Analysedaten in Splunk auslagern

Konfigurieren Sie die Analyse, um Daten in Splunk Cloud Platform auszulagern.

Vorbereitende Schritte

Um den Offload von Analysedaten zu konfigurieren, müssen Sie in der Anbieterorganisation über die folgenden Berechtigungen verfügen.

  • api-analytics - Ansicht
  • api-analytics - verwalten

Vorgehensweise

  1. Erstellen Sie einen Ereignisindex unter Splunk, um Ihre Daten zu speichern.
    Hinweis: Wenn Sie einen bestehenden Index verwenden, überspringen Sie diesen Schritt.
    1. Melden Sie sich bei Splunkan.
    2. Klicken Sie auf Einstellungen.
    3. Klicken Sie auf der Seite Einstellungen unter dem Abschnitt Daten auf Indizes.
    4. Klicken Sie auf der Seite Indizes auf Neuer Index.
    5. Geben Sie für den nächsten Index die folgenden Einstellungen an und klicken Sie dann auf Speichern.
      • Indexname - Geben Sie einen Namen für den neuen Index an.
      • Index-Datentyp - Ereignis auswählen.
      • Maximale Rohdatengröße - Geben Sie einen Wert und eine Maßeinheit an und stellen Sie sicher, dass der Index über eine ausreichende Datengröße verfügt, um die ausgelagerten Daten aufzunehmen.
      • Durchsuchbare Aufbewahrung (Tage) - Legen Sie den Aufbewahrungszeitraum auf die Anzahl der Tage fest, die die Daten durchsuchbar sein sollen.

      Weitere Informationen zum Erstellen eines Ereignisindex finden Sie im Abschnitt Splunk Cloud Platform-Ereignisindex erstellen im Handbuch Splunk Cloud Platform Admin Manual.

  2. Um den HTTP Ereignissammler (HEC) zu konfigurieren, führen Sie die folgenden Schritte aus.
    1. Klicken Sie auf Einstellungen.
    2. Klicken Sie auf der Seite Einstellungen unter dem Abschnitt Daten auf Dateneingaben.
    3. Klicken Sie auf der Seite "Dateneingaben" auf " HTTP Event Collector ".
    4. Klicken Sie auf der Seite "Ereignissammler" von HTTP auf "Globale Einstellungen ".
    5. Geben Sie auf der Seite Globale Einstellungen die folgenden Einstellungen an und klicken Sie dann auf Speichern.
      • Alle Token - Klicken Sie auf Aktiviert.
      • Enable SSL - Klicken Sie auf das Kontrollkästchen, um SSL zu aktivieren.
      • HTTP Portnummer - Geben Sie die Portnummer HTTP an (oder übernehmen Sie den Standardwert); notieren Sie den Portwert für später.

    Weitere Informationen zur Konfiguration des HTTP -Ereignissammlers finden Sie unter "Einrichten und Verwenden des HTTP -Ereignissammlers" im Splunk -Web-Thema in der Splunk -Cloud-Plattform-Dokumentation.

  3. Um ein Token für den HEC zu erstellen, führen Sie die folgenden Schritte aus.
    1. Klicken Sie auf Einstellungen.
    2. Klicken Sie auf der Seite Einstellungen unter dem Abschnitt Daten auf Dateneingaben.
    3. Klicken Sie auf der Seite Dateneingaben in der Zeile " HTTP Event Collector" auf Neu hinzufügen.
    4. Wählen Sie auf der Seite "Daten hinzufügen " den Ereignissammler HTTP aus.
    5. Geben Sie die folgenden Einstellungen an und klicken Sie dann auf Weiter.
      • Name - Geben Sie einen Namen für das neue HEC-Token an.
      • Beschreibung - Geben Sie eine Beschreibung für das Token an.
      • Indexer-Bestätigung aktivieren - Klicken Sie auf das Kontrollkästchen, um die Indexer-Bestätigung zu aktivieren.
    6. Wählen Sie auf der Seite Eingabeeinstellungen im Abschnitt "Index" den Index aus, den Sie zum Speichern von Analysedaten verwenden (erstellt in Schritt 1 ), und klicken Sie dann auf Überprüfen.
    7. Klicken Sie auf der Seite Überprüfung auf Übergeben , um das HEC-Token zu generieren.
    8. Kopieren Sie auf der Bestätigungsseite "Token wurde erfolgreich erstellt" den Token-Wert oder notieren Sie ihn.
  4. Führen Sie die folgenden Schritte aus, um den Analytics-Daten-Offload in API Connect Enterprise as a Service zu konfigurieren.
    1. Öffnen Sie Ihre API Connect -Serviceinstanz.
    2. Klicken Sie auf Analyse > Auslagerungseinstellungen.
    3. Wählen Sie Splunk als Speichertyp und geben Sie die folgenden Informationen an.
      • Index - Geben Sie den Namen des Index Splunk an, in dem die ausgelagerten Analysedaten gespeichert sind (konfiguriert in Schritt 1 )
      • HEC-Token - Geben Sie den Wert des Tokens ein, den Sie in Schritt 3 notiert haben.
      • HEC URI - Geben Sie den Speicherort des Index Splunk in folgendem Format an: https://<splunk-host>:<port> , wobei <splunk-host> der Host und die Domäne Ihres Splunk -Kontos und <port> der HEC-Port ist, den Sie in Schritt 2 angegeben haben. Zum Beispiel https://prd-p-2dc3q.splunkcloud.com:8088.
    4. Klicken Sie auf Speichern.

    Die Konfiguration der Analyse-Offload-Einstellungen nimmt etwa 15 Minuten in Anspruch. DerOffload configuredwird angezeigt, wenn die Konfiguration abgeschlossen ist.