Splunk

Modifier en ligne

Vous pouvez également envoyer des notifications d'alerte à Splunk en temps réel en créant le canal d'alerte Splunk, ou consulter les métriques des applications et des services sur Instana dans Splunk.

Instana permet d'intégrer les journaux à Splunk. Une fois l'intégration activée, vous pouvez être redirigé vers l'interface utilisateur d' Splunk depuis l'interface utilisateur d' Instana afin de consulter les journaux stockés sur Splunk. Cette intégration permet un flux de travail fluide entre Instana et Splunk.

Intégration des journaux provenant d' Splunk

Configuration d' Instana

Pour intégrer les journaux à Splunk, vous devez configurer Instana en suivant les étapes suivantes :

  1. Dans le menu de navigation de l'interface utilisateur d' Instana, sélectionnez Paramètres > Intégrations > Journalisation > Splunk.

    Figure 1. Splunk formulaire
    Splunk formulaire

  2. Par défaut, l'intégration des journaux d' Splunk s n'est pas activée. Pour activer et afficher le lien « Splunk » sur les hôtes, les conteneurs et les pods, cliquez sur « Enregistrer et activer ».

  3. Entrez les informations suivantes :

    • Dans le champ « Instance d' Splunk », saisissez l' URL ou l'adresse IP (y compris le numéro de port) de l'instance déployée sur laquelle les journaux sont stockés.
    • Dans la zone Index , entrez le nom de l'index que vous avez configuré dans la plateforme Splunk . Il s'agit d'un paramètre facultatif.

Accéder à Splunk depuis l'interface utilisateur d' Instana

Pour accéder à Splunk, cliquez sur Splunk:

  • Kubernetes:
    • Hôte
    • Pod
    • Conteneur Docker
  • Hôte
  • Conteneur Docker
Figure 2. Splunk basculer
Splunk basculer

Si plusieurs fournisseurs de journaux sont intégrés, cliquez sur « Go » (Gérer les fournisseurs de journaux) dans la section « Logs » (Journaux), puis sur « Splunk » (Configurer les fournisseurs de journaux).

Figure 3 Splunk boutons
Splunk boutons

Accès à Instana à partir de Splunk

Utilisez l'une des options suivantes pour permettre l'accès aux entités liées à l' Instana (telles que les métriques des hôtes et des conteneurs) à partir de vos journaux d' Splunk :

  • Configurez vos tableaux de bord Splunk existants. Ajoutez la zone _raw à la requête du panneau et ajoutez drilldown à la section panel .

    <drilldown>
        <link target="_blank">https://<ENVIRONMENT_URL_HERE>/#/integration/landing;config=$row._raw$</link>
</drilldown>

  • Créez un tableau de bord. Go vers la section « Tableaux de bord » sur Splunk. Cliquez sur Créer un tableau de bord, entrez un nom, puis cliquez sur Sauvegarder. Cliquez sur Editer le tableau de bord, sélectionnez Sourceet collez le contenu suivant:

    <form theme="light">
  <label>Instana</label>
  <fieldset submitButton="false" autoRun="true">
      <input type="time" token="myTime" searchWhenChanged="true">
          <label></label>
          <default>
              <earliest>-1@h</earliest>
              <latest>now</latest>
          </default>
      </input>
  </fieldset>
  <row>
      <panel>
          <title>Events</title>
          <table>
              <search>
                  <query>sourcetype = * | table host docker.container_id kubernetes.pod_name _raw
                  </query>
                  <earliest>$myTime.earliest$</earliest>
                  <latest>$myTime.latest$</latest>
              </search>
              <option name="count">15</option>
              <option name="drilldown">row</option>
              <option name="refresh.display">progressbar</option>
              <option name="rowNumbers">false</option>
              <option name="totalsRow">true</option>
              <option name="wrap">false</option>
              <fields>["host","docker.container_id","kubernetes.pod_name","_raw"]</fields>
              <drilldown>
                  <link target="_blank">https://<ENVIRONMENT_URL_HERE>/#/integration/landing;config=$row._raw$</link>
              </drilldown>
          </table>
      </panel>
  </row>
</form>

Création de la chaîne d'alerte « Splunk »

Pour créer un canal d'alerte « Splunk », cliquez sur Paramètres > Paramètres généraux > Événements et alertes > Canaux d'alerte > Ajouter un canal d'alerte.

Figure 4. Canal d'alerte Splunk
Canal d'alerte Splunk

Les événements suivants d' Splunk s sont reçus sous forme d' HTTPPOST s aux URL configurées ( HTTP ou HTTPS ), c'est-à-dire l'adresse à laquelle les alertes seront envoyées.

Voir cet exemple :

Sur les problèmes ou incidents ouverts

{
  "issue": {
    "id": "53650436-8e35-49a3-a610-56b442ae7620",
    "type": "issue",
    "state": "OPEN",
    "start": 1460537793322,
    "severity": 5,
    "text": "Garbage Collection Activity High (11%)",
    "suggestion": "Tune your Garbage Collector, reduce allocation rate through code changes",
    "link": "https://XXXXXXX/#/?snapshotId=rjhkZXdNzegliVVEswMScGNn0YY",
    "zone": "prod",
    "fqdn": "host1.demo.com",
    "entity": "jvm",
    "entityLabel": "Test jvm",
    "tags": "production, documents, elasticsearch",
    "container": "test-container"
  }
}

Sur les problèmes ou les incidents de fermeture

{
  "issue": {
    "id": "6596e1c9-d6e4-4a8e-85fd-432432eddac3",
    "state": "CLOSED",
    "end": 1460537777478
  }
}

Sur les événements hors ligne, en ligne ou de modification

{
  "issue": {
    "id": "53650436-8e35-49a3-a610-56b442ae7620",
    "type": "presence",
    "start": 1460537793322,
    "text": "online",
    "description": "Java virtual machine on Host host1.demo.com",
    "link": "https://XXXXXXX/#/?snapshotId=rjhkZXdNzegliVVEswMScGNn0YY",
    "zone": "prod",
    "fqdn": "host1.demo.com",
    "entity": "jvm",
    "entityLabel": "Test jvm",
    "tags": "production, documents, elasticsearch",
    "container": "test-container"
  }
}