法启动Splunk，请联络支持中心。
Webserver显示splunkd已当掉，但事实并没有，这是怎么一回事？
Webserver必须透过管理端口连接Splunk Daemon；此端口预设为8089。本错误最常见的原因是，Webserver无法连接本端口。请检查下列事项
• 是否有防火墙阻挡对管理端口的存取。
• 系统能否解析localhost。
• 计算机上是否有其他正在执行的Splunk实体。
我的磁盘空间不足，该怎么办？
请参考我们系统管理手册的「索引管理」小节。
我进行了一些组态变更，但不确定其是否能正常运作。
请参考系统管理手册的「测试配置变更」小节。
2.x授权无法在3.0上使用
版本3引进新的授权密钥格式。如果您是现有的2.x客户，您的授权将无法在3.0上使用。「Splunk Plus支持」客户可以将其2.x授权升级为3.0。请联络Splunk支援以取得您的3.0授权。
如果您正在使用免费授权，可以执行下列步骤：
• 停止Splunk (./splunk stop)。
• 将$SPLUNK_HOME/etc/splunk-free.license复制到$SPLUNK_HOME/etc/splunk.license 。
• 启动Splunk (./splunk start) 。
我无法在Internet Explorer 6中汇出结果
在Internet Explorer中，有一个关于以SSL下载文件的程序错误。其问题及解决方式记载于此处
该如何停用「检查更新」讯息？
请将下列这行加入到web.conf的 [settings] 小节 (若有需要，请在$SPLUNK_HOME/etc/system/local中建立新档案)：
updateCheckerBaseURL = 0

[url]http://www.splunk.com/doc/3.4/faq/GettingHelp[/url]

寻求协助
如何了解更多Splunk进阶功能的信息？
探索进阶功能最佳的方式，就是使用教学档。
您也可以使用联机帮助了解命令行接口的详细内容。请输入 $SPLUNK_HOME/bin/splunk help 以开始使用。
若不慎遗失Splunk.com密码时，我该怎么做？
使用网站的取回密码功能，将您的用户名称和／或密码以电子邮件寄到登录地址。
该如何报告问题？
请填写我们的在线案例提交表格，或将电子邮件寄到[email]support@splunk.com[/email]，以提交您的问题。
该如何提出建议？
您可以随时寄送电子邮件到我们的支持团队[email]support@splunk.com[/email]。此外，您也可以查看我们的工作蓝图，在当中投票选出您想要的新功能。
若此处并未列出我的问题，可以在何处寻求协助？
请先阅读我们的说明文件。
再阅读SplunkBase或在其中提问。
若想获得Splunk支持团队的免费支持，请提交在线支持案例（您必须是注册使用者并登入，才能使用本项服务）。您也可以使用我们的IRC支持频道，请连接EFnet IRC (irc.efnet.org) 网络，频道名称为#splunk。
拥有企业授权的Splunk客户可获得额外的顶级支持选项。若想了解我们支持供应方案的完整信息，请按