Die Vorlage "Pub/Sub für Splunk" ist eine Streamingpipeline, die Nachrichten aus einem Pub/Sub-Abo liest und die Nutzlast der Nachricht über den HTTP Event Collector (HEC) von Splunk in Splunk schreibt. Der häufigste Anwendungsfall dieser Vorlage ist das Exportieren von Logs nach Splunk. Ein Beispiel für den zugrunde liegenden Workflow finden Sie unter Produktionsfähige Logexporte in Dataflow für Splunk bereitstellen.
Vor dem Schreiben in Splunk können Sie auch eine benutzerdefinierte JavaScript-Funktion auf die Nachrichtennutzlast anwenden. Alle Nachrichten, bei denen Verarbeitungsfehler auftreten, werden zur weiteren Fehlerbehebung und erneuten Verarbeitung an ein unverarbeitetes Thema in Pub/Sub weitergeleitet.
Als zusätzlichen Schutz für Ihr HEC-Token können Sie auch einen Cloud KMS-Schlüssel zusammen mit dem base64-codierten HEC-Tokenparameter übergeben, der mit dem Cloud KMS-Schlüssel verschlüsselt ist. Weitere Informationen zum Verschlüsseln des HEC-Tokenparameters finden Sie unter Cloud KMS API-Verschlüsselungsendpunkt.
Pipelineanforderungen
- Das als Quelle dienende Pub/Sub-Abo muss vorhanden sein, bevor Sie die Pipeline ausführen.
- Das Pub/Sub-Thema für nicht verarbeitete Datensätze muss vorhanden sein, bevor die Pipeline ausgeführt wird.
- Auf den Splunk-HEC-Endpunkt muss über das Dataflow-Worker-Netzwerk zugegriffen werden können.
- Das Splunk-HEC-Token muss generiert und verfügbar sein.
Vorlagenparameter
Erforderliche Parameter
- inputSubscription: Das Pub/Sub-Abo, aus dem die Eingabe gelesen werden soll. Beispiel:
projects/your-project-id/subscriptions/your-subscription-name
. - url: Die Splunk-HEC-URL. Die URL muss von der VPC, in der die Pipeline ausgeführt wird, weitergeleitet werden können. Beispiel:
https://splunk-hec-host:8088
. - outputDeadletterTopic: Das Pub/Sub-Thema als Weiterleitungsziel für nicht zustellbare Nachrichten. Beispiel:
projects/<PROJECT_ID>/topics/<TOPIC_NAME>
.
Optionale Parameter
- token: Das Splunk-HEC-Authentifizierungstoken. Muss angegeben werden, wenn der Parameter
tokenSource
aufPLAINTEXT
oderKMS
festgelegt ist. - batchCount: Die Batchgröße zum Senden mehrerer Ereignisse an Splunk. Die Standardeinstellung ist
1
(keine Batchverarbeitung). - disableCertificateValidation: SSL-Zertifikatsvalidierung deaktivieren. Standardeinstellung:
false
(Validierung aktiviert). Beitrue
werden die Zertifikate nicht validiert (alle Zertifikate sind vertrauenswürdig) und der ParameterrootCaCertificatePath
wird ignoriert. - parallelism: Die maximale Anzahl an parallelen Anfragen. Die Standardeinstellung ist
1
(keine Parallelität). - includePubsubMessage: Schließen Sie die vollständige Pub/Sub-Nachricht in die Nutzlast ein. Standardwert:
false
(nur das Datenelement ist in der Nutzlast enthalten). - tokenKMSEncryptionKey: Der Cloud KMS-Schlüssel zum Entschlüsseln des HEC-Tokenstrings. Dieser Parameter muss angegeben werden, wenn „tokenSource“ auf „KMS“ festgelegt ist. Wenn der Cloud KMS-Schlüssel bereitgestellt wird, muss der HEC-Tokenstring verschlüsselt übergeben werden. Beispiel:
projects/your-project-id/locations/global/keyRings/your-keyring/cryptoKeys/your-key-name
. - tokenSecretId: Die Secret Manager-Secret-ID für das Token. Dieser Parameter muss angegeben werden, wenn „tokenSource“ auf
SECRET_MANAGER
festgelegt ist. Beispiel:projects/your-project-id/secrets/your-secret/versions/your-secret-version
- tokenSource: Die Quelle des Tokens. Die folgenden Werte sind zulässig:
PLAINTEXT
,KMS
undSECRET_MANAGER
. Sie müssen diesen Parameter angeben, wenn Secret Manager verwendet wird. WenntokenSource
aufKMS
festgelegt ist,tokenKMSEncryptionKey
, und verschlüsselt, dann musstoken
bereitgestellt werden. WenntokenSource
aufSECRET_MANAGER
festgelegt ist, musstokenSecretId
angegeben werden. WenntokenSource
aufPLAINTEXT
festgelegt ist, musstoken
angegeben werden. - rootCaCertificatePath: Die vollständige URL zum Stamm-CA-Zertifikat in Cloud Storage. Das in Cloud Storage bereitgestellte Zertifikat muss DER-codiert sein und kann in binärer oder druckbarer Base64-Codierung bereitgestellt werden. Wenn das Zertifikat in der Base64-Codierung angegeben ist, muss es am Anfang durch -BEGIN CERTIFICATE- gebunden sein und am Ende durch -END CERTIFICATE- gebunden sein Wenn dieser Parameter angegeben ist, wird diese private Zertifikatzertifikatdatei abgerufen und dem Trust Store des Dataflow-Workers hinzugefügt, um das SSL-Zertifikat des Splunk HEC-Endpunkts zu überprüfen. Wenn dieser Parameter nicht angegeben ist, wird der Standard-Trust Store verwendet. Beispiel:
gs://mybucket/mycerts/privateCA.crt
. - enableBatchLogs: Gibt an, ob Logs für Batches aktiviert werden sollen, die in Splunk geschrieben werden. Standardeinstellung:
true
- enableGzipHttpCompression: Gibt an, ob HTTP-Anfragen, die an Splunk HEC gesendet werden, komprimiert werden sollen (gzip-Inhaltscodierung). Standardeinstellung:
true
- javascriptTextTransformGcsPath: Der Cloud Storage-URI der .js-Datei, in der die zu verwendende benutzerdefinierte JavaScript-Funktion (UDF) definiert wird. Beispiel:
gs://my-bucket/my-udfs/my_file.js
. - javascriptTextTransformFunctionName: Der Name der benutzerdefinierten JavaScript-Funktion (UDF), die verwendet werden soll. Wenn Ihre JavaScript-Funktion beispielsweise
myTransform(inJson) { /*...do stuff...*/ }
ist, lautet der FunktionsnamemyTransform
. Beispiele für JavaScript-UDFs finden Sie unter „UDF-Beispiele“ (https://github.com/GoogleCloudPlatform/DataflowTemplates#udf-examples). - javascriptTextTransformReloadIntervalMinutes: Definieren Sie das Intervall, in dem die Worker möglicherweise nach JavaScript-UDF-Änderungen suchen, um die Dateien neu zu laden. Die Standardeinstellung ist 0.
Benutzerdefinierte Funktion
Optional können Sie diese Vorlage erweitern, indem Sie eine benutzerdefinierte Funktion (UDF) schreiben. Die Vorlage ruft die UDF für jedes Eingabeelement auf. Nutzlasten von Elementen werden als JSON-Strings serialisiert. Weitere Informationen finden Sie unter Benutzerdefinierte Funktionen für Dataflow-Vorlagen erstellen.
Funktionsspezifikation
UDFs haben die folgende Spezifikation:
- Eingabe: Das Feld der Pub/Sub-Nachrichtendaten, das als JSON-String serialisiert ist.
- Ausgabe: Die Ereignisdaten, die an den Splunk HEC-Ereignisendpunkt gesendet werden. Die Ausgabe muss ein String oder ein String-JSON-Objekt sein.
Führen Sie die Vorlage aus.
Console
- Rufen Sie die Dataflow-Seite Job aus Vorlage erstellen auf. Zur Seite "Job aus Vorlage erstellen“
- Geben Sie im Feld Jobname einen eindeutigen Jobnamen ein.
- Optional: Wählen Sie für Regionaler Endpunkt einen Wert aus dem Drop-down-Menü aus. Die Standardregion ist
us-central1
.Eine Liste der Regionen, in denen Sie einen Dataflow-Job ausführen können, finden Sie unter Dataflow-Standorte.
- Wählen Sie im Drop-down-Menü Dataflow-Vorlage die Option the Pub/Sub to Splunk templateaus.
- Geben Sie Ihre Parameterwerte in die Parameterfelder ein.
- Optional: Wählen Sie Mindestens einmal aus, um von der genau einmaligen Verarbeitung zum Mindestens einmal-Streamingmodus zu wechseln.
- Klicken Sie auf Job ausführen.
gcloud
Führen Sie die Vorlage in der Shell oder im Terminal aus:
gcloud dataflow jobs run JOB_NAME \ --gcs-location gs://dataflow-templates-REGION_NAME/VERSION/Cloud_PubSub_to_Splunk \ --region REGION_NAME \ --staging-location STAGING_LOCATION \ --parameters \ inputSubscription=projects/PROJECT_ID/subscriptions/INPUT_SUBSCRIPTION_NAME,\ token=TOKEN,\ url=URL,\ outputDeadletterTopic=projects/PROJECT_ID/topics/DEADLETTER_TOPIC_NAME,\ javascriptTextTransformGcsPath=PATH_TO_JAVASCRIPT_UDF_FILE,\ javascriptTextTransformFunctionName=JAVASCRIPT_FUNCTION,\ batchCount=BATCH_COUNT,\ parallelism=PARALLELISM,\ disableCertificateValidation=DISABLE_VALIDATION,\ rootCaCertificatePath=ROOT_CA_CERTIFICATE_PATH
Ersetzen Sie Folgendes:
JOB_NAME
: ein eindeutiger Jobname Ihrer WahlREGION_NAME
: die Region, in der Sie Ihren Dataflow-Job bereitstellen möchten, z. B.us-central1
VERSION
: Die Version der Vorlage, die Sie verwenden möchtenSie können die folgenden Werte verwenden:
latest
zur Verwendung der neuesten Version der Vorlage, die im nicht datierten übergeordneten Ordner im Bucket verfügbar ist: gs://dataflow-templates-REGION_NAME/latest/- Den Versionsnamen wie
2023-09-12-00_RC00
, um eine bestimmte Version der Vorlage zu verwenden. Diese ist verschachtelt im jeweiligen datierten übergeordneten Ordner im Bucket enthalten: gs://dataflow-templates-REGION_NAME/.
STAGING_LOCATION
: der Speicherort für das Staging lokaler Dateien (z. B.gs://your-bucket/staging
)INPUT_SUBSCRIPTION_NAME
: der Name des Pub/Sub-AbosTOKEN
: das HTTP Event Collector-Token von SplunkURL
: der URL-Pfad für den HTTP Event Collector von Splunk (z. B.https://splunk-hec-host:8088
)DEADLETTER_TOPIC_NAME
: der Name des Pub/Sub-ThemasJAVASCRIPT_FUNCTION
: ist der Name der benutzerdefinierten JavaScript-Funktion (UDF), die Sie verwenden möchten.Wenn Ihre JavaScript-Funktion beispielsweise
myTransform(inJson) { /*...do stuff...*/ }
ist, lautet der FunktionsnamemyTransform
. Beispiele für JavaScript-UDFs finden Sie unter UDF-Beispiele.PATH_TO_JAVASCRIPT_UDF_FILE
Der Cloud Storage-URI der Datei.js
, in der die benutzerdefinierte JavaScript-Funktion (UDF) definiert wird, die Sie verwenden möchten. Beispiel:gs://my-bucket/my-udfs/my_file.js
BATCH_COUNT
: die Batchgröße zum Senden mehrerer Ereignisse an SplunkPARALLELISM
: die Anzahl der parallelen Anfragen, die zum Senden von Ereignissen an Splunk verwendet werden sollenDISABLE_VALIDATION
:true
, wenn Sie die SSL-Zertifikatsvalidierung deaktivieren möchtenROOT_CA_CERTIFICATE_PATH
: Der Pfad zum Stamm-CA-Zertifikat in Cloud Storage (z. B.gs://your-bucket/privateCA.crt
)
API
Senden Sie eine HTTP-POST-Anfrage, um die Vorlage mithilfe der REST API auszuführen. Weitere Informationen zur API und ihren Autorisierungsbereichen finden Sie unter projects.templates.launch
.
POST https://dataflow.googleapis.com/v1b3/projects/PROJECT_ID/locations/LOCATION/templates:launch?gcsPath=gs://dataflow-templates-LOCATION/VERSION/Cloud_PubSub_to_Splunk { "jobName": "JOB_NAME", "environment": { "ipConfiguration": "WORKER_IP_UNSPECIFIED", "additionalExperiments": [] }, "parameters": { "inputSubscription": "projects/PROJECT_ID/subscriptions/INPUT_SUBSCRIPTION_NAME", "token": "TOKEN", "url": "URL", "outputDeadletterTopic": "projects/PROJECT_ID/topics/DEADLETTER_TOPIC_NAME", "javascriptTextTransformGcsPath": "PATH_TO_JAVASCRIPT_UDF_FILE", "javascriptTextTransformFunctionName": "JAVASCRIPT_FUNCTION", "batchCount": "BATCH_COUNT", "parallelism": "PARALLELISM", "disableCertificateValidation": "DISABLE_VALIDATION", "rootCaCertificatePath": "ROOT_CA_CERTIFICATE_PATH" } }
Ersetzen Sie Folgendes:
PROJECT_ID
: die Google Cloud -Projekt-ID, in der Sie den Dataflow-Job ausführen möchtenJOB_NAME
: ein eindeutiger Jobname Ihrer WahlLOCATION
: die Region, in der Sie Ihren Dataflow-Job bereitstellen möchten, z. B.us-central1
VERSION
: Die Version der Vorlage, die Sie verwenden möchtenSie können die folgenden Werte verwenden:
latest
zur Verwendung der neuesten Version der Vorlage, die im nicht datierten übergeordneten Ordner im Bucket verfügbar ist: gs://dataflow-templates-REGION_NAME/latest/- Den Versionsnamen wie
2023-09-12-00_RC00
, um eine bestimmte Version der Vorlage zu verwenden. Diese ist verschachtelt im jeweiligen datierten übergeordneten Ordner im Bucket enthalten: gs://dataflow-templates-REGION_NAME/.
STAGING_LOCATION
: der Speicherort für das Staging lokaler Dateien (z. B.gs://your-bucket/staging
)INPUT_SUBSCRIPTION_NAME
: der Name des Pub/Sub-AbosTOKEN
: das HTTP Event Collector-Token von SplunkURL
: der URL-Pfad für den HTTP Event Collector von Splunk (z. B.https://splunk-hec-host:8088
)DEADLETTER_TOPIC_NAME
: der Name des Pub/Sub-ThemasJAVASCRIPT_FUNCTION
: ist der Name der benutzerdefinierten JavaScript-Funktion (UDF), die Sie verwenden möchten.Wenn Ihre JavaScript-Funktion beispielsweise
myTransform(inJson) { /*...do stuff...*/ }
ist, lautet der FunktionsnamemyTransform
. Beispiele für JavaScript-UDFs finden Sie unter UDF-Beispiele.PATH_TO_JAVASCRIPT_UDF_FILE
Der Cloud Storage-URI der Datei.js
, in der die benutzerdefinierte JavaScript-Funktion (UDF) definiert wird, die Sie verwenden möchten. Beispiel:gs://my-bucket/my-udfs/my_file.js
BATCH_COUNT
: die Batchgröße zum Senden mehrerer Ereignisse an SplunkPARALLELISM
: die Anzahl der parallelen Anfragen, die zum Senden von Ereignissen an Splunk verwendet werden sollenDISABLE_VALIDATION
:true
, wenn Sie die SSL-Zertifikatsvalidierung deaktivieren möchtenROOT_CA_CERTIFICATE_PATH
: Der Pfad zum Stamm-CA-Zertifikat in Cloud Storage (z. B.gs://your-bucket/privateCA.crt
)
Nächste Schritte
- Dataflow-Vorlagen
- Sehen Sie sich die Liste der von Google bereitgestellten Vorlagen an.