正在加载

从 Splunk 添加数据

Elastic Stack 技术预览版

警告

此功能为技术预览版,可能会在将来的版本中更改或删除。Elastic 会努力修复任何问题,但技术预览版中的功能不受官方 GA 功能的支持 SLA 约束。

Apache、AWS CloudTrail、Nginx 和 Zeek 集成提供了从 Splunk Enterprise 实例无缝提取数据的能力。数据将自动映射到 Elastic Common Schema,使其可用于 Elastic 解决方案(包括 Security 和 Observability)中的快速分析。

这些集成通过在 Elastic Agent 中使用 httpjson 输入,通过 Splunk REST API 运行 Splunk 搜索,然后从结果中提取原始事件来工作。然后通过 Elastic Agent 处理原始事件。 Splunk 搜索是可定制的,搜索之间的间隔也是可定制的。这些集成只获取自上次查询以来的新数据,而不是历史数据。

Splunk integration components

要从 Splunk 提取 Nginx 数据,请执行以下步骤。 Apache、AWS CloudTrail 和 Zeek 的选项相同。

要按照本指南中的步骤操作,您需要一个包含以下内容的 Elastic Stack 部署

  • Elasticsearch 用于存储和搜索数据
  • Kibana 用于可视化和管理数据
  • 在 Fleet 和 Integrations 上具有 All 权限的 Kibana 用户。由于许多 Integrations 资产在空间之间共享,因此用户需要在所有空间中具有 Kibana 权限。
  • Integrations Server(默认包含在每个 Elastic Cloud Hosted 部署中)

要快速入门,请创建一个 Elastic Cloud Hosted 部署并将其托管在 AWS、GCP 或 Azure 上。 免费试用

在主菜单中找到 集成,或使用全局搜索字段。搜索并添加 nginx 集成。有关添加集成的详细步骤,请参阅系统指标快速入门

启用“从第三方 REST API 收集日志”,并禁用“从 Nginx 实例收集日志”和“从 Nginx 实例收集指标”。

{{fleet}} showing enabling third-party REST API

输入连接到 Splunk Enterprise REST API 所需的信息。

Splunk Enterprise Server 的 URL 必须包含方案 (httphttps)、Splunk Enterprise Server 的 IP 地址或主机名,以及 REST API 正在侦听的端口。

Splunk 用户名和密码必须是具有使用 REST API 端点的角色或权限的用户的用户名和密码。默认情况下,管理用户具有这些权限。

SSL 配置在“高级选项”下可用。如果 Splunk Enterprise 服务器使用自签名证书,则可能需要这些选项。有关有效的配置选项,请参阅SSL 选项

{{fleet}} showing enabling third-party REST API settings

对于每种类型的日志文件,输入间隔和 Splunk 搜索字符串。

该间隔表示为 Go 持续时间。间隔是发送到 Splunk Enterprise REST API 以请求新信息的时间间隔。不建议使用小于一秒的间隔;Splunk 仅保持索引时间为秒级精度。间隔应与数据到达 Splunk Enterprise Server 的速率紧密匹配。例如,对于每小时才到达 Splunk Enterprise Server 的数据,间隔为“5s”会在 Splunk Enterprise Server 上产生不必要的负载。

搜索字符串是用于唯一描述与您尝试配置的日志文件类型匹配的事件的 Splunk 搜索。例如,要唯一描述 Nginx 访问日志,可以使用 search sourcetype=nginx:plus:access。请注意,搜索字符串必须以“search”开头,有关详细信息,请参阅 Splunk REST API 手册和“search/jobs/export”端点。

请注意,每次 Elastic Agent 连接到 Splunk Enterprise REST API 时,都会执行 Splunk 搜索。因此,您需要确保您的搜索字符串尽可能具体,因为这会减少 Splunk Enterprise Server 上的负载。

可以在“高级选项”中添加标签。例如,如果您想使用 Splunk 标签标记来自 Splunk 的事件,您可以在此处添加它。默认情况下,存在转发标签,以表明事件正在通过中介(即 Splunk)转发。

{{fleet}} showing enabling third-party REST API settings

单击“保存集成”

数据和仪表板将可用,就像您使用日志文件在 Nginx 主机上收集数据一样。

运行代理的主机和 Splunk Enterprise Server 上的时间应与同一时间源同步,并具有正确的时区信息。 否则,可能会导致数据传输延迟或收到的数据出现间隙。

Splunk 数据是否需要采用特定格式或映射到 Splunk 的 Common Information Model? 不需要,因为这些集成从 Splunk 获取原始事件并对其进行处理。 不依赖于任何 Splunk 处理。

事件是否映射到 Elastic Common Schema (ECS)? 是的,来自这些集成的事件与 Elastic Agent 从原始来源获取事件时经历的处理完全相同。 因此,发生了相同级别的 ECS 映射。

© . All rights reserved.