Splunk

また、「 Splunk 」アラートチャネルを作成することで、 Splunk にリアルタイムでアラート通知を送信したり、 Splunk で「 Instana 」のアプリケーションおよびサービスのメトリクスを確認したりすることもできます。

Instana Splunk とのログ連携をサポートしています。 連携を有効にすると、 Instana のUIから Splunk のUIにリダイレクトされ、 Splunk に保存されているログを確認できるようになります。 この連携により、 Instana と Splunk の間でスムーズなワークフローが実現します。

Splunk のログを統合する

Instana の構成

ログを Splunk と連携させるには、以下の手順に従って Instana を設定する必要があります:

  1. Instana のUIにあるナビゲーションメニューから、 「設定 」> 「統合 」>「 ロギング 」>「 Splunk 」を選択します。

    図 1. Splunk フォーム
    Splunk フォーム
  2. デフォルトでは、 Splunk のログ連携は有効になっていません。 ホスト、コンテナ、およびポッドで「 Splunk 」リンクを有効にして表示するには、 「保存して有効にする」 をクリックします。

  3. 以下の情報を入力します。

    • Splunk Instance 」フィールドに、ログが保存されているデプロイ済みインスタンスの URL またはIPアドレス(ポート番号を含む)を入力します。
    • 「索引」 フィールドに、 Splunk プラットフォームで構成した索引の名前を入力します。 これはオプション・パラメーターです。

Instana のUIから Splunk にアクセスする

Splunk にアクセスするには、以下をクリックしてください Splunk

  • Kubernetes:
    • ホスト
    • ポッド
    • Docker コンテナー
  • ホスト
  • Docker コンテナー
図 2. Splunk 切り替え
Splunk 切り替え

複数のログプロバイダーが統合されている場合は、[ Go ] をクリックし、[Logs] > [ Splunk ] を選択します。

図 3. Splunk ボタン
Splunk ボタン

Splunk からの Instana へのアクセス

Splunk のログから Instana 関連のエンティティ(ホストやコンテナのメトリクスなど)にアクセスできるようにするには、以下のいずれかのオプションを使用してください:

  • 既存の Splunk ダッシュボードを構成します。 _raw フィールドをパネルの照会に追加し、 drilldownpanel セクションに追加します。

    <drilldown>
            <link target="_blank">https://<ENVIRONMENT_URL_HERE>/#/integration/landing;config=$row._raw$</link>
    </drilldown>
     
  • ダッシュボードを作成します。 Go Splunk の 「ダッシュボード 」セクションへ。 「新規ダッシュボードの作成」をクリックし、名前を入力して、 「保存」をクリックします。 「ダッシュボードの編集」をクリックし、 「ソース」を選択して、以下の内容を貼り付けます。

    <form theme="light">
      <label>Instana</label>
      <fieldset submitButton="false" autoRun="true">
          <input type="time" token="myTime" searchWhenChanged="true">
              <label></label>
              <default>
                  <earliest>-1@h</earliest>
                  <latest>now</latest>
              </default>
          </input>
      </fieldset>
      <row>
          <panel>
              <title>Events</title>
              <table>
                  <search>
                      <query>sourcetype = * | table host docker.container_id kubernetes.pod_name _raw
                      </query>
                      <earliest>$myTime.earliest$</earliest>
                      <latest>$myTime.latest$</latest>
                  </search>
                  <option name="count">15</option>
                  <option name="drilldown">row</option>
                  <option name="refresh.display">progressbar</option>
                  <option name="rowNumbers">false</option>
                  <option name="totalsRow">true</option>
                  <option name="wrap">false</option>
                  <fields>["host","docker.container_id","kubernetes.pod_name","_raw"]</fields>
                  <drilldown>
                      <link target="_blank">https://<ENVIRONMENT_URL_HERE>/#/integration/landing;config=$row._raw$</link>
                  </drilldown>
              </table>
          </panel>
      </row>
    </form>

「 Splunk 」アラートチャンネルの作成

Splunk のアラートチャンネルを作成するには、 [設定] > [グローバル設定 ] > [イベントとアラート ] > [アラートチャンネル ] > [アラートチャンネルを追加 ] の順にクリックします。

図4. Splunkアラートチャネル
Splunk アラート・チャネル

以下の Splunk イベントは、アラートが送信される宛先である設定済みのURL( HTTP または HTTPS )に対して、 POSTHTTP として受信されます。

以下の例を参照してください。

未解決の問題またはインシデントがある場合

{
  "issue": {
    "id": "53650436-8e35-49a3-a610-56b442ae7620",
    "type": "issue",
    "state": "OPEN",
    "start": 1460537793322,
    "severity": 5,
    "text": "Garbage Collection Activity High (11%)",
    "suggestion": "Tune your Garbage Collector, reduce allocation rate through code changes",
    "link": "https://XXXXXXX/#/?snapshotId=rjhkZXdNzegliVVEswMScGNn0YY",
    "zone": "prod",
    "fqdn": "host1.demo.com",
    "entity": "jvm",
    "entityLabel": "Test jvm",
    "tags": "production, documents, elasticsearch",
    "container": "test-container"
  }
}

クローズした問題またはインシデントの場合

{
  "issue": {
    "id": "6596e1c9-d6e4-4a8e-85fd-432432eddac3",
    "state": "CLOSED",
    "end": 1460537777478
  }
}

オフライン、オンライン、または変更時のイベント

{
  "issue": {
    "id": "53650436-8e35-49a3-a610-56b442ae7620",
    "type": "presence",
    "start": 1460537793322,
    "text": "online",
    "description": "Java virtual machine on Host host1.demo.com",
    "link": "https://XXXXXXX/#/?snapshotId=rjhkZXdNzegliVVEswMScGNn0YY",
    "zone": "prod",
    "fqdn": "host1.demo.com",
    "entity": "jvm",
    "entityLabel": "Test jvm",
    "tags": "production, documents, elasticsearch",
    "container": "test-container"
  }
}