TeamViewer Splunk集成

Splunk Enterprise是一个数据分析平台，可帮助企业从各种来源收集、索引、搜索、分析和可视化机器生成的数据。它帮助用户快速识别和调查操作问题，监控应用程序和基础设施，并获得业务绩效的见解。本篇教程将介绍TeamViewer下的Splunk 集成。

一、相关性

Splunk 5.0+:支持 Windows、Linux、MacOS、Solaris、FreeBSD、HP-UX、AIX

二、设置

• 解压到 $SPLUNK_HOME/etc/apps 目录 （Windows 用户建议使用 7zip）；
• 重新启动 Splunk；
• 浏览管理器 -> 数据输入 -> REST并设置输入。

三、记录

任何模块化输入日志错误将被写入$SPLUNK_HOME/var/log/splunk/splunkd.log

四、故障排除

1、是否在使用 Splunk 5+？

2、查找 $SPLUNK_HOME/var/log/splunk/splunkd.log 中的任何错误？

3、防火墙屏蔽了外发 HTTP 调用？

4、REST URL、标题、URL 参数是否正确？

5、身份验证设置是否正确？

五、发出HTTP请求

1、创建调用 TeamViewer (Classic) API 的应用程序口令

（1）登录 MCO ➜ 管理员“公司配置文件” ➜ 应用程序 ➜ 创建脚本口令

• 名称：Splunk 集成（偏好）；
• 描述：可选；
• 连接报告：查看连接条目。

2、请查看 TeamViewer (Classic) 的API文件页面，确认是否有其他请求：

（1）登录 Splunk Web 界面

（2）输入适当的字段：

• 端点 URL：https://webapi.teamviewer.com/api/v1/reports/connections；
• HTTP 法：GET；
• HTTP 标头属性：authorization=Bearer XXXXXX-XXXXXXXXXXXXXXXXX <- 口令；
• 响应类型：json；
• 查询时间间隔：（可选，Splunk 每 60 秒查询一次）；
• 设置源类型：手册；
• 源类型：_json；
• 保存。

3、查看结果

• 在左上角选择应用程序 ➜ 搜索 & 报告 ➜ 数据汇总 ➜ 来源（中间选项卡） ➜ REST（“报告名称”）；
• 建议从“原始”视图更改为“表格”视图，以获得有意义的结果。

因为Splunk可能会截断连接报告JSON，建议将连接报告限制在特定的时间段内。