Splunk
Mit dem Splunk-Connector können Sie Vorgänge zum Einfügen, Löschen, Aktualisieren und Lesen in der Splunk-Datenbank ausführen.
Hinweis
Führen Sie vor der Verwendung des Splunk-Connectors die folgenden Aufgaben aus:
- In Ihrem Google Cloud-Projekt:
- Prüfen Sie, ob eine Netzwerkverbindung eingerichtet ist. Informationen zu Netzwerkmustern finden Sie unter Netzwerkkonnektivität.
- Weisen Sie dem Nutzer, der den Connector konfiguriert, die IAM-Rolle roles/connectors.admin zu.
- Weisen Sie dem Dienstkonto, das Sie für den Connector verwenden möchten, die folgenden IAM-Rollen zu:
roles/secretmanager.viewer
roles/secretmanager.secretAccessor
Ein Dienstkonto ist eine spezielle Art von Google-Konto, das einen nicht menschlichen Nutzer repräsentiert. Es muss authentifiziert und autorisiert werden, um Zugriff auf Daten in Google APIs zu erhalten. Wenn Sie kein Dienstkonto haben, müssen Sie eins erstellen. Weitere Informationen finden Sie unter Dienstkonto erstellen.
- Aktivieren Sie die folgenden Dienste:
secretmanager.googleapis.com
(Secret Manager API)connectors.googleapis.com
(Connectors API)
Informationen zum Aktivieren von Diensten finden Sie unter Dienste aktivieren.
Wenn diese Dienste oder Berechtigungen für Ihr Projekt zuvor nicht aktiviert wurden, werden Sie aufgefordert, sie beim Konfigurieren des Connectors zu aktivieren.
Connector konfigurieren
Für die Konfiguration des Connectors müssen Sie eine Verbindung zu Ihrer Datenquelle (Backend-System) erstellen. Eine Verbindung ist für eine Datenquelle spezifisch. Wenn Sie also viele Datenquellen haben, müssen Sie für jede Datenquelle eine separate Verbindung erstellen. So erstellen Sie eine Verbindung:
- Rufen Sie in der Cloud Console die Seite Integration Connectors > Verbindungen auf und wählen Sie ein Google Cloud-Projekt aus oder erstellen Sie eines.
- Klicken Sie auf + NEU ERSTELLEN, um die Seite Verbindung erstellen zu öffnen.
- Wählen Sie im Abschnitt Standort den Standort für die Verbindung aus.
- Region: Wählen Sie einen Standort aus der Drop-down-Liste aus.
Eine Liste aller unterstützten Regionen finden Sie unter Standorte.
- Tippen Sie auf Weiter.
- Region: Wählen Sie einen Standort aus der Drop-down-Liste aus.
- Führen Sie im Abschnitt Verbindungsdetails folgende Schritte aus:
- Connector: Wählen Sie Splunk aus der Drop-down-Liste der verfügbaren Connectors aus.
- Connector-Version: Wählen Sie die Connector-Version aus der Drop-down-Liste der verfügbaren Versionen aus.
- Geben Sie im Feld Verbindungsname einen Namen für die Verbindungsinstanz ein.
Verbindungsnamen müssen die folgenden Kriterien erfüllen:
- Verbindungsnamen können Buchstaben, Ziffern oder Bindestriche enthalten.
- Buchstaben müssen Kleinbuchstaben sein.
- Verbindungsnamen müssen mit einem Buchstaben beginnen und mit einem Buchstaben oder einer Ziffer enden.
- Verbindungsnamen dürfen maximal 49 Zeichen haben.
- Geben Sie optional unter Beschreibung eine Beschreibung für die Verbindungsinstanz ein.
- Optional können Sie Cloud Logging aktivieren und dann eine Logebene auswählen. Die Logebene ist standardmäßig auf
Error
festgelegt. - Dienstkonto: Wählen Sie ein Dienstkonto, das über die erforderlichen Rollen verfügt.
- Optional: Konfigurieren Sie die Verbindungsknoteneinstellungen:
- Mindestanzahl von Knoten: Geben Sie die Mindestanzahl von Verbindungsknoten ein.
- Maximale Anzahl von Knoten: Geben Sie die maximale Anzahl von Verbindungsknoten ein.
Ein Knoten ist eine Einheit (oder ein Replikat) einer Verbindung, die Transaktionen verarbeitet. Zur Verarbeitung von mehr Transaktionen für eine Verbindung sind mehr Knoten erforderlich. Umgekehrt sind weniger Knoten erforderlich, um weniger Transaktionen zu verarbeiten. Informationen zu den Auswirkungen der Knoten auf Ihre Connector-Preise finden Sie unter Preise für Verbindungsknoten. Wenn Sie keine Werte eingeben, ist die Mindestanzahl von Knoten standardmäßig auf 2 (für eine bessere Verfügbarkeit) und die maximale Knotenzahl auf 50 gesetzt.
- Klicken Sie optional auf + LABEL HINZUFÜGEN, um der Verbindung ein Label in Form eines Schlüssel/Wert-Paars hinzuzufügen.
- Tippen Sie auf Weiter.
- Geben Sie im Abschnitt Ziele die Details zum Remote-Host (Backend-System) ein, zu dem Sie eine Verbindung herstellen möchten.
- Zieltyp: Wählen Sie einen Zieltyp aus.
- Wählen Sie in der Liste Hostadresse aus, um den Hostnamen oder die IP-Adresse des Ziels anzugeben.
- Wenn Sie eine private Verbindung zu Ihren Backend-Systemen herstellen möchten, wählen Sie in der Liste Endpunktanhang und dann den erforderlichen Endpunktanhang aus der Liste Endpunktanhang aus.
Wenn Sie eine öffentliche Verbindung zu Ihren Back-End-Systemen mit zusätzlicher Sicherheit herstellen möchten, können Sie statische ausgehende IP-Adressen für Ihre Verbindungen konfigurieren und dann Ihre Firewallregeln konfigurieren, um nur bestimmte statische IP-Adressen zuzulassen.
Wenn Sie weitere Ziele eingeben möchten, klicken Sie auf + ZIEL HINZUFÜGEN.
- Tippen Sie auf Weiter.
- Zieltyp: Wählen Sie einen Zieltyp aus.
-
Geben Sie im Abschnitt Authentifizierung die Authentifizierungsdetails ein.
- Wählen Sie einen Authentifizierungstyp aus und geben Sie die relevanten Details ein.
Die folgenden Authentifizierungstypen werden von der Splunk-Verbindung unterstützt:
- Nutzername und Passwort (Basisauthentifizierung)
- AccessToken
- HTTPEventCollectorToken
- Tippen Sie auf WEITER.
Informationen zum Konfigurieren dieser Authentifizierungstypen finden Sie unter Authentifizierung konfigurieren.
- Wählen Sie einen Authentifizierungstyp aus und geben Sie die relevanten Details ein.
- Überprüfen: Prüfen Sie Ihre Verbindungs- und Authentifizierungsdetails.
- Klicken Sie auf Erstellen.
Authentifizierung konfigurieren
Geben Sie die Details basierend auf der zu verwendenden Authentifizierung ein.
-
Nutzername und Passwort
- Nutzername: Der Splunk-Nutzername für die Verbindung.
- Kennwort: Secret Manager-Secret mit dem Passwort, das dem Splunk-Nutzernamen zugeordnet ist.
-
AccessToken: Legen Sie diese Option fest, um eine tokenbasierte Authentifizierung mithilfe der Property
AccessToken
durchzuführen. -
HTTPEventCollectorToken: Legen Sie diese Option fest, um eine tokenbasierte Authentifizierung mithilfe der Property
HTTPEventCollectorToken
durchzuführen.
Beispiele für Verbindungskonfigurationen
In diesem Abschnitt finden Sie Beispielwerte für die verschiedenen Felder, die Sie beim Erstellen der Splunk-Verbindung konfigurieren.
Verbindungstyp des HTTP-Ereignis-Collectors
Feldname | Details |
---|---|
Standort | us-central1 |
Connector | Splunk |
Connector-Version | 1 |
Verbindungsname | splunk-http-event-coll-conn |
Cloud Logging aktivieren | Nein |
Dienstkonto | SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com |
Mindestanzahl von Knoten | 2 |
Maximale Anzahl von Knoten | 50 |
SSL aktivieren | Ja |
Unsichere Verbindung im Trust Store | Ja |
Zieltyp(Server) | Hostadresse |
Hostadresse | 192.0.2.0 |
Port | PORT |
Tokenbasierte Authentifizierung für HTTP-Ereignis-Collector | Ja |
HTTPEventCollectorToken | HTTPEVENTCOLLECTOR_TOKEN |
Secret-Version | 1 |
Informationen zum Erstellen eines HTTP-Ereignis-Collector-Tokens finden Sie unter HTTP-Ereignis-Collector erstellen.
SSL-Verbindungstyp
Feldname | Details |
---|---|
Standort | us-central1 |
Connector | Splunk |
Connector-Version | 1 |
Verbindungsname | splunk-ssl-connection |
Cloud Logging aktivieren | Ja |
Dienstkonto | SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com |
Ausführlichkeitsstufe | 5 |
Mindestanzahl von Knoten | 2 |
Maximale Anzahl von Knoten | 50 |
SSL aktivieren | Ja |
Unsichere Verbindung | Ja |
Zieltyp(Server) | Hostadresse |
Hostadresse | https://192.0.2.0 |
Port | PORT |
Nutzerpasswort | Ja |
Nutzername | USER |
Passwort | PASSWORT |
Secret-Version | 1 |
Für die grundlegende Authentifizierung benötigen Sie die Rolle „Nutzer“ oder „Power User“. Informationen zum Konfigurieren eines Power Users finden Sie unter Rolle „Power User“ konfigurieren. Informationen zum Definieren von Rollen in Splunk finden Sie unter Rolle auf der Splunk-Plattform definieren.
Entitäten, Vorgänge und Aktionen
Alle Integration Connectors bieten eine Abstraktionsebene für die Objekte der verbundenen Anwendung. Sie können nur über diese Abstraktion auf die Objekte einer Anwendung zugreifen. Die Abstraktion wird Ihnen als Entitäten, Vorgänge und Aktionen zur Verfügung gestellt.
- Entität: Eine Entität kann als Objekt oder Sammlung von Attributen in der verbundenen Anwendung oder im verbundenen Dienst verstanden werden. Die Definition einer Entität unterscheidet sich von Connector zu Connector. Beispiel: In einem Datenbank-Connector sind Tabellen die Entitäten, in einem Dateiserver-Connector sind Ordner die Entitäten und in einem Nachrichtensystem-Connector sind Warteschlangen die Entitäten.
Es ist jedoch möglich, dass ein Connector keine Entitäten unterstützt oder keine Entitäten enthält. In diesem Fall ist die Liste
Entities
leer. - Vorgang: Ein Vorgang ist die Aktivität, die Sie für eine Entität ausführen können. Sie können einen der folgenden Vorgänge für eine Entität ausführen:
Durch Auswahl einer Entität aus der verfügbaren Liste wird eine Liste der Vorgänge generiert, die für die Entität verfügbar sind. Eine detaillierte Beschreibung der Vorgänge finden Sie in den Entitätsvorgängen der Connectors-Aufgabe. Wenn ein Connector jedoch keinen der Entitätsvorgänge unterstützt, werden diese nicht unterstützten Vorgänge nicht in der Liste
Operations
aufgeführt. - Aktion: Eine Aktion ist eine Funktion erster Klasse, die über die Connector-Benutzeroberfläche für die Integration verfügbar gemacht wird. Mit einer Aktion können Sie Änderungen an einer oder mehreren Entitäten vornehmen, die von Connector zu Connector unterschiedlich sind. Normalerweise hat eine Aktion einige Eingabeparameter und einen Ausgabeparameter. Es ist jedoch möglich, dass ein Connector keine Aktionen unterstützt. In diesem Fall ist die
Actions
-Liste leer.
Systemeinschränkungen
Der Splunk-Connector kann 5 Transaktionen pro Sekunde und pro Knoten verarbeiten und drosselt alle Transaktionen, die über dieses Limit hinausgehen. Die Anzahl der Transaktionen, die dieser Connector verarbeiten kann, hängt jedoch auch von den Einschränkungen der Splunk-Instanz ab. Standardmäßig werden für eine Verbindung zwei Knoten (für eine bessere Verfügbarkeit) zugewiesen.
Informationen zu den Limits für Integration Connectors finden Sie unter Limits.
Aktionen
In diesem Abschnitt werden die vom Connector unterstützten Aktionen aufgeführt. Informationen zum Konfigurieren der Aktionen finden Sie unter Beispiele für Aktionen.
Aktion „CreateHTTPEvent“
Mit dieser Aktion können Sie Daten und Anwendungsereignisse über die HTTP- und HTTPS-Protokolle an eine Splunk-Bereitstellung senden.
Eingabeparameter der Aktion „CreateHTTPEvent“
Parametername | Datentyp | Erforderlich | Beschreibung |
---|---|---|---|
EventContent | String | Ja | Der Name der Tabelle oder Ansicht. |
ContentType | String | Nein | Der Inhaltstyp, der für die EventContent -Eingabe angegeben ist. Unterstützte Werte sind JSON und RAWTEXT . |
ChannelGUID | Ganzzahl | Nein | Die GUID des Kanals, der für das Ereignis verwendet wird. Sie müssen diesen Wert angeben, wenn ContentType = RAWTEXT ist. |
Ausgabeparameter der Aktion „CreateHTTPEvent“
Diese Aktion gibt den Erfolgstatus des erstellten Ereignisses zurück.
Aktion „CreateIndex“
Mit dieser Aktion können Sie Indexe erstellen.
Eingabeparameter der CreateIndex-Aktion
Parametername | Datentyp | Erforderlich | Beschreibung |
---|---|---|---|
MaxMetaEntries | String | Nein | Legt die maximale Anzahl eindeutiger Zeilen in .data-Dateien in einem Bucket fest. Dies kann dazu beitragen, den Speicherverbrauch zu reduzieren. |
FrozenTimePeriodInSecs | String | Nein | Anzahl der Sekunden, nach denen indexierte Daten zu „gefroren“ wechseln. Standardeinstellung: 188697600 (6 Jahre). |
HomePath | String | Nein | Ein absoluter Pfad, der die Hot- und Warm-Buckets für den Index enthält. |
MinRawFileSyncSecs | String | Nein | Geben Sie für diesen Parameter eine Ganzzahl (oder disable ) an. Mit diesem Parameter wird festgelegt, wie oft splunkd eine Dateisystemsynchronisierung erzwingt, während Journal-Scheiben komprimiert werden. |
ProcessTrackerServiceInterval | String | Nein | Gibt in Sekunden an, wie oft der Indexer den Status der von ihm gestarteten untergeordneten Betriebssystemprozesse prüft, um festzustellen, ob neue Prozesse für anstehende Anfragen gestartet werden können. Wenn der Wert auf „0“ festgelegt ist, prüft der Indexer den Status des untergeordneten Prozesses jede Sekunde. |
ServiceMetaPeriod | String | Nein | Hier wird festgelegt, wie oft (in Sekunden) Metadaten mit dem Laufwerk synchronisiert werden. |
MaxHotSpanSecs | String | Nein | Obergrenze der maximalen Zielzeitspanne (in Sekunden) für Hot- oder Warm-Buckets. |
QuarantinePastSecs | String | Nein | Ereignisse mit dem Zeitstempel „quarantinePastSecs“, der älter als >now ist, werden in den Quarantänebereich verschoben. |
ColdToFrozenDir | String | Nein | Zielpfad für das eingefrorene Archiv. Als Alternative zu einem ColdToFrozenScript verwenden. |
ColdPath | String | Nein | Ein absoluter Pfad, der die ColdDBs für den Index enthält. Der Pfad muss lesbar und beschreibbar sein. |
MaxHotIdleSecs | String | Nein | Maximale Lebensdauer eines Hot-Buckets in Sekunden |
WarmToColdScript | String | Nein | Pfad zu einem Script, das ausgeführt wird, wenn Daten von „warm“ zu „kalt“ verschoben werden. |
ColdToFrozenScript | String | Nein | Pfad zum Archivierungsskript. |
MaxHotBuckets | String | Nein | Die maximale Anzahl heißer Buckets, die pro Index vorhanden sein können. |
TstatsHomePath | String | Nein | Speicherort für TSIDX-Daten der Datenmodellbeschleunigung für diesen Index. Falls angegeben, muss es in Form einer Volumendefinition definiert sein. Der Pfad muss beschreibbar sein. |
RepFactor | String | Nein | Indexreplikationssteuerung Dieser Parameter gilt nur für Peer-Knoten im Cluster.
|
MaxDataSize | String | Nein | Die maximale Größe in MB, die eine heiße Datenbank erreichen darf, bevor eine Umstellung auf eine Warm-DB ausgelöst wird.
Wenn Sie auto oder auto_high_volume angeben, wird dieser Parameter automatisch von Splunk optimiert (empfohlen). |
MaxBloomBackfillBucketAge | String | Nein | Gültige Werte: Ganzzahl[m|s|h|d] Wenn ein Warm- oder Cold-Bucket älter als das angegebene Alter ist, wird sein Bloom-Filter nicht erstellt oder neu erstellt. Geben Sie „0“ an, damit Bloom-Filter nie neu erstellt werden. |
BlockSignSize | String | Nein | Bestimmt, aus wie vielen Ereignissen ein Block für Blocksignaturen besteht. Wenn dieser Wert auf „0“ festgelegt ist, ist die Blocksignatur für diesen Index deaktiviert. Der empfohlene Wert ist 100. |
Name | String | Ja | Der Name des zu erstellenden Index |
MaxTotalDataSizeMB | String | Nein | Die maximale Größe eines Index (in MB). Wenn ein Index größer als die maximale Größe wird, werden die ältesten Daten eingefroren. |
MaxWarmDBCount | String | Nein | Die maximale Anzahl von warmen Buckets. Wird diese Anzahl überschritten, werden die Bucket(s) mit dem niedrigsten Wert für die letzten Zeiträume in den „Cold“-Bucket verschoben. |
RawChunkSizeBytes | String | Nein | Zielgröße der unkomprimierten Größe in Byte für einen einzelnen Rohdaten-Speicherblock im Raw-Daten-Journal des Index. „0“ ist kein gültiger Wert. Wenn „0“ angegeben wird, wird „rawChunkSizeBytes“ auf den Standardwert festgelegt. |
DataType | String | Nein | Gibt den Indextyp an |
MaxConcurrentOptimizes | String | Nein | Die Anzahl der gleichzeitigen Optimierungsprozesse, die für einen Hot-Bucket ausgeführt werden können. |
ThrottleCheckPeriod | String | Nein | Hier wird festgelegt, wie oft (in Sekunden) Splunk die Indexdrosselungsbedingung prüft. |
SyncMeta | String | Nein | Wenn diese Option aktiviert ist, wird bei Aktualisierungen von Metadatendateien ein Synchronisierungsvorgang aufgerufen, bevor der Dateideskriptor geschlossen wird. Diese Funktion verbessert die Integrität von Metadatendateien, insbesondere bei Betriebssystemabstürzen oder Geräteausfällen. |
RotatePeriodInSecs | String | Nein | Häufigkeit in Sekunden, mit der geprüft wird, ob ein neuer Hot-Bucket erstellt werden muss. Außerdem, wie oft er prüfen soll, ob es warme/kalte Eimer gibt, die gerollt/gefroren werden sollten. |
Ausgabeparameter der Aktion „CreateIndex“
Diese Aktion gibt die Bestätigungsmeldung der Aktion „CreateIndex“ zurück.
Ein Beispiel zum Konfigurieren der CreateIndex
-Aktion finden Sie unter Beispiele für Aktionen.
Aktion „CreateSavedSearch“
Mit dieser Aktion können Sie Ihre Suchanfragen speichern.
Eingabeparameter der Aktion „CreateSavedSearch“
Parametername | Datentyp | Erforderlich | Beschreibung |
---|---|---|---|
IsVisible | Boolesch | Ja | Gibt an, ob diese gespeicherte Suche in der Liste der sichtbaren gespeicherten Suchanfragen angezeigt wird. |
RealTimeSchedule | Boolesch | Ja | Wenn dieser Wert auf „1“ festgelegt ist, orientiert sich der Planer bei der Bestimmung der nächsten geplanten Ausführungszeit an der aktuellen Uhrzeit. Wenn dieser Wert auf „0“ festgelegt ist, wird er anhand der Zeit der letzten Suchausführung ermittelt. |
Suchen | String | Ja | Die zu speichernde Suchanfrage |
Beschreibung | String | Nein | Beschreibung dieser gespeicherten Suche |
SchedulePriority | String | Ja | Gibt die Planungspriorität einer bestimmten Suche an. |
CronSchedule | String | Ja | Der Cron-Zeitplan für die Ausführung dieser Suche. Mit */5 * * * * wird die Suche beispielsweise alle 5 Minuten ausgeführt. |
Name | String | Ja | Einen Namen für die Suche |
UserContext | String | Ja | Wenn ein Nutzerkontext angegeben ist, wird der servicesNS-Knoten (/servicesNS/[UserContext]/search) verwendet. Andernfalls wird standardmäßig der allgemeine Endpunkt /services verwendet. |
RunOnStartup | Boolesch | Ja | Gibt an, ob diese Suche beim Start ausgeführt wird. Wenn die Suche nicht beim Start ausgeführt wird, erfolgt dies zum nächsten geplanten Zeitpunkt. |
Deaktiviert | Boolesch | Nein | Gibt an, ob diese gespeicherte Suche deaktiviert ist. |
IsScheduled | Boolesch | Ja | Gibt an, ob diese Suche nach einem Zeitplan ausgeführt werden soll. |
Ausgabeparameter der Aktion „CreateSavedSearch“
Diese Aktion gibt eine Bestätigungsmeldung für die Aktion „CreateSavedSearch“ zurück.
Ein Beispiel zum Konfigurieren der CreateSavedSearch
-Aktion finden Sie unter Beispiele für Aktionen.
Aktion „UpdateSavedSearch“
Mit dieser Aktion können Sie eine gespeicherte Suche aktualisieren.
Eingabeparameter der Aktion „UpdateSavedSearch“
Parametername | Datentyp | Erforderlich | Beschreibung |
---|---|---|---|
IsVisible | Boolesch | Ja | Gibt an, ob diese gespeicherte Suche in der Liste der sichtbaren gespeicherten Suchanfragen angezeigt wird. |
RealTimeSchedule | Boolesch | Ja | Wenn dieser Wert auf „1“ festgelegt ist, orientiert sich der Planer bei der Bestimmung der nächsten geplanten Ausführungszeit der Suche an der aktuellen Uhrzeit. Wenn dieser Wert auf „0“ festgelegt ist, wird er anhand der letzten Ausführungszeit der Suche ermittelt. |
Suchen | String | Ja | Die zu speichernde Suchanfrage |
Beschreibung | String | Nein | Beschreibung dieser gespeicherten Suche |
SchedulePriority | String | Ja | Gibt die Planungspriorität einer bestimmten Suche an. |
CronSchedule | String | Ja | Der Cron-Zeitplan für die Ausführung dieser Suche. Mit */5 * * * * wird die Suche beispielsweise alle 5 Minuten ausgeführt. |
Name | String | Ja | Einen Namen für die Suche |
UserContext | String | Ja | Wenn ein Nutzerkontext angegeben ist, wird der servicesNS-Knoten (/servicesNS/[UserContext]/search) verwendet. Andernfalls wird standardmäßig der allgemeine Endpunkt /services verwendet. |
RunOnStartup | Boolesch | Ja | Gibt an, ob diese Suche beim Start ausgeführt wird. Wenn die Suche nicht beim Start ausgeführt wird, erfolgt dies zum nächsten geplanten Zeitpunkt. |
Deaktiviert | Boolesch | Nein | Gibt an, ob diese gespeicherte Suche deaktiviert ist. |
IsScheduled | Boolesch | Ja | Gibt an, ob diese Suche nach einem Zeitplan ausgeführt werden soll. |
Ausgabeparameter der Aktion „UpdateSavedSearch“
Diese Aktion gibt eine Bestätigungsmeldung für die Aktion „UpdateSavedSearch“ zurück.
Ein Beispiel zum Konfigurieren der UpdateSavedSearch
-Aktion finden Sie unter Beispiele für Aktionen.
DeleteIndex-Aktion
Mit dieser Aktion können Sie einen Index löschen.
Eingabeparameter der DeleteIndex-Aktion
Parametername | Datentyp | Erforderlich | Beschreibung |
---|---|---|---|
Name | String | Ja | Der Name des zu löschenden Index. |
Ausgabeparameter der Aktion „DeleteIndex“
Diese Aktion gibt eine Bestätigungsnachricht für die Aktion „DeleteIndex“ zurück.
Ein Beispiel zum Konfigurieren der DeleteIndex
-Aktion finden Sie unter Beispiele für Aktionen.
Aktion „UpdateIndex“
Mit dieser Aktion können Sie einen Index aktualisieren.
Eingabeparameter der UpdateIndex-Aktion
Parametername | Datentyp | Erforderlich | Beschreibung |
---|---|---|---|
MaxMetaEntries | String | Nein | Legt die maximale Anzahl eindeutiger Zeilen in .data-Dateien in einem Bucket fest. Dies kann dazu beitragen, den Speicherverbrauch zu reduzieren. |
FrozenTimePeriodInSecs | String | Nein | Anzahl der Sekunden, nach denen indexierte Daten zu „gefroren“ wechseln. Standardeinstellung: 188697600 (6 Jahre). |
HomePath | String | Nein | Ein absoluter Pfad, der die Hot- und Warm-Buckets für den Index enthält. |
MinRawFileSyncSecs | String | Nein | Geben Sie für diesen Parameter eine Ganzzahl (oder disable ) an. Mit diesem Parameter wird festgelegt, wie oft splunkd eine Dateisystemsynchronisierung erzwingt, während Journal-Scheiben komprimiert werden. |
ProcessTrackerServiceInterval | String | Nein | Gibt in Sekunden an, wie oft der Indexer den Status der von ihm gestarteten untergeordneten Betriebssystemprozesse prüft, um festzustellen, ob neue Prozesse für anstehende Anfragen gestartet werden können. Wenn der Wert auf „0“ festgelegt ist, prüft der Indexer den Status des untergeordneten Prozesses jede Sekunde. |
ServiceMetaPeriod | String | Nein | Hier wird festgelegt, wie oft (in Sekunden) Metadaten mit dem Laufwerk synchronisiert werden. |
MaxHotSpanSecs | String | Nein | Obergrenze der maximalen Zielzeitspanne (in Sekunden) für Hot- oder Warm-Buckets. |
QuarantinePastSecs | String | Nein | Ereignisse mit dem Zeitstempel „quarantinePastSecs“, der älter als now ist, werden in den Quarantänebereich verschoben. |
ColdToFrozenDir | String | Nein | Zielpfad für das eingefrorene Archiv. Als Alternative zu einem ColdToFrozenScript verwenden. |
ColdPath | String | Nein | Ein absoluter Pfad, der die ColdDBs für den Index enthält. Der Pfad muss lesbar und beschreibbar sein. |
MaxHotIdleSecs | String | Nein | Maximale Lebensdauer eines Hot-Buckets in Sekunden. |
WarmToColdScript | String | Nein | Pfad zu einem Script, das ausgeführt wird, wenn Daten von „warm“ zu „kalt“ verschoben werden. |
ColdToFrozenScript | String | Nein | Pfad zum Archivierungsskript. |
MaxHotBuckets | String | Nein | Die maximale Anzahl heißer Buckets, die pro Index vorhanden sein können. |
TstatsHomePath | String | Nein | Speicherort für TSIDX-Daten der Datenmodellbeschleunigung für diesen Index. Falls angegeben, muss es in Form einer Volumedefinition definiert sein. Der Pfad muss beschreibbar sein. |
RepFactor | String | Nein | Indexreplikationssteuerung Dieser Parameter gilt nur für Peer-Knoten im Cluster.
|
MaxDataSize | String | Nein | Die maximale Größe in MB, die eine heiße Datenbank erreichen darf, bevor eine Umstellung auf eine Warm-DB ausgelöst wird.
Wenn Sie auto oder auto_high_volume angeben, wird dieser Parameter automatisch von Splunk optimiert (empfohlen). |
MaxBloomBackfillBucketAge | String | Nein | Gültige Werte: Ganzzahl[m|s|h|d] Wenn ein heißer oder kalter Bucket älter als das angegebene Alter ist, wird sein Bloom-Filter nicht erstellt oder neu erstellt. Geben Sie „0“ an, damit Bloom-Filter nie neu erstellt werden. |
BlockSignSize | String | Nein | Bestimmt, wie viele Ereignisse einen Block für Blocksignaturen bilden. Wenn dieser Wert auf „0“ gesetzt ist, ist die Blocksignatur für diesen Index deaktiviert. Der empfohlene Wert ist 100. |
Name | String | Ja | Der Name des zu erstellenden Index |
MaxTotalDataSizeMB | String | Ja | Die maximale Größe eines Index (in MB). Wenn ein Index größer als die maximale Größe wird, werden die ältesten Daten eingefroren. |
MaxWarmDBCount | String | Nein | Die maximale Anzahl von warmen Buckets. Wird diese Anzahl überschritten, werden die Bucket(s) mit dem niedrigsten Wert für die letzten Zeiträume in den „Cold“-Bucket verschoben. |
RawChunkSizeBytes | String | Nein | Zielgröße der unkomprimierten Größe in Byte für einen einzelnen Rohdaten-Speicherblock im Raw-Datenprotokoll des Index. „0“ ist kein gültiger Wert. Wenn „0“ angegeben wird, wird „rawChunkSizeBytes“ auf den Standardwert festgelegt. |
DataType | String | Nein | Gibt den Indextyp an |
MaxConcurrentOptimizes | String | Nein | Die Anzahl der gleichzeitigen Optimierungsprozesse, die für einen Hot-Bucket ausgeführt werden können. |
ThrottleCheckPeriod | String | Nein | Hier wird festgelegt, wie oft (in Sekunden) Splunk die Indexdrosselungsbedingung prüft. |
SyncMeta | String | Nein | Wenn diese Option aktiviert ist, wird bei Aktualisierungen von Metadatendateien ein Synchronisierungsvorgang aufgerufen, bevor der Dateideskriptor geschlossen wird. Diese Funktion verbessert die Integrität von Metadatendateien, insbesondere bei Betriebssystemabstürzen oder Geräteausfällen. |
RotatePeriodInSecs | String | Nein | Häufigkeit in Sekunden, mit der geprüft wird, ob ein neuer Hot-Bucket erstellt werden muss. Außerdem, wie oft Sie prüfen sollen, ob es warme oder kalte Eimer gibt, die gerollt oder eingefroren werden sollten. |
Ausgabeparameter der Aktion „UpdateIndex“
Diese Aktion gibt eine Bestätigungsmeldung für die Aktion „UpdateIndex“ zurück.
Ein Beispiel zum Konfigurieren der UpdateIndex
-Aktion finden Sie unter Beispiele für Aktionen.
Beispiele für Aktionen
Beispiel: HTTP-Ereignis erstellen
In diesem Beispiel wird ein HTTP-Ereignis erstellt.
- Klicken Sie im Dialogfeld
Configure connector task
aufActions
. - Wählen Sie die Aktion
CreateHTTPEvent
aus und klicken Sie auf Fertig. - Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf
connectorInputPayload
und geben Sie dann einen Wert ähnlich dem folgenden in das FeldDefault Value
ein:{ "EventContent": "Testing Task", "ContentType": "RAWTEXT", "ChannelGUID": "ContentType=RAWTEXT" }
Wenn die Aktion erfolgreich war, hat der Antwortparameter connectorOutputPayload
der Aufgabe CreateHTTPEvent
einen Wert, der in etwa so aussieht:
[{ "Success": "Success" }]
Beispiel: Index erstellen
In diesem Beispiel wird ein Index erstellt.
- Klicken Sie im Dialogfeld
Configure connector task
aufActions
. - Wählen Sie die Aktion
CreateIndex
aus und klicken Sie auf Fertig. - Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf
connectorInputPayload
und geben Sie dann einen Wert ähnlich dem folgenden in das FeldDefault Value
ein:{ "Name": "http_testing" }
Wenn die Aktion erfolgreich war, hat der Antwortparameter connectorOutputPayload
der Aufgabe CreateIndex
einen Wert, der in etwa so aussieht:
[{ "AssureUTF8": null, "BlockSignSize": null, "BlockSignatureDatabase": null, "BucketRebuildMemoryHint": null, "ColdPath": null, "FrozenTimePeriodInSecs": null, "HomePath": null, "HomePathExpanded": null, "IndexThreads": null, "IsInternal": null, "MaxConcurrentOptimizes": null, "MaxDataSize": null, "MaxHotBuckets": null, "SuppressBannerList": null, "Sync": null, "SyncMeta": null, "ThawedPath": null, "ThawedPathExpanded": null, "TstatsHomePath": null, "WarmToColdScript": null, }]
Beispiel: Gespeicherte Suchanfrage erstellen
In diesem Beispiel wird eine gespeicherte Suche erstellt.
- Klicken Sie im Dialogfeld
Configure connector task
aufActions
. - Wählen Sie die Aktion
CreateSavedSearch
aus und klicken Sie auf Fertig. - Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf
connectorInputPayload
und geben Sie dann einen Wert ähnlich dem folgenden in das FeldDefault Value
ein:{ "Name": "test_created_g", "Search": "index=\"http_testing\"", "CronSchedule": "*/1 * * * *", "IsVisible": true, "RealTimeSchedule": true, "RunOnStartup": true, "IsScheduled": true, "SchedulePriority": "highest", "UserContext": "nobody" }
Wenn die Aktion erfolgreich war, hat der Antwortparameter connectorOutputPayload
der Aufgabe CreateSavedSearch
einen Wert, der in etwa so aussieht:
[{ "Success": true, "Message": null }]
Beispiel: Gespeicherte Suchanfrage aktualisieren
In diesem Beispiel wird eine gespeicherte Suche aktualisiert.
- Klicken Sie im Dialogfeld
Configure connector task
aufActions
. - Wählen Sie die Aktion
UpdateSavedSearch
aus und klicken Sie auf Fertig. - Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf
connectorInputPayload
und geben Sie dann einen Wert ähnlich dem folgenden in das FeldDefault Value
ein:{ "Name": "test_created_g", "Search": "index=\"december_test_data\"", "CronSchedule": "*/1 * * * *", "IsVisible": true, "RealTimeSchedule": true, "RunOnStartup": true, "IsScheduled": true, "SchedulePriority": "highest" }
Wenn die Aktion erfolgreich war, hat der Antwortparameter connectorOutputPayload
der Aufgabe UpdateSavedSearch
einen Wert, der in etwa so aussieht:
[{ "Success": true, "Message": null }]
Beispiel: Index löschen
In diesem Beispiel wird ein Index gelöscht.
- Klicken Sie im Dialogfeld
Configure connector task
aufActions
. - Wählen Sie die Aktion
DeleteIndex
aus und klicken Sie auf Fertig. - Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf
connectorInputPayload
und geben Sie dann einen Wert ähnlich dem folgenden in das FeldDefault Value
ein:{ "Name": "g_http_testing" }
Wenn die Aktion erfolgreich war, hat der Antwortparameter connectorOutputPayload
der Aufgabe DeleteIndex
einen Wert, der in etwa so aussieht:
[{ "Success": true, "ErrorCode": null, "ErrorMessage": null }]
Beispiel: Index aktualisieren
In diesem Beispiel wird ein Index aktualisiert.
- Klicken Sie im Dialogfeld
Configure connector task
aufActions
. - Wählen Sie die Aktion
UpdateIndex
aus und klicken Sie auf Fertig. - Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf
connectorInputPayload
und geben Sie dann einen Wert ähnlich dem folgenden in das FeldDefault Value
ein:{ "MaxTotalDataSizeMB": "400000", "Name": "g_http_testing" }
Wenn die Aktion erfolgreich war, hat der Antwortparameter connectorOutputPayload
der Aufgabe UpdateIndex
einen Wert, der in etwa so aussieht:
[{ "AssureUTF8": false, "BlockSignSize": null, "BlockSignatureDatabase": null, "BucketRebuildMemoryHint": "auto", "ColdPath": "$SPLUNK_DB\\g_http_testing\\colddb", "ColdPathExpanded": "C:\\Program Files\\Splunk\\var\\lib\\splunk\\g_http_testing\\colddb", "ColdToFrozenDir": "", "ColdToFrozenScript": "", "CurrentDBSizeMB": 1.0, "DefaultDatabase": "main", "EnableOnlineBucketRepair": true, "EnableRealtimeSearch": true, "FrozenTimePeriodInSecs": 1.886976E8, "HomePath": "$SPLUNK_DB\\g_http_testing\\db", "HomePathExpanded": "C:\\Program Files\\Splunk\\var\\lib\\splunk\\g_http_testing\\db", "IndexThreads": "auto", "IsInternal": false, "LastInitTime": "2024-01-08 05:15:28.0", "MaxBloomBackfillBucketAge": "30d", "ThawedPath": "$SPLUNK_DB\\g_http_testing\\thaweddb", "ThawedPathExpanded": "C:\\Program Files\\Splunk\\var\\lib\\splunk\\g_http_testing\\thaweddb", "ThrottleCheckPeriod": 15.0, "TotalEventCount": 0.0, "TsidxDedupPostingsListMaxTermsLimit": 8388608.0, "TstatsHomePath": "volume:_splunk_summaries\\$_index_name\\datamodel_summary", "WarmToColdScript": "", "Success": true, "ErrorCode": null, "ErrorMessage": null }]
Beispiele für Entitätsvorgänge
In diesem Abschnitt wird beschrieben, wie Sie einige Entitätsvorgänge in diesem Connector ausführen.
Beispiel: Alle Einträge auflisten
In diesem Beispiel werden alle Einträge in der Entität SearchJobs
aufgelistet.
- Klicken Sie im Dialogfeld
Configure connector task
aufEntities
. - Wählen Sie in der Liste
Entity
die OptionSearchJobs
aus. - Wählen Sie den Vorgang
List
aus und klicken Sie auf Fertig. - Optional können Sie im Bereich Aufgabeneingabe der Aufgabe Connectors einen Filter angeben, um den Ergebnissatz einzugrenzen. Geben Sie den Wert der Filterklausel immer in einfache Anführungszeichen (') ein.
Beispiel: Datensatz aus einer Entität abrufen
In diesem Beispiel wird ein Datensatz mit der angegebenen ID aus der SearchJobs
-Entität abgerufen.
- Klicken Sie im Dialogfeld
Configure connector task
aufEntities
. - Wählen Sie in der Liste
Entity
die OptionSearchJobs
aus. - Wählen Sie den Vorgang
Get
aus und klicken Sie auf Fertig. - Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf EntityId und geben Sie dann
1698309163.1300
in das Feld Standardwert ein.Hier ist
1698309163.1300
eine eindeutige Datensatz-ID in der EntitätSearchJobs
.
Beispiel: Datensatz in einer Entität erstellen
In diesem Beispiel wird ein Eintrag in der SearchJobs
-Entität erstellt.
- Klicken Sie im Dialogfeld
Configure connector task
aufEntities
. - Wählen Sie in der Liste
Entity
die OptionSearchJobs
aus. - Wählen Sie den Vorgang
Create
aus und klicken Sie auf Fertig. - Klicken Sie im Bereich Datenübersetzer der Aufgabe Datenabgleich auf
Open Data Mapping Editor
und geben Sie dann einen Wert ähnlich dem folgenden in das FeldInput Value
ein. Wählen Sie dann „EntityId/ConnectorInputPayload“ als lokale Variable aus.{ "EventSearch": "search (index=\"antivirus_logs\") sourcetype=access_combined | rex \"(?\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3})\" | iplocation IP_address| table IP_address, City, Country" }
Wenn die Integration erfolgreich war, hat der Antwortparameter
connectorOutputPayload
der AufgabeSearchJobs
einen Wert, der in etwa so aussieht:{ "Sid": "1699336785.1919" }
Beispiel: Datensatz in einer Entität erstellen
In diesem Beispiel wird ein Eintrag in der DataModels
-Entität erstellt.
- Klicken Sie im Dialogfeld
Configure connector task
aufEntities
. - Wählen Sie in der Liste
Entity
die OptionDataModels
aus. - Wählen Sie den Vorgang
Create
aus und klicken Sie auf Fertig. - Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf
connectorInputPayload
und geben Sie dann einen Wert ähnlich dem folgenden in das FeldDefault Value
ein:{ "Id": "Test1", "Acceleration": "{\"enabled\":false,\"earliest_time\":\"\", \"max_time\":3600,\"backfill_time\":\"\",\"source_guid\":\"\", \"manual_rebuilds\":false,\"poll_buckets_until_maxtime\":false, \"max_concurrent\":3,\"allow_skew\":\"0\",\"schedule_priority\":\"default\" ,\"allow_old_summaries\":false,\"hunk.file_format\":\"\",\"hunk.dfs_block_size\":0, \"hunk.compression_codec\":\"\",\"workload_pool\":\"\"}" }
Wenn die Integration erfolgreich war, enthält das Feld
connectorOutputPayload
der Connector-Aufgabe einen Wert, der in etwa so aussieht:[{ "Id": "Test1" }]
Beispiel: Datensatz aus einer Entität löschen
In diesem Beispiel wird der Datensatz mit der angegebenen ID in der Entität DataModels
gelöscht.
- Klicken Sie im Dialogfeld
Configure connector task
aufEntities
. - Wählen Sie in der Liste
Entity
die OptionDataModels
aus. - Wählen Sie den Vorgang
Delete
aus und klicken Sie auf Fertig. - Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf entityId und geben Sie dann
Test1
in das Feld Standardwert ein.
Beispiel: Datensatz in einer Entität aktualisieren
In diesem Beispiel wird ein Datensatz in der Entität DataModels
aktualisiert.
- Klicken Sie im Dialogfeld
Configure connector task
aufEntities
. - Wählen Sie in der Liste
Entity
die OptionDataModels
aus. - Wählen Sie den Vorgang
Update
aus und klicken Sie auf Fertig. - Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf
connectorInputPayload
und geben Sie dann einen Wert ähnlich dem folgenden in das FeldDefault Value
ein:{ "Acceleration": "{\"enabled\":true,\"earliest_time\":\"-3mon\", \"cron_schedule\":\"*/5 * * * *\",\"max_time\":60, \"backfill_time\":\"\",\"source_guid\":\"\",\"manual_rebuilds\":false, \"poll_buckets_until_maxtime\":false,\"max_concurrent\":3, \"allow_skew\":\"0\",\"schedule_priority\":\"default\", \"allow_old_summaries\":false,\"hunk.file_format\":\"\",\"hunk.dfs_block_size\":0, \"hunk.compression_codec\":\"\",\"workload_pool\":\"\"}" }
- Klicken Sie auf entityId und geben Sie dann
/servicesNS/nobody/search/datamodel/model/Testing
in das Feld Standardwert ein.Wenn die Integration erfolgreich war, enthält das Feld
connectorOutputPayload
der Connector-Aufgabe einen Wert, der in etwa so aussieht:[{ "Id": "/servicesNS/nobody/search/datamodel/model/Testing" }]
Beispiel – Suchablauf mit Index
In diesem Abschnitt werden alle Suchabläufe mit einem einzelnen Index und mehreren Indexen aufgeführt.
Suche mit einem einzelnen Index erstellen
- Klicken Sie im Dialogfeld
Configure connector task
aufEntities
. - Wählen Sie in der Liste
Entity
die OptionSearchJobs
aus. - Wählen Sie den Vorgang
Create
aus und klicken Sie auf Fertig. - Klicken Sie im Bereich Datenübersetzer der Aufgabe Datenabgleich auf
Open Data Mapping Editor
und geben Sie dann einen Wert ähnlich dem folgenden in das FeldInput Value
ein. Wählen Sie dann „EntityId/ConnectorInputPayload“ als lokale Variable aus.{ "EventSearch": "search (index=\"http_testing\" sourcetype=\"googlecloud-testing\") " }
Wenn die Integration erfolgreich war, hat der Antwortparameter
connectorOutputPayload
der AufgabeSearchJobs
einen Wert, der in etwa so aussieht:{ "Sid": "1726051471.76" }
Vorgang auflisten, der den in der Suchanfrage verwendeten Indexnamen verwendet
- Klicken Sie im Dialogfeld
Configure connector task
aufEntities
. - Wählen Sie in der Liste
Entity
die OptionIndex Name
aus. - Wählen Sie den Vorgang
List
aus und klicken Sie auf Fertig. - Im Bereich Aufgabeneingabe der Aufgabe Connectors können Sie die filterClause festlegen, z. B. Sid= '1726051471.76'.
Wenn die Integration erfolgreich war, hat der Antwortparameter connectorOutputPayload
der Aufgabe Index Name
einen Wert, der in etwa so aussieht:
[{ "_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF", "_cd": "00:04:00", "_eventtype_color": null, "_indextime": 1.720702012E9, "_kv": null, "_raw": "hi How r yo\nplease\nfind \nmy notes", "_serial": 0.0, "_si": "googlecloud-bcone-splunk-vm\nhttp_testing", "_sourcetype": "googlecloud-testing", "_time": "2024-07-11 12:46:52.0", "eventtype": null, "host": "googlecloud-bcone-splunk-vm", "index": "http_testing", "linecount": 4.0, "punct": null, "source": "Testing.txt", "sourcetype": "googlecloud-testing", "splunk_server": "googlecloud-bcone-splunk-vm", "splunk_server_group": null, "timestamp": null, "JobId": "1726051471.76" }]
Suche mit mehreren Indexen erstellen
- Klicken Sie im Dialogfeld
Configure connector task
aufEntities
. - Wählen Sie in der Liste
Entity
die OptionSearchJobs
aus. - Wählen Sie den Vorgang
Create
aus und klicken Sie auf Fertig. - Klicken Sie im Bereich Datenübersetzer der Aufgabe Datenabgleich auf
Open Data Mapping Editor
und geben Sie dann einen Wert ähnlich dem folgenden in das FeldInput Value
ein. Wählen Sie dann „EntityId/ConnectorInputPayload“ als lokale Variable aus.{ "EventSearch": "search (index=\"http_testing\" OR index= \"googlecloud-demo\" sourcetype=\"googlecloud-testing\" OR sourcetype=\"Demo_Text\")" }
Wenn die Integration erfolgreich war, hat der Antwortparameter
connectorOutputPayload
der AufgabeSearchJobs
einen Wert, der in etwa so aussieht:{ "Sid": "1727261971.4007" }
Listenvorgang mit dem Namen des Index, der in der Suchanfrage verwendet wird
- Klicken Sie im Dialogfeld
Configure connector task
aufEntities
. - Wählen Sie in der Liste
Entity
den NamenIndex Name
aus. - Wählen Sie den Vorgang
List
aus und klicken Sie auf Fertig. - Im Bereich Aufgabeneingabe der Aufgabe Connectors können Sie die filterClause festlegen, z. B. Sid= '1727261971.4007'.
Wenn die Integration erfolgreich war, hat der Antwortparameter connectorOutputPayload
der Aufgabe Index
einen Wert, der in etwa so aussieht:
[{ "_bkt": "googlecloud-demo~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF", "_cd": "00:04:00", "_eventtype_color": null, "_indextime": 1.727155516E9, "_kv": null, "_raw": "Hi team\nwe have a demo please plan accordingly\nwith Google team", "_serial": 0.0, "_si": "googlecloud-bcone-splunk-vm\ngooglecloud-demo", "_sourcetype": "Demo_Text", "_time": "2024-09-24 05:25:16.0", "eventtype": null, "host": "googlecloud-bcone-splunk-vm", "index": "googlecloud-demo", "linecount": 3.0, "punct": null, "source": "Splunk_Demo.txt", "sourcetype": "Demo_Text", "splunk_server": "googlecloud-bcone-splunk-vm", "splunk_server_group": null, "timestamp": null, "JobId": "1727261971.4007" }, { "_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF", "_cd": "00:04:00", "_eventtype_color": null, "_indextime": 1.720702012E9, "_kv": null, "_raw": "hi How r yo\nplease\nfind \nmy notes", "_serial": 1.0, "_si": "googlecloud-bcone-splunk-vm\nhttp_testing", "_sourcetype": "googlecloud-testing", "_time": "2024-07-11 12:46:52.0", "eventtype": null, "host": "googlecloud-bcone-splunk-vm", "index": "http_testing", "linecount": 4.0, "punct": null, "source": "Testing.txt", "sourcetype": "googlecloud-testing", "splunk_server": "googlecloud-bcone-splunk-vm", "splunk_server_group": null, "timestamp": null, "JobId": "1727261971.4007" }]
Beispiel – Suchablauf mit ReadJobResults
In diesem Abschnitt werden alle Suchabläufe aufgeführt, bei denen sowohl ein einzelner Index als auch mehrere von der Splunk-Verbindung unterstützte Indexe verwendet werden. Derzeit beträgt die maximale Nutzlastgröße für unterstützte Protokollergebnisse 150 MB.
Suche mit einem einzelnen Index erstellen
- Klicken Sie im Dialogfeld
Configure connector task
aufEntities
. - Wählen Sie in der Liste
Entity
die OptionSearchJobs
aus. - Wählen Sie den Vorgang
Create
aus und klicken Sie auf Fertig. - Klicken Sie im Bereich Datenübersetzer der Aufgabe Datenabgleich auf
Open Data Mapping Editor
und geben Sie dann einen Wert ähnlich dem folgenden in das FeldInput Value
ein. Wählen Sie dann „EntityId/ConnectorInputPayload“ als lokale Variable aus.{ "EventSearch": "search (index=\"http_testing\" sourcetype=\"googlecloud-testing\") " }
In diesem Beispiel wird eine Suche erstellt. Wenn die Integration erfolgreich ist, hat der Antwortparameter
connectorOutputPayload
der AufgabeSearchJobs
einen Wert, der in etwa so aussieht:{ "Sid": "1732775755.24612" }
Führe den Befehl „Erstellen“ für die Aktion „ReadJobResults“ aus, um die Suchergebnisse abzurufen. Damit die Ergebnisse anhand der Sid gefiltert werden, übergeben Sie die Sid als Parameter an die Aktion.
Ergebnisprotokolle mit der Aktion „ReadJobResults“ abrufen
- Klicken Sie im Dialogfeld
Configure connector task
aufActions
. - Wählen Sie die Aktion
ReadJobResults
aus und klicken Sie auf Fertig. - Klicken Sie im Bereich Datenübersetzer der Aufgabe Datenabgleich auf
Open Data Mapping Editor
und geben Sie dann einen Wert ähnlich dem folgenden in das FeldInput Value
ein. Wählen Sie dann „EntityId/ConnectorInputPayload“ als lokale Variable aus.{ "Sid": "1732775755.24612" }
Wenn die Aktion erfolgreich war, hat der Antwortparameter
connectorOutputPayload
der Aufgabe ReadJobResults
einen Wert, der in etwa so aussieht:
[{ "_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF", "_cd": "0:4", "_indextime": "1720702012", "_raw": "hi How r yo\nplease\nfind \nmy notes", "_serial": "1", "_si": "googlecloud-bcone-splunk-vm\nhttp_testing", "_sourcetype": "googlecloud-testing", "_time": "2024-07-11T12:46:52.000+00:00", "host": "googlecloud-bcone-splunk-vm", "index": "http_testing", "linecount": "4", "source": "Testing.txt", "sourcetype": "googlecloud-testing", "splunk_server": "googlecloud-bcone-splunk-vm", "jobid": "1732775755.24612", "sid": "1732775755.24612" }]
Suche mit mehreren Indexen erstellen
- Klicken Sie im Dialogfeld
Configure connector task
aufEntities
. - Wählen Sie in der Liste
Entity
die OptionSearchJobs
aus. - Wählen Sie den Vorgang
Create
aus und klicken Sie auf Fertig. - Klicken Sie im Bereich Datenübersetzer der Aufgabe Datenabgleich auf
Open Data Mapping Editor
und geben Sie dann einen Wert ähnlich dem folgenden in das FeldInput Value
ein. Wählen Sie dann „EntityId/ConnectorInputPayload“ als lokale Variable aus.{ "EventSearch": "search (index=\"http_testing\" OR index= \"googlecloud-demo\" sourcetype=\"googlecloud-testing\" OR sourcetype=\"Demo_Text\")" }
Wenn die Integration erfolgreich war, hat der Antwortparameter
connectorOutputPayload
der AufgabeSearchJobs
einen Wert, der in etwa so aussieht:{ "Sid": "1732776556.24634" }
Führen Sie den Befehl „Erstellen“ für die Aktion „ReadJobResults“ aus, um die Suchergebnisse abzurufen. Damit die Ergebnisse anhand der Sid gefiltert werden, übergeben Sie die Sid als Parameter an die Aktion.
ResultsLogs mit der Aktion „ReadJobResults“
- Klicken Sie im Dialogfeld
Configure connector task
aufActions
. - Wählen Sie die Aktion
ReadJobResults
aus und klicken Sie auf Fertig. - Klicken Sie im Bereich Datenübersetzer der Aufgabe Datenabgleich auf
Open Data Mapping Editor
und geben Sie dann einen Wert ähnlich dem folgenden in das FeldInput Value
ein. Wählen Sie dann „EntityId/ConnectorInputPayload“ als lokale Variable aus.{ "Sid": "1732776556.24634" }
- Informationen zum Erstellen und Verwenden der Connectors-Aufgabe in Apigee Integration finden Sie unter Connectors-Aufgabe.
- Informationen zum Erstellen und Verwenden der Connectors-Aufgabe in Application Integration finden Sie unter Connectors-Aufgabe.
Wenn die Aktion erfolgreich war, hat der Antwortparameter connectorOutputPayload
der Aufgabe ReadJobResults
einen Wert, der in etwa so aussieht:
[{ "_bkt": "googlecloud-demo~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF", "_cd": "0:4", "_indextime": "1727155516", "_raw": "Hi team\nwe have a demo please plan accordingly\nwith Google team", "_serial": "0", "_si": "googlecloud-bcone-splunk-vm\googlecloud-demo", "_sourcetype": "Demo_Text", "_time": "2024-09-24T05:25:16.000+00:00", "host": "googlecloud-bcone-splunk-vm", "index": "googlecloud-demo", "linecount": "3", "source": "Splunk_Demo.txt", "sourcetype": "Demo_Text", "splunk_server": "googlecloud-bcone-splunk-vm", "jobid": "1732776556.24634", "sid": "1732776556.24634" },{ "_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF", "_cd": "0:4", "_indextime": "1720702012", "_raw": "hi How r yo\nplease\nfind \nmy notes", "_serial": "1", "_si": "googlecloud-bcone-splunk-vm\nhttp_testing", "_sourcetype": "googlecloud-testing", "_time": "2024-07-11T12:46:52.000+00:00", "host": "googlecloud-bcone-splunk-vm", "index": "http_testing", "linecount": "4", "source": "Testing.txt", "sourcetype": "googlecloud-testing", "splunk_server": "googlecloud-bcone-splunk-vm", "jobid": "1732776556.24634", "sid": "1732776556.24634" }]
Verbindungen mit Terraform erstellen
Sie können die Terraform-Ressource verwenden, um eine neue Verbindung zu erstellen.Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.
Eine Beispiel-Terraform-Vorlage zum Erstellen einer Verbindung finden Sie unter Beispielvorlage.
Wenn Sie diese Verbindung mit Terraform erstellen, müssen Sie die folgenden Variablen in Ihrer Terraform-Konfigurationsdatei festlegen:
Parametername | Datentyp | Erforderlich | Beschreibung |
---|---|---|---|
Ausführlichkeit | STRING | Falsch | Detaillierungsgrad der Verbindung, variiert von 1 bis 5. Bei einem höheren Ausführlichkeitsgrad werden alle Kommunikationsdetails (Anfrage,Antwort und SSL-Zertifikate) protokolliert. |
proxy_enabled | BOOLEAN | Falsch | Klicken Sie dieses Kästchen an, um einen Proxyserver für die Verbindung zu konfigurieren. |
proxy_auth_scheme | ENUM | Falsch | Der Authentifizierungstyp, der für die Authentifizierung beim ProxyServer-Proxy verwendet werden soll. Unterstützte Werte: BASIC, DIGEST, NONE |
proxy_user | STRING | Falsch | Ein Nutzername, der für die Authentifizierung beim ProxyServer-Proxy verwendet werden soll. |
proxy_password | VERTRAULICH | Falsch | Ein Passwort, das für die Authentifizierung beim ProxyServer-Proxy verwendet werden soll. |
proxy_ssltype | ENUM | Falsch | Der SSL-Typ, der beim Herstellen einer Verbindung zum ProxyServer-Proxy verwendet werden soll. Unterstützte Werte: AUTO, ALWAYS, NEVER, TUNNEL |
Splunk-Verbindung in einer Integration verwenden
Nachdem Sie die Verbindung erstellt haben, ist sie sowohl in Apigee Integration als auch in Application Integration verfügbar. Sie können die Verbindung über die Connectors-Aufgabe in einer Integration verwenden.