Splunk

Instana supporta l'integrazione dei log con Splunk. Dopo aver attivato l'integrazione, è possibile essere reindirizzati all'interfaccia utente Splunk dall'interfaccia utente di Instana per visualizzare i registri memorizzati in Splunk. Questa integrazione consente un flusso di lavoro fluido tra Instana e Splunk.

È inoltre possibile inviare notifiche di avviso a Splunk in tempo reale creando il canale di avviso Splunk o visualizzare le metriche delle applicazioni e dei servizi Instana in Splunk.

Integrazione dei log da Splunk

Configurazione di Instana

Per integrare i registri con Splunk, è necessario configurare Instana seguendo i passaggi indicati:

  1. Dal menu di navigazione dell'interfaccia utente di Instana, selezionare Impostazioni > Integrazioni > Registrazione > Splunk.

    Splunk Forma

  2. Per impostazione predefinita, l'integrazione dei registri di Splunk non è abilitata. Per abilitare e mostrare il link Splunk su host, container e pod, fare clic su Salva e attiva.

  3. Immetti le seguenti informazioni:

    • Nel campo Splunk Instance, inserire URL o l'indirizzo IP (compreso il numero di porta) dell'istanza distribuita in cui sono archiviati i registri.
    • Nel campo Indice, inserire il nome dell'indice configurato nella piattaforma Splunk. È un parametro facoltativo.

Accesso a Splunk dall'interfaccia utente di Instana

Per accedere a Splunk, fare clic su Splunk:

  • Kubernetes:
    • Host
    • Pod
    • Contenitore Docker
  • Host
  • Contenitore Docker

Splunk Toggle

Se sono integrati più provider di registri, fare clic su Vai ai registri > Splunk.

Splunk Pulsanti

Accesso a Instana da Splunk

Usare una delle seguenti opzioni per abilitare l'accesso alle entità correlate a Instana (come le metriche di host e container) dai registri di Splunk :

  • Configurare i dashboard Splunk esistenti. Aggiungere il campo _raw alla query del pannello e aggiungere il campo drilldown alla sezione panel .

    <drilldown>
        <link target="_blank">https://<ENVIRONMENT_URL_HERE>/#/integration/landing;config=$row._raw$</link>
</drilldown>

  • Crea un dashboard. Accedere alla sezione Dashboard in Splunk. Fare clic su Crea nuovo dashboard, inserire un nome e fare clic su Salva. Fare clic su Modifica dashboard, selezionare Origine e incollare i seguenti contenuti:

    <form theme="light">
  <label>Instana</label>
  <fieldset submitButton="false" autoRun="true">
      <input type="time" token="myTime" searchWhenChanged="true">
          <label></label>
          <default>
              <earliest>-1@h</earliest>
              <latest>now</latest>
          </default>
      </input>
  </fieldset>
  <row>
      <panel>
          <title>Events</title>
          <table>
              <search>
                  <query>sourcetype = * | table host docker.container_id kubernetes.pod_name _raw
                  </query>
                  <earliest>$myTime.earliest$</earliest>
                  <latest>$myTime.latest$</latest>
              </search>
              <option name="count">15</option>
              <option name="drilldown">row</option>
              <option name="refresh.display">progressbar</option>
              <option name="rowNumbers">false</option>
              <option name="totalsRow">true</option>
              <option name="wrap">false</option>
              <fields>["host","docker.container_id","kubernetes.pod_name","_raw"]</fields>
              <drilldown>
                  <link target="_blank">https://<ENVIRONMENT_URL_HERE>/#/integration/landing;config=$row._raw$</link>
              </drilldown>
          </table>
      </panel>
  </row>
</form>

Creazione del canale di avviso Splunk

Per creare un canale di avviso Splunk, fare clic su Impostazioni > Impostazioni globali > Eventi e avvisi > Canali di avviso > Aggiungi canale di avviso.

Canale di avviso Splunk

I seguenti eventi Splunk vengono ricevuti come HTTP POST agli URL configurati ( HTTP o HTTPS ), l'indirizzo a cui verranno inviati gli avvisi.

Vedi i seguenti esempi:

Su questioni o incidenti aperti

{
  "issue": {
    "id": "53650436-8e35-49a3-a610-56b442ae7620",
    "type": "issue",
    "state": "OPEN",
    "start": 1460537793322,
    "severity": 5,
    "text": "Garbage Collection Activity High (11%)",
    "suggestion": "Tune your Garbage Collector, reduce allocation rate through code changes",
    "link": "https://XXXXXXX/#/?snapshotId=rjhkZXdNzegliVVEswMScGNn0YY",
    "zone": "prod",
    "fqdn": "host1.demo.com",
    "entity": "jvm",
    "entityLabel": "Test jvm",
    "tags": "production, documents, elasticsearch",
    "container": "test-container"
  }
}

Su questioni o incidenti ravvicinati

{
  "issue": {
    "id": "6596e1c9-d6e4-4a8e-85fd-432432eddac3",
    "state": "CLOSED",
    "end": 1460537777478
  }
}

Su eventi offline, online o di cambiamento

{
  "issue": {
    "id": "53650436-8e35-49a3-a610-56b442ae7620",
    "type": "presence",
    "start": 1460537793322,
    "text": "online",
    "description": "Java virtual machine on Host host1.demo.com",
    "link": "https://XXXXXXX/#/?snapshotId=rjhkZXdNzegliVVEswMScGNn0YY",
    "zone": "prod",
    "fqdn": "host1.demo.com",
    "entity": "jvm",
    "entityLabel": "Test jvm",
    "tags": "production, documents, elasticsearch",
    "container": "test-container"
  }
}