Modello Pub/Sub to Splunk

Il modello Pub/Sub-Splunk è una pipeline di elaborazione di flussi di dati che legge i messaggi di una sottoscrizione Pub/Sub e scrive il payload dei messaggi in Splunk utilizzando il protocollo HTTP Event Collector (HEC) di Splunk. Il caso d'uso più comune di questo modello è l'esportazione dei log in Splunk. Per un esempio del flusso di lavoro sottostante, consulta Eseguire il deployment di esportazioni di log pronte per la produzione in Splunk utilizzando Dataflow.

Prima di scrivere in Splunk, puoi anche applicare una funzione definita dall'utente JavaScript al payload del messaggio. I messaggi che presentano errori di elaborazione vengono inoltrati a un argomento Pub/Sub non elaborato per un'ulteriore risoluzione dei problemi e rielaborazione.

Come ulteriore livello di protezione per il token HEC, puoi anche passare una chiave Cloud KMS insieme al parametro del token HEC codificato in base64 criptato con la chiave Cloud KMS. Consulta l'endpoint di crittografia dell'API Cloud KMS per ulteriori dettagli sulla crittografia del parametro del token HEC.

Requisiti della pipeline

  • La sottoscrizione Pub/Sub di origine deve esistere prima dell'esecuzione della pipeline.
  • L'argomento Pub/Sub non elaborato deve esistere prima dell'esecuzione della pipeline.
  • L'endpoint HEC di Splunk deve essere accessibile dalla rete dei worker di Dataflow.
  • Il token HEC di Splunk deve essere generato e disponibile.

Parametri del modello

Parametri obbligatori

  • inputSubscription: la sottoscrizione Pub/Sub da cui leggere l'input. Ad esempio, projects/your-project-id/subscriptions/your-subscription-name.
  • url: l'URL HEC di Splunk. L'URL deve essere instradabile dal VPC in cui viene eseguita la pipeline. Ad esempio, https://splunk-hec-host:8088.
  • outputDeadletterTopic: l'argomento Pub/Sub a cui inoltrare i messaggi non recapitabili. Ad esempio, projects/<PROJECT_ID>/topics/<TOPIC_NAME>.

Parametri facoltativi

  • token: il token di autenticazione HEC di Splunk. Deve essere fornito se il parametro tokenSource è impostato su PLAINTEXT o KMS.
  • batchCount: le dimensioni del batch per l'invio di più eventi a Splunk. Il valore predefinito è 1 (nessun raggruppamento).
  • disableCertificateValidation: disattiva la convalida del certificato SSL. Valore predefinito false (convalida abilitata). Se true, i certificati non vengono convalidati (tutti i certificati sono attendibili) e il parametro rootCaCertificatePath viene ignorato.
  • parallelism: il numero massimo di richieste parallele. Il valore predefinito è 1 (nessun parallelismo).
  • includePubsubMessage: include il messaggio Pub/Sub completo nel payload. Valore predefinito false (solo l'elemento dati è incluso nel payload).
  • tokenKMSEncryptionKey: la chiave Cloud KMS da utilizzare per decriptare la stringa del token HEC. Questo parametro deve essere fornito quando tokenSource è impostato su KMS. Se viene fornita la chiave Cloud KMS, la stringa del token HEC deve essere passata sottoposta a crittografia. Ad esempio, projects/your-project-id/locations/global/keyRings/your-keyring/cryptoKeys/your-key-name.
  • tokenSecretId: l'ID secret di Secret Manager per il token. Questo parametro deve essere fornito quando tokenSource è impostato su SECRET_MANAGER. Ad esempio: projects/your-project-id/secrets/your-secret/versions/your-secret-version.
  • tokenSource: l'origine del token. Sono consentiti i seguenti valori: PLAINTEXT, KMS e SECRET_MANAGER. Devi fornire questo parametro quando utilizzi Secret Manager. Se tokenSource è impostato su KMS, tokenKMSEncryptionKey e criptato, è necessario fornire token. Se tokenSource è impostato su SECRET_MANAGER, è necessario fornire tokenSecretId. Se tokenSource è impostato su PLAINTEXT, è necessario fornire token.
  • rootCaCertificatePath: l'URL completo del certificato CA radice in Cloud Storage. Il certificato fornito in Cloud Storage deve essere codificato in DER e può essere fornito in codifica binaria o stampabile (Base64). Se il certificato è fornito in codifica Base64, deve essere delimitato all'inizio da -----BEGIN CERTIFICATE----- e alla fine da -----END CERTIFICATE-----. Se viene fornito questo parametro, il file del certificato CA privato viene recuperato e aggiunto all'archivio attendibile del worker Dataflow per verificare il certificato SSL dell'endpoint HEC di Splunk. Se questo parametro non viene fornito, viene utilizzato il trust store predefinito. Ad esempio, gs://mybucket/mycerts/privateCA.crt.
  • enableBatchLogs: specifica se i log devono essere attivati per i batch scritti in Splunk. Valore predefinito: true.
  • enableGzipHttpCompression: specifica se le richieste HTTP inviate a Splunk HEC devono essere compresse (codifica dei contenuti gzip). Valore predefinito: true.
  • javascriptTextTransformGcsPath: l'URI Cloud Storage del file .js che definisce la funzione JavaScript definita dall'utente (UDF) da utilizzare. Ad esempio, gs://my-bucket/my-udfs/my_file.js.
  • javascriptTextTransformFunctionName: il nome della funzione definita dall'utente (UDF) JavaScript da utilizzare. Ad esempio, se il codice della funzione JavaScript è myTransform(inJson) { /*...do stuff...*/ }, il nome della funzione è myTransform. Per esempi di funzioni JavaScript definite dall'utente, consulta Esempi di funzioni UDF (https://github.com/GoogleCloudPlatform/DataflowTemplates#udf-examples).
  • javascriptTextTransformReloadIntervalMinutes: definisci l'intervallo in cui i worker possono verificare la presenza di modifiche alle funzioni definite dall'utente JavaScript per ricaricare i file. Il valore predefinito è 0.

Funzione definita dall'utente

Se vuoi, puoi estendere questo modello scrivendo una funzione definita dall'utente (UDF). Il modello chiama la UDF per ogni elemento di input. I payload degli elementi vengono serializzati come stringhe JSON. Per ulteriori informazioni, consulta Creare funzioni predefinite dall'utente per i modelli Dataflow.

Specifiche della funzione

La UDF ha la seguente specifica:

  • Input: il campo dei dati del messaggio Pub/Sub, serializzato come stringa JSON.
  • Output: i dati sugli eventi da inviare all'endpoint degli eventi HEC di Splunk. L'output deve essere una stringa o un oggetto JSON sotto forma di stringa.

Esegui il modello

Console

  1. Vai alla pagina Crea job da modello di Dataflow.
  2. Vai a Crea job da modello
  3. Nel campo Nome job, inserisci un nome univoco per il job.
  4. (Facoltativo) Per Endpoint a livello di regione, seleziona un valore dal menu a discesa. La regione predefinita è us-central1.

    Per un elenco delle regioni in cui puoi eseguire un job Dataflow, consulta Località di Dataflow.

  5. Nel menu a discesa Modello di flusso di dati, seleziona the Pub/Sub to Splunk template.
  6. Nei campi dei parametri forniti, inserisci i valori dei parametri.
  7. (Facoltativo) Per passare dall'elaborazione exactly-once alla modalità di streaming Almeno una volta, seleziona Almeno una volta.
  8. Fai clic su Esegui job.

gcloud

Nella shell o nel terminale, esegui il modello:

gcloud dataflow jobs run JOB_NAME \
    --gcs-location gs://dataflow-templates-REGION_NAME/VERSION/Cloud_PubSub_to_Splunk \
    --region REGION_NAME \
    --staging-location STAGING_LOCATION \
    --parameters \
inputSubscription=projects/PROJECT_ID/subscriptions/INPUT_SUBSCRIPTION_NAME,\
token=TOKEN,\
url=URL,\
outputDeadletterTopic=projects/PROJECT_ID/topics/DEADLETTER_TOPIC_NAME,\
javascriptTextTransformGcsPath=PATH_TO_JAVASCRIPT_UDF_FILE,\
javascriptTextTransformFunctionName=JAVASCRIPT_FUNCTION,\
batchCount=BATCH_COUNT,\
parallelism=PARALLELISM,\
disableCertificateValidation=DISABLE_VALIDATION,\
rootCaCertificatePath=ROOT_CA_CERTIFICATE_PATH

Sostituisci quanto segue:

  • JOB_NAME: un nome di job univoco a tua scelta
  • REGION_NAME: la regione in cui vuoi eseguire il deployment del job Dataflow, ad esempio us-central1
  • VERSION: la versione del modello che vuoi utilizzare

    Puoi utilizzare i seguenti valori:

  • STAGING_LOCATION: la posizione per l'organizzazione in anteprima dei file locali (ad esempio gs://your-bucket/staging)
  • INPUT_SUBSCRIPTION_NAME: il nome della sottoscrizione Pub/Sub
  • TOKEN: token della Raccolta eventi HTTP di Splunk
  • URL: il percorso dell'URL per la raccolta eventi HTTP di Splunk (ad esempio https://splunk-hec-host:8088)
  • DEADLETTER_TOPIC_NAME: il nome dell'argomento Pub/Sub
  • JAVASCRIPT_FUNCTION: il nome della funzione definita dall'utente (UDF) JavaScript che vuoi utilizzare

    Ad esempio, se il codice della funzione JavaScript è myTransform(inJson) { /*...do stuff...*/ }, il nome della funzione è myTransform. Per esempi di funzioni JavaScript definite dall'utente, consulta Esempi di funzioni UDF.

  • PATH_TO_JAVASCRIPT_UDF_FILE: l'URI Cloud Storage del file .js che definisce la funzione JavaScript definita dall'utente (UDF) che vuoi utilizzare, ad esempio gs://my-bucket/my-udfs/my_file.js
  • BATCH_COUNT: la dimensione del batch da utilizzare per l'invio di più eventi a Splunk
  • PARALLELISM: il numero di richieste parallele da utilizzare per l'invio di eventi a Splunk
  • DISABLE_VALIDATION: true se vuoi disattivare la convalida del certificato SSL
  • ROOT_CA_CERTIFICATE_PATH: il percorso del certificato CA principale in Cloud Storage (ad esempio gs://your-bucket/privateCA.crt)

API

Per eseguire il modello utilizzando l'API REST, invia una richiesta POST HTTP. Per ulteriori informazioni sull'API e sui relativi ambiti di autorizzazione, consulta projects.templates.launch.

POST https://dataflow.googleapis.com/v1b3/projects/PROJECT_ID/locations/LOCATION/templates:launch?gcsPath=gs://dataflow-templates-LOCATION/VERSION/Cloud_PubSub_to_Splunk
{
   "jobName": "JOB_NAME",
   "environment": {
       "ipConfiguration": "WORKER_IP_UNSPECIFIED",
       "additionalExperiments": []
   },
   "parameters": {
       "inputSubscription": "projects/PROJECT_ID/subscriptions/INPUT_SUBSCRIPTION_NAME",
       "token": "TOKEN",
       "url": "URL",
       "outputDeadletterTopic": "projects/PROJECT_ID/topics/DEADLETTER_TOPIC_NAME",
       "javascriptTextTransformGcsPath": "PATH_TO_JAVASCRIPT_UDF_FILE",
       "javascriptTextTransformFunctionName": "JAVASCRIPT_FUNCTION",
       "batchCount": "BATCH_COUNT",
       "parallelism": "PARALLELISM",
       "disableCertificateValidation": "DISABLE_VALIDATION",
       "rootCaCertificatePath": "ROOT_CA_CERTIFICATE_PATH"
   }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud in cui vuoi eseguire il job Dataflow
  • JOB_NAME: un nome di job univoco a tua scelta
  • LOCATION: la regione in cui vuoi eseguire il deployment del job Dataflow, ad esempio us-central1
  • VERSION: la versione del modello che vuoi utilizzare

    Puoi utilizzare i seguenti valori:

  • STAGING_LOCATION: la posizione per l'organizzazione in anteprima dei file locali (ad esempio gs://your-bucket/staging)
  • INPUT_SUBSCRIPTION_NAME: il nome della sottoscrizione Pub/Sub
  • TOKEN: token della Raccolta eventi HTTP di Splunk
  • URL: il percorso dell'URL per la raccolta eventi HTTP di Splunk (ad esempio https://splunk-hec-host:8088)
  • DEADLETTER_TOPIC_NAME: il nome dell'argomento Pub/Sub
  • JAVASCRIPT_FUNCTION: il nome della funzione definita dall'utente (UDF) JavaScript che vuoi utilizzare

    Ad esempio, se il codice della funzione JavaScript è myTransform(inJson) { /*...do stuff...*/ }, il nome della funzione è myTransform. Per esempi di funzioni JavaScript definite dall'utente, consulta Esempi di funzioni UDF.

  • PATH_TO_JAVASCRIPT_UDF_FILE: l'URI Cloud Storage del file .js che definisce la funzione JavaScript definita dall'utente (UDF) che vuoi utilizzare, ad esempio gs://my-bucket/my-udfs/my_file.js
  • BATCH_COUNT: la dimensione del batch da utilizzare per l'invio di più eventi a Splunk
  • PARALLELISM: il numero di richieste parallele da utilizzare per l'invio di eventi a Splunk
  • DISABLE_VALIDATION: true se vuoi disattivare la convalida del certificato SSL
  • ROOT_CA_CERTIFICATE_PATH: il percorso del certificato CA principale in Cloud Storage (ad esempio gs://your-bucket/privateCA.crt)

Passaggi successivi