Splunk

Il connettore Splunk consente di eseguire operazioni di inserimento, eliminazione, aggiornamento e lettura sul database Splunk.

Prima di iniziare

Prima di utilizzare il connettore Splunk, esegui le seguenti attività:

  • Nel tuo progetto Google Cloud:
    • Concedi il ruolo IAM roles/connectors.admin all'utente. configurazione del connettore.
    • Concedi i seguenti ruoli IAM all'account di servizio che vuoi utilizzare per il connettore:
      • roles/secretmanager.viewer
      • roles/secretmanager.secretAccessor

      Un account di servizio è un tipo speciale di Account Google destinato a rappresentare un utente "non umano" che deve eseguire l'autenticazione ed essere autorizzato ad accedere ai dati nelle API Google. Se non hai un account di servizio, devi crearne uno. Per maggiori informazioni, consulta Creare un account di servizio.

    • Attiva i seguenti servizi:
      • secretmanager.googleapis.com (API Secret Manager)
      • connectors.googleapis.com (API Connectors)

      Per informazioni su come abilitare i servizi, vedi Attivazione dei servizi.

    Se questi servizi o autorizzazioni non sono stati abilitati in precedenza per il tuo progetto, ti viene chiesto di abilitarli durante la configurazione del connettore.

Configurazione Splunk

Configura il connettore

Per configurare il connettore devi creare una connessione all'origine dati (sistema di backend). Una connessione è specifica per un'origine dati. Ciò significa che se hai molte origini dati, devi creare una connessione distinta per ciascuna. Per creare una connessione:

  1. Nella console Cloud, vai a Connettori di integrazione > Pagina Connessioni e poi selezionare o creare un progetto Google Cloud.

    Vai alla pagina Connessioni

  2. Fai clic su + CREA NUOVO per aprire la pagina Crea connessione.
  3. Nella sezione Località, scegli la località della connessione.
    1. Regione: seleziona una località dall'elenco a discesa.

      Per l'elenco di tutte le aree geografiche supportate, consulta la sezione Località.

    2. Fai clic su AVANTI.
  4. Nella sezione Dettagli connessione, completa i seguenti passaggi:
    1. Connettore: seleziona Splunk dall'elenco a discesa dei connettori disponibili.
    2. Versione del connettore: seleziona la versione del connettore dall'elenco a discesa delle versioni disponibili.
    3. Nel campo Nome connessione, inserisci un nome per l'istanza di connessione.

      I nomi delle connessioni devono soddisfare i seguenti criteri:

      • I nomi delle connessioni possono contenere lettere, numeri o trattini.
      • Le lettere devono essere minuscole.
      • I nomi delle connessioni devono iniziare con una lettera e terminare con una lettera o un numero.
      • I nomi delle connessioni non possono contenere più di 49 caratteri.
    4. Facoltativamente, inserisci una descrizione per l'istanza di connessione.
    5. Se vuoi, attiva Cloud Logging e poi seleziona un livello di log. Per impostazione predefinita, il livello di log è impostato su Error.
    6. Account di servizio: seleziona un account di servizio con i ruoli richiesti.
    7. (Facoltativo) Configura le impostazioni del nodo di connessione:

      • Numero minimo di nodi: inserisci il numero minimo di nodi di connessione.
      • Numero massimo di nodi: inserisci il numero massimo di nodi di connessione.

      Un nodo è un'unità (o una replica) di una connessione che elabora le transazioni. Sono necessari più nodi per elaborare più transazioni per una connessione e, per elaborare meno transazioni. Per capire in che modo i nodi influiscono sui prezzi dei connettori, consulta Prezzi per i nodi di connessione. Se non inserisci alcun valore, per impostazione predefinita il numero minimo di nodi è impostato su 2 (per una migliore disponibilità) e il numero massimo di nodi è impostato su 50.

    8. Facoltativamente, fai clic su + AGGIUNGI ETICHETTA per aggiungere un'etichetta alla connessione sotto forma di coppia chiave/valore.
    9. Fai clic su AVANTI.
  5. Nella sezione Destinazioni, inserisci i dettagli dell'host remoto (sistema di backend) a cui vuoi connetterti.
    1. Tipo di destinazione: seleziona un Tipo di destinazione.
      • Seleziona Indirizzo host dall'elenco per specificare il nome host o l'indirizzo IP della destinazione.
      • Se vuoi stabilire una connessione privata ai tuoi sistemi di backend, seleziona Allegato endpoint dall'elenco, quindi seleziona l'allegato endpoint richiesto dall'elenco Allegato endpoint.

      Se vuoi stabilire una connessione pubblica ai tuoi sistemi di backend con una maggiore sicurezza, puoi prendere in considerazione la configurazione di indirizzi IP statici in uscita per le tue connessioni, quindi configurare le regole del firewall in modo da inserire nella lista consentita solo gli indirizzi IP statici specifici.

      Per inserire altre destinazioni, fai clic su + AGGIUNGI DESTINAZIONE.

    2. Fai clic su AVANTI.
  6. Nella sezione Autenticazione, inserisci i dettagli di autenticazione.
    1. Seleziona un Tipo di autenticazione e inserisci i dettagli pertinenti.

      La connessione Splunk supporta i seguenti tipi di autenticazione:

      • Nome utente e password (autenticazione di base)
      • AccessToken
      • HTTPEventCollectorToken
    2. Per informazioni su come configurare questi tipi di autenticazione, consulta l'articolo Configurare l'autenticazione.

    3. Fai clic su AVANTI.
  7. Rivedi: controlla i dettagli di connessione e autenticazione.
  8. Fai clic su Crea.

Configura autenticazione

Inserisci i dettagli in base all'autenticazione che vuoi utilizzare.

  • Nome utente e password
    • Nome utente: il nome utente di Splunk da utilizzare per la connessione.
    • Password: secret di Secret Manager contenente la password associata al nome utente Splunk.
  • AccessToken: imposta questo valore per eseguire l'autenticazione basata su token utilizzando la proprietà AccessToken.
  • HTTPEventCollectorToken: imposta questo valore per eseguire l'autenticazione basata su token utilizzando la proprietà HTTPEventCollectorToken.

Esempi di configurazione delle connessioni

Questa sezione elenca i valori di esempio per i vari campi configurati durante la creazione della connessione.

Autenticazione di base mediante SSL

Nome campo Dettagli
Località us-central1
Connettore Splunk
Versione del connettore 1
Nome collegamento splunk-normal-connection
Abilita Cloud Logging
Account di servizio SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.googleserviceaccount.com
Livello di verbosità 5
Numero minimo di nodi 2
Numero massimo di nodi 50
Attiva SSL
Connessione non sicura dell'archivio attendibilità
Tipo di destinazione(server) Indirizzo host
Indirizzo host https://10.128.0.22
Porta 8089
Password utente
Utente USER_NAME
Password PASSWORD
Versione secret 1

Raccoglitore eventi HTTP Splunk

Nome campo Dettagli
Località us-central1
Connettore Splunk
Versione del connettore 1
Nome collegamento splunk-http-event-coll-conn
Abilita Cloud Logging No
Account di servizio SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.googleserviceaccount.com
Livello di verbosità -
Numero minimo di nodi 2
Numero massimo di nodi 50
Attiva SSL
Connessione non sicura dell'archivio attendibilità
Tipo di destinazione(server) Indirizzo host
Indirizzo host 10.128.0.28
Porta 8088
Autenticazione basata su token della raccolta eventi HTTP
HTTPEventCollectorToken HTTP_EVENT_COLLECTOR_TOKEN
Versione secret 1

Per informazioni su come creare un token HEC sulla piattaforma Splunk, consulta Creare la raccolta eventi HTTP.

Entità, operazioni e azioni

Tutti i connettori di integrazione forniscono un livello di astrazione per gli oggetti l'applicazione connessa. Puoi accedere agli oggetti di un'applicazione solo tramite questa astrazione. L'astrazione ti viene esposta sotto forma di entità, operazioni e azioni.

  • Entità: un'entità può essere considerata un oggetto o un insieme di proprietà nel un'applicazione o un servizio connesso. La definizione di un'entità varia da un connettore all'altro. Ad esempio, in un connettore di database le tabelle sono le entità, in un connettore di file server le cartelle sono le entità e in un connettore di sistema di messaggistica le code sono le entità.

    Tuttavia, è possibile che un connettore non supporti o non disponga di entità. In questo caso, L'elenco Entities sarà vuoto.

  • Operazione: un'operazione è l'attività che è possibile eseguire su un'entità. Puoi eseguire su un'entità una delle seguenti operazioni:

    La selezione di un'entità dall'elenco disponibile genera un elenco di operazioni disponibili per l'entità. Per una descrizione dettagliata delle operazioni, consulta le operazioni sulle entità dell'attività Connettori. Tuttavia, se un connettore non supporta nessuna delle operazioni relative all'entità, come quelle non supportate operazioni non sono elencate nell'elenco Operations.

  • Azione: un'azione è una funzione di prima classe resa disponibile all'integrazione tramite l'interfaccia del connettore. Un'azione consente di apportare modifiche a una o più entità variano da connettore a connettore. Normalmente, un'azione ha alcuni parametri di input e un output . Tuttavia, è possibile che un connettore non supporta alcuna azione, nel qual caso l'elenco Actions sarà vuoto.

Limitazioni di sistema

Il connettore Splunk può elaborare 5 transazioni al secondo per nodo e limita le transazioni oltre questo limite. Tuttavia, il numero di transazioni che questo connettore può elaborare dipende anche dai vincoli imposti dall'istanza Splunk. Per impostazione predefinita, Integration Connectors alloca due nodi (per una migliore disponibilità) per una connessione.

Per informazioni sui limiti applicabili a Integration Connectors, vedi Limiti.

Azioni

Questa sezione elenca le azioni supportate dal connettore. Per capire come configurare le azioni, consulta Esempi di azioni.

Azione CreateHTTPEvent

Questa azione consente di inviare dati ed eventi dell'applicazione a un deployment Splunk tramite i protocolli HTTP e HTTPS.

Parametri di input dell'azione CreateHTTPEvent

Nome parametro Tipo di dati Obbligatorio Descrizione
EventContent Stringa Il nome della tabella o della visualizzazione.
ContentType Stringa No Il tipo di contenuti specificato per l'input EventContent. Lo strumento i valori sono JSON e RAWTEXT.
ChannelGUID Numero intero No Il GUID del canale utilizzato per l'evento. Devi specificare questo valore se ContentType è RAWTEXT.

Parametri di output dell'azione CreateHTTPEvent

Questa azione restituisce lo stato di esito dell'evento creato.

Azione CreateIndex

Questa azione consente di creare indici.

Parametri di input dell'azione CreateIndex

Nome parametro Tipo di dati Obbligatorio Descrizione
MaxMetaEntries Stringa No Imposta il numero massimo di righe univoche nei file .data in un bucket, il che può contribuire a ridurre il consumo di memoria.
FrozenTimePeriodInSecs Stringa No Numero di secondi dopo i quali i dati indicizzati vengono bloccati. Il valore predefinito è 188697600 (6 anni).
HomePath Stringa No Un percorso assoluto che contiene i bucket caldi e caldi dell'indice.
MinRawFileSyncSecs Stringa No Specifica un numero intero (o disable) per questo parametro. Questo parametro imposta la frequenza con cui splunkd forza una sincronizzazione del file system durante la compressione dei sezioni del log.
ProcessTrackerServiceInterval Stringa No Specifica, in secondi, la frequenza con cui l'indicizzatore controlla lo stato del sistema operativo figlio avviati per vedere se può avviare nuovi processi per le richieste in coda. Se impostato su 0, l'indice controlla lo stato del processo secondario ogni secondo.
ServiceMetaPeriod Stringa No Definisce la frequenza (in secondi) con cui i metadati vengono sincronizzati sul disco.
MaxHotSpanSecs Stringa No Limite superiore dell'intervallo di tempo massimo target (in secondi) dei bucket caldi o caldi.
QuarantinePastSecs Stringa No Gli eventi con timestamp di quarantinePastSecs precedente a >now vengono inseriti nel bucket di quarantena.
ColdToFrozenDir Stringa No Percorso di destinazione dell'archivio bloccato. Da utilizzare come alternativa a ColdToFrozenScript.
ColdPath Stringa No Un percorso assoluto che contiene i colddbs per l'indice. Il percorso deve essere leggibile e scrivibile.
MaxHotIdleSecs Stringa No Durata massima, in secondi, di un bucket caldo
WarmToColdScript Stringa No Percorso di uno script da eseguire quando si spostano i dati da "caldi" a "freddi".
ColdToFrozenScript Stringa No Percorso dello script di archiviazione.
MaxHotBuckets Stringa No Numero massimo di bucket attivi per indice.
TstatsHomePath Stringa No Posizione in cui archiviare i dati TSIDX dell'accelerazione del modello di dati per questo indice. Se specificato, deve essere definito nei termini di una definizione di volume. Il percorso deve essere scrivibile
RepFactor Stringa No Controllo di replica dell'indice. Questo parametro si applica solo ai nodi peer nel cluster.
  • auto - Utilizza il valore di configurazione della replica dell'indice master.
  • 0 - Disattiva la replica per questo indice.
MaxDataSize Stringa No La dimensione massima in MB che un database attivo può raggiungere prima che venga attivato un rollback a caldo. Se specifichi auto o auto_high_volume, viene generato Splunk per ottimizzare automaticamente questo parametro (consigliato).
MaxBloomBackfillBucketAge Stringa No I valori validi sono: integer[m|s|h|d] se un bucket caldo o freddo è precedente alla data specificata, non creare o ricreare il relativo bloomfilter. Specifica 0 per non ricreare mai i filtri Bloom.
BlockSignSize Stringa No Controlla il numero di eventi che compongono un blocco per le firme dei blocchi. Se è impostato su 0, la firma dei blocchi è disabilitata per questo indice. Il valore consigliato è 100.
Nome Stringa Il nome dell'indice da creare
MaxTotalDataSizeMB Stringa No La dimensione massima di un indice (in MB). Se un indice supera la dimensione massima, i dati meno recenti vengono bloccati.
MaxWarmDBCount Stringa No Il numero massimo di bucket attivi. Se questo numero viene superato, i bucket caldi con il valore più basso per gli ultimi orari viene spostato su freddo.
RawChunkSizeBytes Stringa No Dimensione non compressa target in byte per una singola sezione non elaborata nel journal dei dati non elaborati di dell'indice. 0 non è un valore valido. Se viene specificato 0, il valore predefinito viene impostato su rawChunkSizeBytes.
DataType Stringa No Specifica il tipo di indice
MaxConcurrentOptimizes Stringa No Il numero di processi di ottimizzazione simultanei che possono essere eseguiti su un bucket caldo.
ThrottleCheckPeriod Stringa No Definisce la frequenza (in secondi) con cui Splunk controlla la condizione di limitazione dell'indice.
SyncMeta Stringa No Se è true, viene chiamata un'operazione di sincronizzazione prima della chiusura del descrittore file per gli aggiornamenti dei file di metadati. Questa funzionalità migliora l'integrità dei file di metadati, in particolare in merito ad arresti anomali del sistema operativo o guasti dei computer.
RotatePeriodInSecs Stringa No La frequenza (in secondi) di verificare se è necessario creare un nuovo bucket caldo. Inoltre, come spesso per controllare se ci sono bucket caldi/freddi che devono essere arrotolati/congelati.

Parametri di output dell'azione CreateIndex

Questa azione restituisce il messaggio di conferma dell'azione CreateIndex.

Ad esempio, per scoprire come configurare l'azione CreateIndex, consulta Esempi di azioni.

Azione Create SavedSearch

Questa azione ti consente di salvare le ricerche

Parametri di input dell'azione CreateSavedSearch

Nome parametro Tipo di dati Obbligatorio Descrizione
IsVisible Booleano Indica se questa ricerca salvata compare nell'elenco di ricerche salvate visibili.
RealTimeSchedule Booleano Se questo valore è impostato su 1, lo scheduler si basa sulla determinazione del tempo di esecuzione della ricerca pianificata nell'ora corrente. Se questo valore è impostato su 0, viene determinato in base all'ora dell'ultima esecuzione della ricerca.
Cerca Stringa La query di ricerca da salvare
Descrizione Stringa No Descrizione di questa ricerca salvata
SchedulePriority Stringa Indica la priorità di pianificazione di una ricerca specifica
CronSchedule Stringa La pianificazione cron per eseguire questa ricerca. Ad esempio, */5 * * * * provoca l'esecuzione della ricerca ogni 5 minuti.
Nome Stringa Un nome per la ricerca
UserContext Stringa Se viene fornito il contesto utente, viene utilizzato il nodo servicesNS (/servicesNS/[UserContext]/search), altrimenti l'impostazione predefinita è l'endpoint generale, /services.
RunOnStartup Booleano Indica se questa ricerca viene eseguita all'avvio. Se non viene eseguita all'avvio, la ricerca viene eseguita all'ora pianificata successiva.
Disabilitato Booleano No Indica se la ricerca salvata è disabilitata.
IsScheduled Booleano Indica se questa ricerca deve essere eseguita in base a una pianificazione.

Parametri di output dell'azione CreateSavedSearch

Questa azione restituisce il messaggio di conferma dell'azione CreateSavedSearch.

Ad esempio, per scoprire come configurare l'azione CreateSavedSearch, consulta Esempi di azioni.

Azione Update SavedSearch

Questa azione ti consente di aggiornare una ricerca salvata.

Parametri di input dell'azione AggiornaRicercaSalvata

Nome parametro Tipo di dati Obbligatorio Descrizione
IsVisible Booleano Indica se questa ricerca salvata compare nell'elenco di ricerche salvate visibili.
RealTimeSchedule Booleano Se questo valore è impostato su 1, lo scheduler basa la determinazione della data e dell'ora di esecuzione della ricerca programmata successiva sull'ora corrente. Se questo valore è impostato su 0, viene determinato in base all'ora dell'ultima esecuzione della ricerca.
Cerca Stringa La query di ricerca da salvare
Descrizione Stringa No Descrizione di questa ricerca salvata
SchedulePriority Stringa Indica la priorità di pianificazione di una ricerca specifica
CronSchedule Stringa La pianificazione di cron per eseguire questa ricerca. Ad esempio, */5 * * * * attiva la ricerca ogni 5 minuti.
Nome Stringa Un nome per la ricerca
UserContext Stringa Se viene fornito il contesto utente, viene utilizzato il nodo servicesNS (/servicesNS/[UserContext]/search), in caso contrario, viene utilizzato l'endpoint generale /services.
RunOnStartup Booleano Indica se questa ricerca viene eseguita all'avvio. Se non viene eseguita all'avvio, la ricerca viene eseguita all'ora pianificata successiva.
Disabilitato Booleano No Indica se la ricerca salvata è disabilitata.
IsScheduled Booleano Indica se questa ricerca deve essere eseguita in base a una pianificazione.

Parametri di output dell'azione UpdateSavedSearch

Questa azione restituisce il messaggio di conferma dell'azione UpdateSavedSearch.

Ad esempio su come configurare l'azione UpdateSavedSearch consulta gli esempi di azioni.

Azione DeleteIndex

Questa azione ti consente di eliminare un indice.

Parametri di input dell'azione DeleteIndex

Nome parametro Tipo di dati Obbligatorio Descrizione
Nome Stringa Il nome dell'indice da eliminare.

Parametri di output dell'azione DeleteIndex

Questa azione restituisce il messaggio di conferma dell'azione DeleteIndex

Ad esempio, per scoprire come configurare l'azione DeleteIndex, consulta Esempi di azioni.

Azione UpdateIndex

Questa azione ti consente di aggiornare un indice.

Parametri di input dell'azione Aggiorna indice

Nome parametro Tipo di dati Obbligatorio Descrizione
MaxMetaEntries Stringa No Imposta il numero massimo di righe univoche nei file .data in un bucket, il che può contribuire a ridurre il consumo di memoria.
FrozenTimePeriodInSecs Stringa No Numero di secondi dopo i quali i dati indicizzati vengono bloccati. Il valore predefinito è 188697600 (6 anni).
HomePath Stringa No Un percorso assoluto che contiene i bucket caldi e caldi dell'indice.
MinRawFileSyncSecs Stringa No Specifica un numero intero (o disable) per questo parametro. Questo parametro imposta la frequenza con cui splunkd forza una sincronizzazione del file system durante la compressione dei sezioni del log.
ProcessTrackerServiceInterval Stringa No Specifica, in secondi, la frequenza con cui l'indicizzatore controlla lo stato dei processi OS secondari avviati per verificare se può avviare nuovi processi per le richieste in coda. Se impostato su 0, l'indice controlla lo stato del processo secondario ogni secondo.
ServiceMetaPeriod Stringa No Definisce la frequenza (in secondi) con cui i metadati vengono sincronizzati sul disco.
MaxHotSpanSecs Stringa No Limite superiore dell'intervallo di tempo massimo target (in secondi) dei bucket caldi o caldi.
QuarantinePastSecs Stringa No Gli eventi con timestamp di quarantinePastSecs precedente a now vengono inseriti nel bucket di quarantena.
ColdToFrozenDir Stringa No Percorso di destinazione dell'archivio bloccato. Da utilizzare come alternativa a ColdToFrozenScript.
ColdPath Stringa No Un percorso assoluto che contiene i colddbs per l'indice. Il percorso deve essere leggibile e scrivibile.
MaxHotIdleSecs Stringa No Durata massima, in secondi, di un bucket hot.
WarmToColdScript Stringa No Percorso di uno script da eseguire quando si spostano i dati da "caldi" a "freddi".
ColdToFrozenScript Stringa No Percorso dello script di archiviazione.
MaxHotBuckets Stringa No Numero massimo di bucket attivi per indice.
TstatsHomePath Stringa No Località in cui archiviare i dati TSIDX dell'accelerazione modello dati per questo indice. Se specificato, deve essere definito in termini di definizione del volume. Il percorso deve essere scrivibile
RepFactor Stringa No Controllo di replica dell'indice. Questo parametro si applica solo ai nodi peer nel cluster.
  • auto - Utilizza il valore di configurazione della replica dell'indice master.
  • 0 - Disattiva la replica per questo indice.
MaxDataSize Stringa No La dimensione massima in MB che un database attivo può raggiungere prima che venga attivato un rollback a caldo. Se specifichi auto o auto_high_volume, Splunk ottimizza automaticamente questo parametro (consigliato).
MaxBloomBackfillBucketAge Stringa No I valori validi sono: total[m|s|h|d] se un bucket caldo o freddo è più vecchio dell'età specificata, non creare né ricreare il proprio Bloomfilter. Specifica 0 per non ricostruire mai i filtri Bloom.
BlockSignSize Stringa No Controlla quanti eventi costituiscono un blocco per le firme a blocchi. Se è impostato su 0, la firma dei blocchi è disabilitata per questo indice. Un valore consigliato è 100.
Nome Stringa Il nome dell'indice da creare
MaxTotalDataSizeMB Stringa La dimensione massima di un indice (in MB). Se un indice supera la dimensione massima, vengono bloccati i dati meno recenti.
MaxWarmDBCount Stringa No Il numero massimo di bucket attivi. Se questo numero viene superato, i bucket caldi con il valore più basso per gli ultimi orari viene spostato su freddo.
RawChunkSizeBytes Stringa No Dimensione non compressa target in byte per una singola sezione non elaborata nel journal dei dati non elaborati dell'indice. 0 non è un valore valido. Se viene specificato 0, rawChunkSizeBytes viene impostato sul valore predefinito.
DataType Stringa No Specifica il tipo di indice
MaxConcurrentOptimizes Stringa No Il numero di processi di ottimizzazione simultanei che possono essere eseguiti su un bucket caldo.
ThrottleCheckPeriod Stringa No Definisce la frequenza (in secondi) con cui Splunk controlla la condizione di limitazione dell'indice.
SyncMeta Stringa No Se impostato su true, un'operazione di sincronizzazione viene chiamata prima della chiusura del descrittore del file nei metadati gli aggiornamenti dei file. Questa funzionalità migliora l'integrità dei file di metadati, soprattutto in relazione a ad arresti anomali del sistema operativo o guasti dei computer.
RotatePeriodInSecs Stringa No La frequenza (in secondi) di verificare se è necessario creare un nuovo bucket caldo. Inoltre, con quale frequenza controllare se ci sono bucket caldi o freddi che devono essere laminati o congelati.

Parametri di output dell'azione UpdateIndex

Questa azione restituisce il messaggio di conferma dell'azione Aggiorna indice.

Ad esempio, per scoprire come configurare l'azione UpdateIndex, consulta Esempi di azioni.

Esempi di azioni

Esempio: crea un evento HTTP

Questo esempio crea un evento HTTP.

  1. Nella finestra di dialogo Configure connector task, fai clic su Actions.
  2. Seleziona l'azione CreateHTTPEvent e poi fai clic su Fine.
  3. Nella sezione Input attività dell'attività Connettori, fai clic su connectorInputPayload, quindi inserisci un valore simile al seguente nella Campo Default Value:
    {
    "EventContent": "Testing Task",
    "ContentType": "RAWTEXT",
    "ChannelGUID": "ContentType=RAWTEXT"
    }
  4. Se l'azione ha esito positivo, il parametro di risposta connectorOutputPayload della task CreateHTTPEvent avrà un valore simile al seguente:

    [{
    "Success": "Success"
    }] 
    

Esempio: creare un indice

Questo esempio crea un indice.

  1. Nella finestra di dialogo Configure connector task, fai clic su Actions.
  2. Seleziona l'azione CreateIndex e poi fai clic su Fine.
  3. Nella sezione Input attività dell'attività Connettori, fai clic su connectorInputPayload e poi inserisci un valore simile al seguente nel campo Default Value:
    {
    "Name": "http_testing"
    }
  4. Se l'azione ha esito positivo, il parametro di risposta connectorOutputPayload della task CreateIndex avrà un valore simile al seguente:

    [{
    "AssureUTF8": null,
    "BlockSignSize": null,
    "BlockSignatureDatabase": null,
    "BucketRebuildMemoryHint": null,
    "ColdPath": null,
    "FrozenTimePeriodInSecs": null,
    "HomePath": null,
    "HomePathExpanded": null,
    "IndexThreads": null,
    "IsInternal": null,
    "MaxConcurrentOptimizes": null,
    "MaxDataSize": null,
    "MaxHotBuckets": null,
    "SuppressBannerList": null,
    "Sync": null,
    "SyncMeta": null,
    "ThawedPath": null,
    "ThawedPathExpanded": null,
    "TstatsHomePath": null,
    "WarmToColdScript": null,
    }]

Questo esempio crea una ricerca salvata.

  1. Nella finestra di dialogo Configure connector task, fai clic su Actions.
  2. Seleziona l'azione CreateSavedSearch e fai clic su Fine.
  3. Nella sezione Input attività dell'attività Connettori, fai clic su connectorInputPayload e poi inserisci un valore simile al seguente nel campo Default Value:
    {
    "Name": "test_created_g",
    "Search": "index=\"http_testing\"",
    "CronSchedule": "*/1 * * * *",
    "IsVisible": true,
    "RealTimeSchedule": true,
    "RunOnStartup": true,
    "IsScheduled": true,
    "SchedulePriority": "highest",
    "UserContext": "nobody"
    }
  4. Se l'azione ha esito positivo, il parametro di risposta connectorOutputPayload della task CreateSavedSearch avrà un valore simile al seguente:

    [{
    "Success": true,
    "Message": null
    }]

Questo esempio aggiorna una ricerca salvata.

  1. Nella finestra di dialogo Configure connector task, fai clic su Actions.
  2. Seleziona l'azione UpdateSavedSearch e poi fai clic su Fine.
  3. Nella sezione Input attività dell'attività Connettori, fai clic su connectorInputPayload e poi inserisci un valore simile al seguente nel campo Default Value:
    {
    "Name": "test_created_g",
    "Search": "index=\"december_test_data\"",
    "CronSchedule": "*/1 * * * *",
    "IsVisible": true,
    "RealTimeSchedule": true,
    "RunOnStartup": true,
    "IsScheduled": true,
    "SchedulePriority": "highest"
    }
  4. Se l'azione viene eseguita correttamente, Risposta connectorOutputPayload dell'attività UpdateSavedSearch avrà un valore simile al seguente:

    [{
    "Success": true,
    "Message": null
    }]

Esempio: elimina un indice

Questo esempio elimina un indice.

  1. Nella finestra di dialogo Configure connector task, fai clic su Actions.
  2. Seleziona l'azione DeleteIndex e fai clic su Fine.
  3. Nella sezione Input attività dell'attività Connettori, fai clic su connectorInputPayload e poi inserisci un valore simile al seguente nel campo Default Value:
    {
    "Name": "g_http_testing"
    }
  4. Se l'azione viene eseguita correttamente, Risposta connectorOutputPayload dell'attività DeleteIndex avrà un valore simile al seguente:

    [{
    "Success": true,
    "ErrorCode": null,
    "ErrorMessage": null
    }]

Esempio: aggiorna un indice

Questo esempio aggiorna un indice.

  1. Nella finestra di dialogo Configure connector task, fai clic su Actions.
  2. Seleziona l'azione UpdateIndex e poi fai clic su Fine.
  3. Nella sezione Input attività dell'attività Connettori, fai clic su connectorInputPayload e poi inserisci un valore simile al seguente nel campo Default Value:
    {
    "MaxTotalDataSizeMB": "400000",
    "Name": "g_http_testing"
    }
  4. Se l'azione ha esito positivo, il parametro di risposta connectorOutputPayload della task UpdateIndex avrà un valore simile al seguente:

    [{
    "AssureUTF8": false,
    "BlockSignSize": null,
    "BlockSignatureDatabase": null,
    "BucketRebuildMemoryHint": "auto",
    "ColdPath": "$SPLUNK_DB\\g_http_testing\\colddb",
    "ColdPathExpanded": "C:\\Program Files\\Splunk\\var\\lib\\splunk\\g_http_testing\\colddb",
    "ColdToFrozenDir": "",
    "ColdToFrozenScript": "",
    "CurrentDBSizeMB": 1.0,
    "DefaultDatabase": "main",
    "EnableOnlineBucketRepair": true,
    "EnableRealtimeSearch": true,
    "FrozenTimePeriodInSecs": 1.886976E8,
    "HomePath": "$SPLUNK_DB\\g_http_testing\\db",
    "HomePathExpanded": "C:\\Program Files\\Splunk\\var\\lib\\splunk\\g_http_testing\\db",
    "IndexThreads": "auto",
    "IsInternal": false,
    "LastInitTime": "2024-01-08 05:15:28.0",
    "MaxBloomBackfillBucketAge": "30d",
    "ThawedPath": "$SPLUNK_DB\\g_http_testing\\thaweddb",
    "ThawedPathExpanded": "C:\\Program Files\\Splunk\\var\\lib\\splunk\\g_http_testing\\thaweddb",
    "ThrottleCheckPeriod": 15.0,
    "TotalEventCount": 0.0,
    "TsidxDedupPostingsListMaxTermsLimit": 8388608.0,
    "TstatsHomePath": "volume:_splunk_summaries\\$_index_name\\datamodel_summary",
    "WarmToColdScript": "",
    "Success": true,
    "ErrorCode": null,
    "ErrorMessage": null
    }]

Esempi di operazioni con entità

Questa sezione mostra come eseguire alcune delle operazioni relative alle entità in questo connettore.

Esempio: elenca tutti i record

Questo esempio elenca tutti i record nell'entità SearchJobs.

  1. Nella finestra di dialogo Configure connector task, fai clic su Entities.
  2. Seleziona SearchJobs dall'elenco Entity.
  3. Seleziona l'operazione List e fai clic su Fine.
  4. Facoltativamente, nella sezione Input attività dell'attività Connettori, puoi filtra il set di risultati specificando una clausola di filtro. Specifica il valore della clausola di filtro sempre tra virgolette singole (').

Esempio: ottieni un record da un'entità

Questo esempio recupera un record con l'ID specificato dall'entità SearchJobs.

  1. Nella finestra di dialogo Configure connector task, fai clic su Entities.
  2. Seleziona SearchJobs dall'elenco Entity.
  3. Seleziona l'operazione Get e poi fai clic su Fine.
  4. Nella sezione Input dell'attività dell'attività Connettori, fai clic su EntityId e poi inserisci 1698309163.1300 nel campo Valore predefinito.

    In questo caso, 1698309163.1300 è un ID record univoco nell'entità SearchJobs.

Esempio: crea un record in un'entità

Questo esempio crea un record nell'entità SearchJobs.

  1. Nella finestra di dialogo Configure connector task, fai clic su Entities.
  2. Seleziona SearchJobs dall'elenco Entity.
  3. Seleziona l'operazione Create e fai clic su Fine.
  4. Nella sezione Data Mapper dell'attività Mappatura dei dati, fai clic su Open Data Mapping Editor, quindi inserisci un valore simile al seguente nel Input Value campo e scegli EntityId/ConnectorInputPayload come variabile locale.
    { 
    "EventSearch": "search (index=\"antivirus_logs\") sourcetype=access_combined | rex  \"(?\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3})\" | iplocation IP_address| table IP_address, City, Country" 
    } 
    

    Se l'integrazione è riuscita, il parametro di risposta connectorOutputPayload della task SearchJobs avrà un valore simile al seguente:

    {
    "Sid": "1699336785.1919"
    } 
    

Esempio: creare un record in un'entità

Questo esempio crea un record nell'entità DataModels.

  1. Nella finestra di dialogo Configure connector task, fai clic su Entities.
  2. Seleziona DataModels dall'elenco Entity.
  3. Seleziona l'operazione Create e fai clic su Fine.
  4. Nella sezione Input attività dell'attività Connettori, fai clic su connectorInputPayload, quindi inserisci un valore simile al seguente nella Campo Default Value:
    {
    "Id": "Test1",
    "Acceleration": "{\"enabled\":false,\"earliest_time\":\"\",
    \"max_time\":3600,\"backfill_time\":\"\",\"source_guid\":\"\",
    \"manual_rebuilds\":false,\"poll_buckets_until_maxtime\":false,
    \"max_concurrent\":3,\"allow_skew\":\"0\",\"schedule_priority\":\"default\"
    ,\"allow_old_summaries\":false,\"hunk.file_format\":\"\",\"hunk.dfs_block_size\":0,
    \"hunk.compression_codec\":\"\",\"workload_pool\":\"\"}"
    }

    Se l'integrazione è andata a buon fine, il campo connectorOutputPayload dell'attività del connettore avrà un valore simile al seguente:

    [{
    "Id": "Test1"
    }]

Esempio: elimina un record da un'entità

Questo esempio elimina il record con l'ID specificato nell'entità DataModels.

  1. Nella finestra di dialogo Configure connector task, fai clic su Entities.
  2. Seleziona DataModels dall'elenco Entity.
  3. Seleziona l'operazione Delete e fai clic su Fine.
  4. Nella sezione Input attività dell'attività Connettori, fai clic su entityId e poi inserisci Test1 nel campo Valore predefinito.

Esempio: aggiornare un record in un'entità

Questo esempio aggiorna un record nell'entità DataModels.

  1. Nella finestra di dialogo Configure connector task, fai clic su Entities.
  2. Seleziona DataModels dall'elenco Entity.
  3. Seleziona l'operazione Update e fai clic su Fine.
  4. Nella sezione Input attività dell'attività Connettori, fai clic su connectorInputPayload e poi inserisci un valore simile al seguente nel campo Default Value:
    {
    "Acceleration": "{\"enabled\":true,\"earliest_time\":\"-3mon\",
    \"cron_schedule\":\"*/5 * * * *\",\"max_time\":60,
    \"backfill_time\":\"\",\"source_guid\":\"\",\"manual_rebuilds\":false,
    \"poll_buckets_until_maxtime\":false,\"max_concurrent\":3,
    \"allow_skew\":\"0\",\"schedule_priority\":\"default\",
    \"allow_old_summaries\":false,\"hunk.file_format\":\"\",\"hunk.dfs_block_size\":0,
    \"hunk.compression_codec\":\"\",\"workload_pool\":\"\"}"
    }
  5. Fai clic su entityId e poi inserisci /servicesNS/nobody/search/datamodel/model/Testing nel campo Valore predefinito.

    Se l'integrazione ha esito positivo, il campo connectorOutputPayload dell'attività del connettore avrà un simile al seguente:

    [{
    "Id": "/servicesNS/nobody/search/datamodel/model/Testing"
    }]

Esempio: flusso di ricerca

Questa sezione elenca tutto il flusso di ricerca utilizzando un indice singolo e più indici.

Creare una ricerca utilizzando un singolo indice

  1. Nella finestra di dialogo Configure connector task, fai clic su Entities.
  2. Seleziona SearchJobs dall'elenco Entity.
  3. Seleziona l'operazione Create e fai clic su Fine.
  4. Nella sezione Data Mapper dell'attività Mappatura dei dati, fai clic su Open Data Mapping Editor, quindi inserisci un valore simile al seguente nel Input Value campo e scegli EntityId/ConnectorInputPayload come variabile locale.
    {
    "EventSearch": "search (index=\"http_testing\" sourcetype=\"googlecloud-testing\") "
    }
    

    Se l'integrazione va a buon fine, Risposta connectorOutputPayload dell'attività SearchJobs avrà un valore simile al seguente:

    {
    "Sid": "1726051471.76"
    } 
    

Operazione di elenco che utilizza il nome dell'indice utilizzato nella query di ricerca

  1. Nella finestra di dialogo Configure connector task, fai clic su Entities.
  2. Seleziona Index Name dall'elenco Entity.
  3. Seleziona l'operazione LIST e fai clic su Fine.
  4. Sezione Input attività dell'attività Connettori, puoi impostare filterClausola.

  5. Se l'integrazione è riuscita, il parametro di risposta connectorOutputPayload della task Index Name avrà un valore simile al seguente:

    [{
      "_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
      "_cd": "00:04:00",
      "_eventtype_color": null,
      "_indextime": 1.720702012E9,
      "_kv": null,
      "_raw": "hi How r yo\nplease\nfind \nmy notes",
      "_serial": 0.0,
      "_si": "googlecloud-bcone-splunk-vm\nhttp_testing",
      "_sourcetype": "googlecloud-testing",
      "_time": "2024-07-11 12:46:52.0",
      "eventtype": null,
      "host": "googlecloud-bcone-splunk-vm",
      "index": "http_testing",
      "linecount": 4.0,
      "punct": null,
      "source": "Testing.txt",
      "sourcetype": "googlecloud-testing",
      "splunk_server": "googlecloud-bcone-splunk-vm",
      "splunk_server_group": null,
      "timestamp": null,
      "JobId": "1726051471.76"
    }]
    

Crea una ricerca utilizzando più indici

  1. Nella finestra di dialogo Configure connector task, fai clic su Entities.
  2. Seleziona SearchJobs dall'elenco Entity.
  3. Seleziona l'operazione Create e fai clic su Fine.
  4. Nella sezione Data Mapper dell'attività Mappatura dei dati, fai clic su Open Data Mapping Editor, quindi inserisci un valore simile al seguente nel Input Value campo e scegli EntityId/ConnectorInputPayload come variabile locale.
    {
    "EventSearch": "search (index=\"http_testing\" OR index= \"googlecloud-demo\" sourcetype=\"googlecloud-testing\"  OR sourcetype=\"Demo_Text\")"
    }
    

    Se l'integrazione è riuscita, il parametro di risposta connectorOutputPayload della task SearchJobs avrà un valore simile al seguente:

    {
    "Sid": "1727261971.4007"
    } 
    

Elencare l'operazione tramite il nome degli indici utilizzato nella query di ricerca

  1. Nella finestra di dialogo Configure connector task, fai clic su Entities.
  2. Seleziona Index Name Nome dall'elenco Entity.
  3. Seleziona l'operazione LIST e fai clic su Fine.
  4. Nella sezione Input attività dell'attività Connettori, puoi impostare la clauseFilter, ad esempio JobId= '1727261971.4007'

  5. Se l'integrazione è riuscita, il parametro di risposta connectorOutputPayload della task Index avrà un valore simile al seguente:

     [{
      "_bkt": "googlecloud-demo~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
      "_cd": "00:04:00",
      "_eventtype_color": null,
      "_indextime": 1.727155516E9,
      "_kv": null,
      "_raw": "Hi team\nwe have a demo please plan accordingly\nwith Google team",
      "_serial": 0.0,
      "_si": "googlecloud-bcone-splunk-vm\ngooglecloud-demo",
      "_sourcetype": "Demo_Text",
      "_time": "2024-09-24 05:25:16.0",
      "eventtype": null,
      "host": "googlecloud-bcone-splunk-vm",
      "index": "googlecloud-demo",
      "linecount": 3.0,
      "punct": null,
      "source": "Splunk_Demo.txt",
      "sourcetype": "Demo_Text",
      "splunk_server": "googlecloud-bcone-splunk-vm",
      "splunk_server_group": null,
      "timestamp": null,
      "JobId": "1727261971.4007"
    }, {
      "_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
      "_cd": "00:04:00",
      "_eventtype_color": null,
      "_indextime": 1.720702012E9,
      "_kv": null,
      "_raw": "hi How r yo\nplease\nfind \nmy notes",
      "_serial": 1.0,
      "_si": "googlecloud-bcone-splunk-vm\nhttp_testing",
      "_sourcetype": "googlecloud-testing",
      "_time": "2024-07-11 12:46:52.0",
      "eventtype": null,
      "host": "googlecloud-bcone-splunk-vm",
      "index": "http_testing",
      "linecount": 4.0,
      "punct": null,
      "source": "Testing.txt",
      "sourcetype": "googlecloud-testing",
      "splunk_server": "googlecloud-bcone-splunk-vm",
      "splunk_server_group": null,
      "timestamp": null,
      "JobId": "1727261971.4007"
    }]
    

Utilizzare Terraform per creare connessioni

Puoi utilizzare la risorsa Terraform per creare una nuova connessione.

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta: Comandi Terraform di base.

Per visualizzare un modello Terraform di esempio per la creazione di una connessione, consulta il modello di esempio.

Quando crei questa connessione utilizzando Terraform, devi impostare le seguenti variabili nel file di configurazione di Terraform:

Nome parametro Tipo di dati Obbligatorio Descrizione
livello di dettaglio STRING Falso Livello di dettaglio per la connessione, da 1 a 5. Con un livello di dettaglio più elevato, verranno registrati tutti i dettagli della comunicazione (certificati di richiesta, risposta e SSL).
proxy_enabled BOOLEANO Falso Seleziona questa casella di controllo per configurare un server proxy per la connessione.
proxy_auth_scheme ENUM Falso Il tipo di autenticazione da utilizzare per l'autenticazione sul proxy ProxyServer. I valori supportati sono: BASIC, DIGEST, NONE
proxy_user STRING Falso Un nome utente da utilizzare per l'autenticazione sul proxy ProxyServer.
proxy_password SEGRETO Falso Una password da utilizzare per eseguire l'autenticazione sul proxy ProxyServer.
proxy_ssltype ENUM Falso Il tipo SSL da utilizzare per la connessione al proxy ProxyServer. I valori supportati sono: AUTO, ALWAYS, NEVER, TUNNEL

Utilizzare la connessione Splunk in un'integrazione

Dopo aver creato la connessione, questa diventa disponibile in Apigee Integration e Application Integration. Puoi utilizzare la connessione in un'integrazione tramite l'attività Connettori.

  • Per informazioni su come creare e utilizzare l'attività Connectors in Apigee Integration, consulta Attività Connectors.
  • Per informazioni su come creare e utilizzare l'attività Connettori in Application Integration, consulta Attività Connettori.

Ricevere assistenza dalla community Google Cloud

Puoi pubblicare le tue domande e discutere di questo connettore nella community Google Cloud ai forum Cloud.

Passaggi successivi