Come utilizzare App Connect con Splunk

Splunk è una piattaforma software utilizzata per la ricerca, il monitoraggio e l'analisi dei dati generati dalle macchine in tempo reale.

Versioni di prodotto e API supportate

Per conoscere le versioni del prodotto e delle API supportate da questo connettore, consultare i requisiti di sistema dettagliati alla pagina di supporto IBM.

Collegamento a Splunk

Completa i campi di connessione visualizzati nella pagina Connetti > Applicazioni e API App Connect Designer ( in precedenza la pagina Catalogo ) o nell'editor di flusso. Se necessario, collaborare con l'amministratore Splunk amministratore per ottenere questi valori.

Nome account: Assegnate al vostro conto un nome significativo che vi aiuti a identificarlo.

BASE: Il server URL è l' URL e del server API che effettua le chiamate di runtime.; Il nome utente è il nome utente utilizzato per accedere all'istanza Splunk.; La password è la password utilizzata per accedere all'istanza Splunk.; Imposta Consenti certificati autofirmati su vero se desideri poter accettare certificati autofirmati affidabili e utilizzati solo in un ambiente non di produzione. Il valore predefinito è false.; È necessario sovrascrivere l'indirizzo del server URL se si desidera connettersi a un endpoint in una rete privata utilizzando il client di rete privata o se si desidera sovrascrivere l'indirizzo del server URL. Specificare un valore di override per l'host e la porta del connettore nel formato <http or https>://<host_name>:<port>. Se non si utilizza il client di rete privata o non è necessaria una sostituzione, non inserire alcun valore in questo campo.; Connessione alla rete privata Selezionare il nome di un agente di rete privato che App Connect utilizza per connettersi alla rete privata. Questo elenco viene popolato con i nomi degli agenti di rete privata creati nella pagina Reti private. Per ulteriori informazioni, vedere Connessione a una rete privata.

Token bearer: Il server URL è l' URL e del server API che effettua le chiamate di runtime.; Il token è il gettone utilizzato per autenticare e autorizzare l'accesso ai Splunk servizi.; Imposta Consenti certificati autofirmati su vero se desideri poter accettare certificati autofirmati affidabili e utilizzati solo in un ambiente non di produzione. Il valore predefinito è false.; È necessario sovrascrivere l'indirizzo del server URL se si desidera connettersi a un endpoint in una rete privata utilizzando il client di rete privata o se si desidera sovrascrivere l'indirizzo del server URL. Specificare un valore di override per l'host e la porta del connettore nel formato <http or https>://<host_name>:<port>. Se non si utilizza il client di rete privata o non è necessaria una sostituzione, non inserire alcun valore in questo campo.; Connessione alla rete privata Selezionare il nome di un agente di rete privato che App Connect utilizza per connettersi alla rete privata. Questo elenco viene popolato con i nomi degli agenti di rete privata creati nella pagina Reti private. Per ulteriori informazioni, vedere Connessione a una rete privata.

Per ottenere i valori di connessione per Splunk, vedere Ottenere i valori di connessione per Splunk.

Per connettersi a un Splunk endpoint dalla pagina Applicazioni e API di App Connect Designer per la prima volta, espandere Splunk quindi fare clic su Connetti. Per ulteriori informazioni, vedere Gestione degli account.

Suggerimento:

Prima di utilizzare il conto creato in App Connect in un flusso, rinominare l'account con un nome significativo che ne permetta l'identificazione. Per rinominare l'account nella pagina Applicazioni e API, selezionare l'account, aprire il menu delle opzioni (⋮) e fare clic su Rinomina account.

Considerazioni generali

Prima di utilizzare App Connect Designer con Splunk, prendete nota delle seguenti considerazioni:

Gli elenchi degli eventi e delle azioni di attivazione disponibili sono disponibili nella pagina Applicazioni e API di App Connect Designer.
Per alcune applicazioni, gli eventi e le azioni dipendono dall'ambiente e dal fatto che il connettore supporti eventi configurabili e la scoperta dinamica delle azioni. Se l'applicazione supporta eventi configurabili, viene visualizzato un collegamento Mostra altri eventi configurabili sotto l'elenco degli eventi. Se l'applicazione supporta il rilevamento dinamico delle azioni, viene visualizzato un link Mostra di più sotto l'elenco delle azioni.
Se si utilizzano più account per un'applicazione, l'insieme dei campi visualizzati quando si seleziona un'azione per quell'applicazione può variare per i diversi account. Nell'editor di flusso, alcune applicazioni forniscono sempre un insieme curato di campi statici per un'azione. Altre applicazioni utilizzano la scoperta dinamica per recuperare l'insieme dei campi configurati nell'istanza a cui si è connessi. Ad esempio, se si dispone di due account per due istanze di un'applicazione, il primo account potrebbe utilizzare impostazioni pronte per l'uso immediato. Tuttavia, il secondo account potrebbe essere configurato con campi personalizzati aggiuntivi.

Considerazioni sulla connessione del post

Prendi nota delle seguenti considerazioni dopo esserti connesso a Splunk.

Limite di utilizzo dell'API

Il limite di utilizzo dell'API è fissato a 1000 chiamate API per indirizzo IP, con un intervallo di ripristino ogni 5 minuti. Per ulteriori informazioni, consultare la sezione Politica di utilizzo delle API in Gestione delle informazioni di Splunk nella pagina della documentazione Splunk.

Generazione di un token di autenticazione (token HEC) per l'azione Invia dati HEC

Per utilizzare l'azione Invia dati HEC, è necessario inserire il token HEC nel campo Autorizzazione. Per generare un token HEC, completare i seguenti passaggi:

Accedi al tuo account Cloud Splunk.
Vai su Impostazioni > Inserimento dati.
Fare clic su HTTP Event Collector.
Clicca su Nuovo token.
Inserite un nome per il token nel campo Nome.
Fare clic sul pulsante Avanti.
Clicca su "Rivedi".
Controlla i dettagli del tuo token, quindi fai clic su Invia.
Copiare il valore del token e salvarlo in un luogo sicuro.

Autorizzazioni dell'utente per l'accesso all'applicazione per le azioni Recupera e Crea

Durante la chiamata di scoperta per le azioni Recupera e Crea, è possibile selezionare da un elenco di utenti e applicazioni associati all'account Splunk account. Quando selezioni un utente, assicurati che l'applicazione scelta sia una di quelle a cui l'utente selezionato è autorizzato ad accedere, poiché viene visualizzato un elenco di tutte le applicazioni disponibili.

Esecuzione di una ricerca globale delle applicazioni

I passaggi seguenti descrivono come effettuare ricerche in tutte le applicazioni del tuo Splunk account durante le chiamate di rilevamento Recupera e Crea.

Passa alla modalità avanzata.
Inserire un trattino (-) nei campi Utente e Applicazione.

Eventi e azioni

Splunk eventi

Questi eventi riguardano le modifiche dell'applicazione che attivano un flusso per iniziare a completare le azioni del flusso.

Nota: gli eventi non sono disponibili per le modifiche in questa applicazione. È possibile attivare un flusso in altri modi, ad esempio a intervalli programmati o a date e orari specifici.

Splunk azioni

Il flusso completa queste azioni su questa applicazione.

Oggetto	Azione	Descrizione
Applicazioni	Recuperare tutte le applicazioni	Recupera un elenco di tutte le app installate localmente Splunk applicazioni installate localmente. Per ogni app vengono restituiti dettagli come il nome, la versione e lo stato dell'applicazione.
HTTP Raccoglitore di eventi (HEC)	Recuperare il token HEC per ID	Recupera i dettagli di uno specifico token di HTTP Event Collector (HEC) fornendo il suo ID univoco (nome del token) nella richiesta. La risposta include il valore del token e i dettagli della sua configurazione. Per eseguire una ricerca globale, utilizzare "-" sia per i parametri dell'app che per quelli dell'utente.
	Recuperare il token HEC	Recupera un elenco di tutti i token di HTTP Event Collector (HEC) per l'utente e il contesto dell'applicazione specificati. Ogni token include il suo valore e i dettagli di configurazione, che vengono utilizzati per autenticare e inviare dati in modo sicuro a Splunk su HTTP o HTTPS. Per recuperare tutti i token, impostare entrambi i parametri dell'utente e dell'applicazione su "-".
	Inviare i dati HEC	Invia i dati grezzi degli eventi direttamente a Splunk utilizzando HTTP (S). I dati vengono analizzati in eventi utilizzando regole di interruzione di riga. Questa operazione richiede un identificatore di canale univoco nell'intestazione della richiesta.
Ricerca	Creare un lavoro di ricerca	Crea un nuovo lavoro di ricerca in Splunk per l'utente e l'applicazione specificati, consentendo di eseguire e gestire le ricerche in modo programmatico
Ricerca	Recuperare le ricerche per ID	Recupera un elenco di risultati di ricerca per un lavoro di ricerca specifico in base al suo ID
Utenti	Recuperare tutti gli utenti	Recupera un elenco di tutti gli utenti in Splunk