Splunk Enterprise是一个数据分析平台,可帮助企业从各种来源收集、索引、搜索、分析和可视化机器生成的数据。它帮助用户快速识别和调查操作问题,监控应用程序和基础设施,并获得业务绩效的见解。本篇教程将介绍TeamViewer下的Splunk 集成。
一、相关性
Splunk 5.0+:支持 Windows、Linux、MacOS、Solaris、FreeBSD、HP-UX、AIX
二、设置
- 解压到 $SPLUNK_HOME/etc/apps 目录 (Windows 用户建议使用 7zip);
- 重新启动 Splunk;
- 浏览管理器 -> 数据输入 -> REST并设置输入。
三、记录
任何模块化输入日志错误将被写入$SPLUNK_HOME/var/log/splunk/splunkd.log
四、故障排除
1、是否在使用 Splunk 5+?
2、查找 $SPLUNK_HOME/var/log/splunk/splunkd.log 中的任何错误?
3、防火墙屏蔽了外发 HTTP 调用?
4、REST URL、标题、URL 参数是否正确?
5、身份验证设置是否正确?
五、发出HTTP请求
1、创建调用 TeamViewer (Classic) API 的应用程序口令
(1)登录 MCO ➜ 管理员“公司配置文件” ➜ 应用程序 ➜ 创建脚本口令
- 名称:Splunk 集成(偏好);
- 描述:可选;
- 连接报告:查看连接条目。
2、请查看 TeamViewer (Classic) 的API文件页面,确认是否有其他请求:
(1)登录 Splunk Web 界面
(2)输入适当的字段:
- 端点 URL:https://webapi.teamviewer.com/api/v1/reports/connections;
- HTTP 法:GET;
- HTTP 标头属性:authorization=Bearer XXXXXX-XXXXXXXXXXXXXXXXX <- 口令;
- 响应类型:json;
- 查询时间间隔:(可选,Splunk 每 60 秒查询一次);
- 设置源类型:手册;
- 源类型:_json;
- 保存。
3、查看结果
- 在左上角选择应用程序 ➜ 搜索 & 报告 ➜ 数据汇总 ➜ 来源(中间选项卡) ➜ REST(“报告名称”);
- 建议从“原始”视图更改为“表格”视图,以获得有意义的结果。
因为Splunk可能会截断连接报告JSON,建议将连接报告限制在特定的时间段内。