Splunk
Instana 支持将日志与 Splunk 集成。 启用集成后,您可以从 Instana UI 重定向到 Splunk UI,查看存储在 Splunk 中的日志。 这种集成使 Instana 和 Splunk 之间的工作流程更加流畅。
您还可以通过创建 Splunk 警报通道向 Splunk 实时发送警报通知,或在 Splunk 中查看 Instana 应用程序和服务指标。
整合来自 Splunk
配置 Instana
要将日志与 Splunk 集成,需要按照以下步骤配置 Instana:
从 Instana UI 的导航菜单中选择设置 > 整合 > 日志 >。 Splunk.
默认情况下, Splunk 日志集成未启用。 要在主机、容器和 pod 上启用并显示 Splunk 链接,请单击保存并启用。
输入以下信息:
- 在 Splunk Instance 字段中,输入存储日志的部署实例的 URL 或 IP 地址(包括端口号)。
- 在索引字段中,输入您在 Splunk 平台中配置的索引名称。 这是可选参数。
从 Instana 用户界面访问 Splunk
要访问 Splunk ,请单击 Splunk :
- Kubernetes:
- 主机
- Pod
- Docker 容器
- 主机
- Docker 容器
如果集成了多个日志提供程序,请单击转到日志 > Splunk。
从以下地址访问 Instana Splunk
使用以下任一选项启用从 Splunk 日志访问 Instana 相关实体(如主机和容器指标):
配置现有的 Splunk 仪表板。 将
_raw字段添加到面板的查询中,并将drilldown添加到panel部分。<drilldown> <link target="_blank">https://<ENVIRONMENT_URL_HERE>/#/integration/landing;config=$row._raw$</link> </drilldown>创建仪表板。 访问 Splunk 中的仪表板部分。 单击创建新仪表板 ,输入名称,然后单击保存。 单击编辑仪表板 ,选择源 ,然后粘贴以下内容:
<form theme="light"> <label>Instana</label> <fieldset submitButton="false" autoRun="true"> <input type="time" token="myTime" searchWhenChanged="true"> <label></label> <default> <earliest>-1@h</earliest> <latest>now</latest> </default> </input> </fieldset> <row> <panel> <title>Events</title> <table> <search> <query>sourcetype = * | table host docker.container_id kubernetes.pod_name _raw </query> <earliest>$myTime.earliest$</earliest> <latest>$myTime.latest$</latest> </search> <option name="count">15</option> <option name="drilldown">row</option> <option name="refresh.display">progressbar</option> <option name="rowNumbers">false</option> <option name="totalsRow">true</option> <option name="wrap">false</option> <fields>["host","docker.container_id","kubernetes.pod_name","_raw"]</fields> <drilldown> <link target="_blank">https://<ENVIRONMENT_URL_HERE>/#/integration/landing;config=$row._raw$</link> </drilldown> </table> </panel> </row> </form>
创建 Splunk 警报频道
要创建 Splunk 警报渠道,请单击设置 > 全局设置 > 事件和警报 > 警报渠道 > 添加警报渠道。
以下 Splunk 事件将作为 HTTP POST 接收到配置的 URL ( HTTP 或 HTTPS ),即警报将发送到的地址。
请参阅以下示例:
关于未决问题或事件
{
"issue": {
"id": "53650436-8e35-49a3-a610-56b442ae7620",
"type": "issue",
"state": "OPEN",
"start": 1460537793322,
"severity": 5,
"text": "Garbage Collection Activity High (11%)",
"suggestion": "Tune your Garbage Collector, reduce allocation rate through code changes",
"link": "https://XXXXXXX/#/?snapshotId=rjhkZXdNzegliVVEswMScGNn0YY",
"zone": "prod",
"fqdn": "host1.demo.com",
"entity": "jvm",
"entityLabel": "Test jvm",
"tags": "production, documents, elasticsearch",
"container": "test-container"
}
}
关于重大问题或事件
{
"issue": {
"id": "6596e1c9-d6e4-4a8e-85fd-432432eddac3",
"state": "CLOSED",
"end": 1460537777478
}
}
关于离线、在线或变革活动
{
"issue": {
"id": "53650436-8e35-49a3-a610-56b442ae7620",
"type": "presence",
"start": 1460537793322,
"text": "online",
"description": "Java virtual machine on Host host1.demo.com",
"link": "https://XXXXXXX/#/?snapshotId=rjhkZXdNzegliVVEswMScGNn0YY",
"zone": "prod",
"fqdn": "host1.demo.com",
"entity": "jvm",
"entityLabel": "Test jvm",
"tags": "production, documents, elasticsearch",
"container": "test-container"
}
}