Il modello da Pub/Sub a Splunk è una pipeline di inserimento flussi che legge i messaggi da una sottoscrizione Pub/Sub e scrive il payload dei messaggi a Splunk utilizzando HTTP Event Collector (HEC) di Splunk. Il caso d'uso più comune di questo modello è l'esportazione dei log in Splunk. Per visualizzare un esempio del flusso di lavoro sottostante, consulta Deployment di esportazioni di log pronte per la produzione in Splunk utilizzando Dataflow.
Prima di scrivere su Splunk, puoi anche applicare una funzione JavaScript definita dall'utente al payload del messaggio. Tutti i messaggi che riscontrano errori di elaborazione vengono inoltrati a un argomento Pub/Sub non elaborato per ulteriore risoluzione dei problemi e rielaborazione.
Come ulteriore livello di protezione per il token HEC, puoi passare anche una chiave Cloud KMS insieme al parametro token HEC con codifica Base64 e criptato con la chiave Cloud KMS. Consulta la pagina Endpoint di crittografia dell'API Cloud KMS per ulteriori dettagli sulla crittografia del parametro del token HEC.
Requisiti della pipeline
- La sottoscrizione Pub/Sub di origine deve esistere prima dell'esecuzione della pipeline.
- L'argomento non elaborato di Pub/Sub deve esistere prima dell'esecuzione della pipeline.
- L'endpoint HEC Splunk deve essere accessibile dalla rete dei worker Dataflow.
- Il token HEC Splunk deve essere generato e disponibile.
Parametri del modello
Parametri obbligatori
- inputSubscription : la sottoscrizione Pub/Sub da cui leggere l'input. ad esempio projects/your-project-id/subscriptions/your-subscription-name).
- url : l'URL di Splunk HEC. L'URL deve essere instradabile dal VPC in cui viene eseguita la pipeline. Esempio: https://splunk-hec-host:8088.
- outputDeadletterTopic : l'argomento Pub/Sub a cui inoltrare i messaggi non recapitabili. Ad esempio, projects/<PROJECT_ID>/topics/<TOPIC_NAME>.
Parametri facoltativi
- token : il token di autenticazione Splunk HEC. Deve essere fornito se il parametro
tokenSource
è impostato suPLAINTEXT
oKMS
. - batchCount : la dimensione del batch per l'invio di più eventi a Splunk. Il valore predefinito è 1 (nessun raggruppamento in batch).
- disableCertificateValidation : disabilita la convalida dei certificati SSL. Valore predefinito falso (convalida abilitata). Se impostato su true, i certificati non vengono convalidati (tutti i certificati sono attendibili) e il parametro
rootCaCertificatePath
viene ignorato. - parallelism : il numero massimo di richieste parallele. Il valore predefinito è 1 (nessun parallelismo).
- includePubsubMessage : include il messaggio Pub/Sub completo nel payload. Predefinita falso (solo l'elemento di dati è incluso nel payload).
- tokenKMSEncryptionKey : la chiave Cloud KMS da utilizzare per decriptare la stringa del token HEC. Questo parametro deve essere fornito se tokenSource è impostato su KMS. Se viene fornita la chiave Cloud KMS, la stringa del token HEC
must
deve essere passata in forma criptata. ad esempio projects/your-project-id/locations/global/keyRings/your-keyring/cryptoKeys/your-key-name). - tokenSecretId : l'ID secret di Secret Manager per il token. Questo parametro deve essere fornito quando tokenSource è impostato su SECRET_MANAGER. (Esempio: projects/your-project-id/secrets/your-secret/versions/your-secret-version).
- tokenSource : l'origine del token. Sono consentiti i seguenti valori:
PLAINTEXT
,KMS
eSECRET_MANAGER
. Devi fornire questo parametro quando viene utilizzato Secret Manager. Se il criteriotokenSource
è impostato suKMS
,tokenKMSEncryptionKey
e criptato, è necessario specificaretoken
. Se il criteriotokenSource
viene impostato suSECRET_MANAGER
, è necessario specificaretokenSecretId
. Se il criteriotokenSource
viene impostato suPLAINTEXT
, è necessario specificaretoken
. - rootCaCertificatePath : l'URL completo del certificato CA radice in Cloud Storage. Il certificato fornito in Cloud Storage deve essere codificato DER e può essere fornito con codifica binaria o stampabile (Base64). Se il certificato viene fornito nella codifica Base64, deve essere limitato all'inizio da -----BEGIN CERTIFICATE----- e deve essere limitato alla fine da -----END CERTIFICATE-----. Se viene fornito questo parametro, il file del certificato CA privato viene recuperato e aggiunto all'archivio di attendibilità del worker Dataflow per verificare il certificato SSL dell'endpoint Splunk HEC. Se questo parametro non viene fornito, viene utilizzato l'archivio di attendibilità predefinito. Esempio: gs://mybucket/mycerts/privateCA.crt.
- enableBatchLogs : specifica se i log devono essere abilitati per i batch scritti su Splunk. Valore predefinito:
true
. - enableGzipHttpCompression : specifica se le richieste HTTP inviate a Splunk HEC devono essere compresse (contenuti gzip codificati). Valore predefinito:
true
. - javascriptTextTransformGcsPath : l'URI Cloud Storage del file .js che definisce la funzione definita dall'utente (UDF) JavaScript da utilizzare. Ad esempio,
gs://my-bucket/my-udfs/my_file.js
. - javascriptTextTransformFunctionName : il nome della funzione definita dall'utente (UDF) JavaScript da utilizzare. Ad esempio, se il codice della funzione JavaScript è
myTransform(inJson) { /*...do stuff...*/ }
, il nome della funzione èmyTransform
. Per esempi di funzioni JavaScript definite dall'utente, consulta gli esempi di funzioni definite dall'utente (https://github.com/GoogleCloudPlatform/DataflowTemplates#udf-examples). - javascriptTextTransformReloadIntervalMinutes : definisci l'intervallo che i worker possono verificare per le modifiche della funzione JavaScript definita dall'utente per ricaricare i file. Il valore predefinito è 0.
Funzione definita dall'utente
Facoltativamente, puoi estendere questo modello scrivendo una funzione definita dall'utente dall'utente. Il modello chiama la funzione definita dall'utente per ogni elemento di input. I payload degli elementi sono serializzati come stringhe JSON. Per ulteriori informazioni, consulta Creare funzioni definite dall'utente per i modelli Dataflow.
Specifica della funzione
La funzione definita dall'utente ha la seguente specifica:
- Input: il campo dati del messaggio Pub/Sub, serializzato come stringa JSON.
- Output: i dati sugli eventi da inviare all'endpoint eventi Splunk HEC. L'output deve essere una stringa o un oggetto JSON con stringhe.
Esegui il modello
Console
- Vai alla pagina Crea job da modello di Dataflow. Vai a Crea job da modello
- Nel campo Nome job, inserisci un nome univoco per il job.
- (Facoltativo) Per Endpoint a livello di regione, seleziona un valore dal menu a discesa. La regione predefinita è
us-central1
.Per un elenco di regioni in cui è possibile eseguire un job Dataflow, consulta Località di Dataflow.
- Dal menu a discesa Modello Dataflow, seleziona the Pub/Sub to Splunk template.
- Inserisci i valori parametro negli appositi campi.
- (Facoltativo) Per passare dall'elaborazione "exactly-once" alla modalità flusso di dati Almeno una volta, seleziona Almeno una volta.
- Fai clic su Esegui job.
gcloud
Nella shell o nel terminale, esegui il modello:
gcloud dataflow jobs run JOB_NAME \ --gcs-location gs://dataflow-templates-REGION_NAME/VERSION/Cloud_PubSub_to_Splunk \ --region REGION_NAME \ --staging-location STAGING_LOCATION \ --parameters \ inputSubscription=projects/PROJECT_ID/subscriptions/INPUT_SUBSCRIPTION_NAME,\ token=TOKEN,\ url=URL,\ outputDeadletterTopic=projects/PROJECT_ID/topics/DEADLETTER_TOPIC_NAME,\ javascriptTextTransformGcsPath=PATH_TO_JAVASCRIPT_UDF_FILE,\ javascriptTextTransformFunctionName=JAVASCRIPT_FUNCTION,\ batchCount=BATCH_COUNT,\ parallelism=PARALLELISM,\ disableCertificateValidation=DISABLE_VALIDATION,\ rootCaCertificatePath=ROOT_CA_CERTIFICATE_PATH
Sostituisci quanto segue:
JOB_NAME
: un nome job univoco a tua sceltaREGION_NAME
: la regione in cui vuoi eseguire il deployment del job Dataflow, ad esempious-central1
VERSION
: la versione del modello che vuoi utilizzarePuoi utilizzare i seguenti valori:
latest
per utilizzare la versione più recente del modello, disponibile nella cartella padre non con data del bucket: gs://dataflow-templates-REGION_NAME/latest/- il nome della versione, ad esempio
2023-09-12-00_RC00
, per utilizzare una versione specifica del modello, che è possibile trovare nidificata nella rispettiva cartella principale con data nel bucket: gs://dataflow-templates-REGION_NAME/
STAGING_LOCATION
: la posizione per i file locali di gestione temporanea (ad esempio,gs://your-bucket/staging
)INPUT_SUBSCRIPTION_NAME
: il nome della sottoscrizione Pub/SubTOKEN
: token Http Event Collector di SplunkURL
: il percorso dell'URL per il raccoglitore di eventi HTTP di Splunk (ad esempio,https://splunk-hec-host:8088
)DEADLETTER_TOPIC_NAME
: il nome dell'argomento Pub/SubJAVASCRIPT_FUNCTION
: il nome della funzione definita dall'utente (UDF) JavaScript che vuoi utilizzareAd esempio, se il codice della funzione JavaScript è
myTransform(inJson) { /*...do stuff...*/ }
, il nome della funzione èmyTransform
. Per esempi di funzioni JavaScript definite dall'utente, consulta gli esempi di funzioni definite dall'utente.PATH_TO_JAVASCRIPT_UDF_FILE
: L'URI Cloud Storage del file.js
che definisce la funzione JavaScript definita dall'utente che vuoi utilizzare, ad esempiogs://my-bucket/my-udfs/my_file.js
BATCH_COUNT
: la dimensione del batch da utilizzare per inviare più eventi a SplunkPARALLELISM
: il numero di richieste parallele da utilizzare per l'invio di eventi a SplunkDISABLE_VALIDATION
:true
se vuoi disabilitare la convalida dei certificati SSLROOT_CA_CERTIFICATE_PATH
: il percorso del certificato CA radice in Cloud Storage (ad esempio,gs://your-bucket/privateCA.crt
)
API
Per eseguire il modello utilizzando l'API REST, invia una richiesta POST HTTP. Per maggiori informazioni
sull'API e sui relativi ambiti di autorizzazione, consulta
projects.templates.launch
.
POST https://dataflow.googleapis.com/v1b3/projects/PROJECT_ID/locations/LOCATION/templates:launch?gcsPath=gs://dataflow-templates-LOCATION/VERSION/Cloud_PubSub_to_Splunk { "jobName": "JOB_NAME", "environment": { "ipConfiguration": "WORKER_IP_UNSPECIFIED", "additionalExperiments": [] }, "parameters": { "inputSubscription": "projects/PROJECT_ID/subscriptions/INPUT_SUBSCRIPTION_NAME", "token": "TOKEN", "url": "URL", "outputDeadletterTopic": "projects/PROJECT_ID/topics/DEADLETTER_TOPIC_NAME", "javascriptTextTransformGcsPath": "PATH_TO_JAVASCRIPT_UDF_FILE", "javascriptTextTransformFunctionName": "JAVASCRIPT_FUNCTION", "batchCount": "BATCH_COUNT", "parallelism": "PARALLELISM", "disableCertificateValidation": "DISABLE_VALIDATION", "rootCaCertificatePath": "ROOT_CA_CERTIFICATE_PATH" } }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud in cui vuoi eseguire il job DataflowJOB_NAME
: un nome job univoco a tua sceltaLOCATION
: la regione in cui vuoi eseguire il deployment del job Dataflow, ad esempious-central1
VERSION
: la versione del modello che vuoi utilizzarePuoi utilizzare i seguenti valori:
latest
per utilizzare la versione più recente del modello, disponibile nella cartella padre non con data del bucket: gs://dataflow-templates-REGION_NAME/latest/- il nome della versione, ad esempio
2023-09-12-00_RC00
, per utilizzare una versione specifica del modello, che è possibile trovare nidificata nella rispettiva cartella principale con data nel bucket: gs://dataflow-templates-REGION_NAME/
STAGING_LOCATION
: la posizione per i file locali di gestione temporanea (ad esempio,gs://your-bucket/staging
)INPUT_SUBSCRIPTION_NAME
: il nome della sottoscrizione Pub/SubTOKEN
: token Http Event Collector di SplunkURL
: il percorso dell'URL per il raccoglitore di eventi HTTP di Splunk (ad esempio,https://splunk-hec-host:8088
)DEADLETTER_TOPIC_NAME
: il nome dell'argomento Pub/SubJAVASCRIPT_FUNCTION
: il nome della funzione definita dall'utente (UDF) JavaScript che vuoi utilizzareAd esempio, se il codice della funzione JavaScript è
myTransform(inJson) { /*...do stuff...*/ }
, il nome della funzione èmyTransform
. Per esempi di funzioni JavaScript definite dall'utente, consulta gli esempi di funzioni definite dall'utente.PATH_TO_JAVASCRIPT_UDF_FILE
: L'URI Cloud Storage del file.js
che definisce la funzione JavaScript definita dall'utente che vuoi utilizzare, ad esempiogs://my-bucket/my-udfs/my_file.js
BATCH_COUNT
: la dimensione del batch da utilizzare per inviare più eventi a SplunkPARALLELISM
: il numero di richieste parallele da utilizzare per l'invio di eventi a SplunkDISABLE_VALIDATION
:true
se vuoi disabilitare la convalida dei certificati SSLROOT_CA_CERTIFICATE_PATH
: il percorso del certificato CA radice in Cloud Storage (ad esempio,gs://your-bucket/privateCA.crt
)
Passaggi successivi
- Scopri di più sui modelli Dataflow.
- Consulta l'elenco dei modelli forniti da Google.