Splunk

Mit dem Splunk-Connector können Sie Vorgänge zum Einfügen, Löschen, Aktualisieren und Lesen in der Splunk-Datenbank ausführen.

Hinweis

Führen Sie vor der Verwendung des Splunk-Connectors die folgenden Aufgaben aus:

  • In Ihrem Google Cloud-Projekt:
    • Prüfen Sie, ob eine Netzwerkverbindung eingerichtet ist. Informationen zu Netzwerkmustern finden Sie unter Netzwerkkonnektivität.
    • Weisen Sie dem Nutzer, der den Connector konfiguriert, die IAM-Rolle roles/connectors.admin zu.
    • Weisen Sie dem Dienstkonto, das Sie für den Connector verwenden möchten, die folgenden IAM-Rollen zu:
      • roles/secretmanager.viewer
      • roles/secretmanager.secretAccessor

      Ein Dienstkonto ist eine spezielle Art von Google-Konto, das einen nicht menschlichen Nutzer repräsentiert. Es muss authentifiziert und autorisiert werden, um Zugriff auf Daten in Google APIs zu erhalten. Wenn Sie kein Dienstkonto haben, müssen Sie eins erstellen. Weitere Informationen finden Sie unter Dienstkonto erstellen.

    • Aktivieren Sie die folgenden Dienste:
      • secretmanager.googleapis.com (Secret Manager API)
      • connectors.googleapis.com (Connectors API)

      Informationen zum Aktivieren von Diensten finden Sie unter Dienste aktivieren.

    Wenn diese Dienste oder Berechtigungen für Ihr Projekt zuvor nicht aktiviert wurden, werden Sie aufgefordert, sie beim Konfigurieren des Connectors zu aktivieren.

Connector konfigurieren

Für die Konfiguration des Connectors müssen Sie eine Verbindung zu Ihrer Datenquelle (Backend-System) erstellen. Eine Verbindung ist für eine Datenquelle spezifisch. Wenn Sie also viele Datenquellen haben, müssen Sie für jede Datenquelle eine separate Verbindung erstellen. So erstellen Sie eine Verbindung:

  1. Rufen Sie in der Cloud Console die Seite Integration Connectors > Verbindungen auf und wählen Sie ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Seite „Verbindungen“

  2. Klicken Sie auf + NEU ERSTELLEN, um die Seite Verbindung erstellen zu öffnen.
  3. Wählen Sie im Abschnitt Standort den Standort für die Verbindung aus.
    1. Region: Wählen Sie einen Standort aus der Drop-down-Liste aus.

      Eine Liste aller unterstützten Regionen finden Sie unter Standorte.

    2. Tippen Sie auf Weiter.
  4. Führen Sie im Abschnitt Verbindungsdetails folgende Schritte aus:
    1. Connector: Wählen Sie Splunk aus der Drop-down-Liste der verfügbaren Connectors aus.
    2. Connector-Version: Wählen Sie die Connector-Version aus der Drop-down-Liste der verfügbaren Versionen aus.
    3. Geben Sie im Feld Verbindungsname einen Namen für die Verbindungsinstanz ein.

      Verbindungsnamen müssen die folgenden Kriterien erfüllen:

      • Verbindungsnamen können Buchstaben, Ziffern oder Bindestriche enthalten.
      • Buchstaben müssen Kleinbuchstaben sein.
      • Verbindungsnamen müssen mit einem Buchstaben beginnen und mit einem Buchstaben oder einer Ziffer enden.
      • Verbindungsnamen dürfen maximal 49 Zeichen haben.
    4. Geben Sie optional unter Beschreibung eine Beschreibung für die Verbindungsinstanz ein.
    5. Optional können Sie Cloud Logging aktivieren und dann eine Logebene auswählen. Die Logebene ist standardmäßig auf Error festgelegt.
    6. Dienstkonto: Wählen Sie ein Dienstkonto, das über die erforderlichen Rollen verfügt.
    7. Optional: Konfigurieren Sie die Verbindungsknoteneinstellungen:

      • Mindestanzahl von Knoten: Geben Sie die Mindestanzahl von Verbindungsknoten ein.
      • Maximale Anzahl von Knoten: Geben Sie die maximale Anzahl von Verbindungsknoten ein.

      Ein Knoten ist eine Einheit (oder ein Replikat) einer Verbindung, die Transaktionen verarbeitet. Zur Verarbeitung von mehr Transaktionen für eine Verbindung sind mehr Knoten erforderlich. Umgekehrt sind weniger Knoten erforderlich, um weniger Transaktionen zu verarbeiten. Informationen zu den Auswirkungen der Knoten auf Ihre Connector-Preise finden Sie unter Preise für Verbindungsknoten. Wenn Sie keine Werte eingeben, ist die Mindestanzahl von Knoten standardmäßig auf 2 (für eine bessere Verfügbarkeit) und die maximale Knotenzahl auf 50 gesetzt.

    8. Klicken Sie optional auf + LABEL HINZUFÜGEN, um der Verbindung ein Label in Form eines Schlüssel/Wert-Paars hinzuzufügen.
    9. Tippen Sie auf Weiter.
  5. Geben Sie im Abschnitt Ziele die Details zum Remote-Host (Backend-System) ein, zu dem Sie eine Verbindung herstellen möchten.
    1. Zieltyp: Wählen Sie einen Zieltyp aus.
      • Wählen Sie in der Liste Hostadresse aus, um den Hostnamen oder die IP-Adresse des Ziels anzugeben.
      • Wenn Sie eine private Verbindung zu Ihren Backend-Systemen herstellen möchten, wählen Sie in der Liste Endpunktanhang und dann den erforderlichen Endpunktanhang aus der Liste Endpunktanhang aus.

      Wenn Sie eine öffentliche Verbindung zu Ihren Back-End-Systemen mit zusätzlicher Sicherheit herstellen möchten, können Sie statische ausgehende IP-Adressen für Ihre Verbindungen konfigurieren und dann Ihre Firewallregeln konfigurieren, um nur bestimmte statische IP-Adressen zuzulassen.

      Wenn Sie weitere Ziele eingeben möchten, klicken Sie auf + ZIEL HINZUFÜGEN.

    2. Tippen Sie auf Weiter.
  6. Geben Sie im Abschnitt Authentifizierung die Authentifizierungsdetails ein.
    1. Wählen Sie einen Authentifizierungstyp aus und geben Sie die relevanten Details ein.

      Die folgenden Authentifizierungstypen werden von der Splunk-Verbindung unterstützt:

      • Nutzername und Passwort (Basisauthentifizierung)
      • AccessToken
      • HTTPEventCollectorToken

      2. Informationen zum Konfigurieren dieser Authentifizierungstypen finden Sie unter Authentifizierung konfigurieren.

    2. Tippen Sie auf WEITER.
  7. Überprüfen: Prüfen Sie Ihre Verbindungs- und Authentifizierungsdetails.
  8. Klicken Sie auf Erstellen.

Authentifizierung konfigurieren

Geben Sie die Details basierend auf der zu verwendenden Authentifizierung ein.

  • Nutzername und Passwort
    • Nutzername: Der Splunk-Nutzername für die Verbindung.
    • Kennwort: Secret Manager-Secret mit dem Passwort, das dem Splunk-Nutzernamen zugeordnet ist.
  • AccessToken: Legen Sie diese Option fest, um eine tokenbasierte Authentifizierung mithilfe der Property AccessToken durchzuführen.
  • HTTPEventCollectorToken: Legen Sie diese Option fest, um eine tokenbasierte Authentifizierung mithilfe der Property HTTPEventCollectorToken durchzuführen.

Beispiele für Verbindungskonfigurationen

In diesem Abschnitt finden Sie Beispielwerte für die verschiedenen Felder, die Sie beim Erstellen der Splunk-Verbindung konfigurieren.

Verbindungstyp des HTTP-Ereignis-Collectors

Feldname Details
Standort us-central1
Connector Splunk
Connector-Version 1
Verbindungsname splunk-http-event-coll-conn
Cloud Logging aktivieren Nein
Dienstkonto SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
Mindestanzahl von Knoten 2
Maximale Anzahl von Knoten 50
SSL aktivieren Ja
Unsichere Verbindung im Trust Store Ja
Zieltyp(Server) Hostadresse
Hostadresse 192.0.2.0
Port PORT
Tokenbasierte Authentifizierung für HTTP-Ereignis-Collector Ja
HTTPEventCollectorToken HTTPEVENTCOLLECTOR_TOKEN
Secret-Version 1

Informationen zum Erstellen eines HTTP-Ereignis-Collector-Tokens finden Sie unter HTTP-Ereignis-Collector erstellen.

SSL-Verbindungstyp

Feldname Details
Standort us-central1
Connector Splunk
Connector-Version 1
Verbindungsname splunk-ssl-connection
Cloud Logging aktivieren Ja
Dienstkonto SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
Ausführlichkeitsstufe 5
Mindestanzahl von Knoten 2
Maximale Anzahl von Knoten 50
SSL aktivieren Ja
Unsichere Verbindung Ja
Zieltyp(Server) Hostadresse
Hostadresse https://192.0.2.0
Port PORT
Nutzerpasswort Ja
Nutzername USER
Passwort PASSWORT
Secret-Version 1

Für die grundlegende Authentifizierung benötigen Sie die Rolle „Nutzer“ oder „Power User“. Informationen zum Konfigurieren eines Power Users finden Sie unter Rolle „Power User“ konfigurieren. Informationen zum Definieren von Rollen in Splunk finden Sie unter Rolle auf der Splunk-Plattform definieren.

Entitäten, Vorgänge und Aktionen

Alle Integration Connectors bieten eine Abstraktionsebene für die Objekte der verbundenen Anwendung. Sie können nur über diese Abstraktion auf die Objekte einer Anwendung zugreifen. Die Abstraktion wird Ihnen als Entitäten, Vorgänge und Aktionen zur Verfügung gestellt.

  • Entität: Eine Entität kann als Objekt oder Sammlung von Attributen in der verbundenen Anwendung oder im verbundenen Dienst verstanden werden. Die Definition einer Entität unterscheidet sich von Connector zu Connector. Beispiel: In einem Datenbank-Connector sind Tabellen die Entitäten, in einem Dateiserver-Connector sind Ordner die Entitäten und in einem Nachrichtensystem-Connector sind Warteschlangen die Entitäten.

    Es ist jedoch möglich, dass ein Connector keine Entitäten unterstützt oder keine Entitäten enthält. In diesem Fall ist die Liste Entities leer.

  • Vorgang: Ein Vorgang ist die Aktivität, die Sie für eine Entität ausführen können. Sie können einen der folgenden Vorgänge für eine Entität ausführen:

    Durch Auswahl einer Entität aus der verfügbaren Liste wird eine Liste der Vorgänge generiert, die für die Entität verfügbar sind. Eine detaillierte Beschreibung der Vorgänge finden Sie in den Entitätsvorgängen der Connectors-Aufgabe. Wenn ein Connector jedoch keinen der Entitätsvorgänge unterstützt, werden diese nicht unterstützten Vorgänge nicht in der Liste Operations aufgeführt.

  • Aktion: Eine Aktion ist eine Funktion erster Klasse, die über die Connector-Benutzeroberfläche für die Integration verfügbar gemacht wird. Mit einer Aktion können Sie Änderungen an einer oder mehreren Entitäten vornehmen, die von Connector zu Connector unterschiedlich sind. Normalerweise hat eine Aktion einige Eingabeparameter und einen Ausgabeparameter. Es ist jedoch möglich, dass ein Connector keine Aktionen unterstützt. In diesem Fall ist die Actions-Liste leer.

Systemeinschränkungen

Der Splunk-Connector kann 5 Transaktionen pro Sekunde und pro Knoten verarbeiten und drosselt alle Transaktionen, die über dieses Limit hinausgehen. Die Anzahl der Transaktionen, die dieser Connector verarbeiten kann, hängt jedoch auch von den Einschränkungen der Splunk-Instanz ab. Standardmäßig werden für eine Verbindung zwei Knoten (für eine bessere Verfügbarkeit) zugewiesen.

Informationen zu den Limits für Integration Connectors finden Sie unter Limits.

Aktionen

In diesem Abschnitt werden die vom Connector unterstützten Aktionen aufgeführt. Informationen zum Konfigurieren der Aktionen finden Sie unter Beispiele für Aktionen.

Aktion „CreateHTTPEvent“

Mit dieser Aktion können Sie Daten und Anwendungsereignisse über die HTTP- und HTTPS-Protokolle an eine Splunk-Bereitstellung senden.

Eingabeparameter der Aktion „CreateHTTPEvent“

Parametername Datentyp Erforderlich Beschreibung
EventContent String Ja Der Name der Tabelle oder Ansicht.
ContentType String Nein Der Inhaltstyp, der für die EventContent-Eingabe angegeben ist. Unterstützte Werte sind JSON und RAWTEXT.
ChannelGUID Ganzzahl Nein Die GUID des Kanals, der für das Ereignis verwendet wird. Sie müssen diesen Wert angeben, wenn ContentType = RAWTEXT ist.

Ausgabeparameter der Aktion „CreateHTTPEvent“

Diese Aktion gibt den Erfolgstatus des erstellten Ereignisses zurück.

Aktion „CreateIndex“

Mit dieser Aktion können Sie Indexe erstellen.

Eingabeparameter der CreateIndex-Aktion

Parametername Datentyp Erforderlich Beschreibung
MaxMetaEntries String Nein Legt die maximale Anzahl eindeutiger Zeilen in .data-Dateien in einem Bucket fest. Dies kann dazu beitragen, den Speicherverbrauch zu reduzieren.
FrozenTimePeriodInSecs String Nein Anzahl der Sekunden, nach denen indexierte Daten zu „gefroren“ wechseln. Standardeinstellung: 188697600 (6 Jahre).
HomePath String Nein Ein absoluter Pfad, der die Hot- und Warm-Buckets für den Index enthält.
MinRawFileSyncSecs String Nein Geben Sie für diesen Parameter eine Ganzzahl (oder disable) an. Mit diesem Parameter wird festgelegt, wie oft splunkd eine Dateisystemsynchronisierung erzwingt, während Journal-Scheiben komprimiert werden.
ProcessTrackerServiceInterval String Nein Gibt in Sekunden an, wie oft der Indexer den Status der von ihm gestarteten untergeordneten Betriebssystemprozesse prüft, um festzustellen, ob neue Prozesse für anstehende Anfragen gestartet werden können. Wenn der Wert auf „0“ festgelegt ist, prüft der Indexer den Status des untergeordneten Prozesses jede Sekunde.
ServiceMetaPeriod String Nein Hier wird festgelegt, wie oft (in Sekunden) Metadaten mit dem Laufwerk synchronisiert werden.
MaxHotSpanSecs String Nein Obergrenze der maximalen Zielzeitspanne (in Sekunden) für Hot- oder Warm-Buckets.
QuarantinePastSecs String Nein Ereignisse mit dem Zeitstempel „quarantinePastSecs“, der älter als >now ist, werden in den Quarantänebereich verschoben.
ColdToFrozenDir String Nein Zielpfad für das eingefrorene Archiv. Als Alternative zu einem ColdToFrozenScript verwenden.
ColdPath String Nein Ein absoluter Pfad, der die ColdDBs für den Index enthält. Der Pfad muss lesbar und beschreibbar sein.
MaxHotIdleSecs String Nein Maximale Lebensdauer eines Hot-Buckets in Sekunden
WarmToColdScript String Nein Pfad zu einem Script, das ausgeführt wird, wenn Daten von „warm“ zu „kalt“ verschoben werden.
ColdToFrozenScript String Nein Pfad zum Archivierungsskript.
MaxHotBuckets String Nein Die maximale Anzahl heißer Buckets, die pro Index vorhanden sein können.
TstatsHomePath String Nein Speicherort für TSIDX-Daten der Datenmodellbeschleunigung für diesen Index. Falls angegeben, muss es in Form einer Volumendefinition definiert sein. Der Pfad muss beschreibbar sein.
RepFactor String Nein Indexreplikationssteuerung Dieser Parameter gilt nur für Peer-Knoten im Cluster.
  • auto: Es wird der Konfigurationswert für die Replikation des Masterindexes verwendet.
  • 0: Replikation für diesen Index deaktivieren.
MaxDataSize String Nein Die maximale Größe in MB, die eine heiße Datenbank erreichen darf, bevor eine Umstellung auf eine Warm-DB ausgelöst wird. Wenn Sie auto oder auto_high_volume angeben, wird dieser Parameter automatisch von Splunk optimiert (empfohlen).
MaxBloomBackfillBucketAge String Nein Gültige Werte: Ganzzahl[m|s|h|d] Wenn ein Warm- oder Cold-Bucket älter als das angegebene Alter ist, wird sein Bloom-Filter nicht erstellt oder neu erstellt. Geben Sie „0“ an, damit Bloom-Filter nie neu erstellt werden.
BlockSignSize String Nein Bestimmt, aus wie vielen Ereignissen ein Block für Blocksignaturen besteht. Wenn dieser Wert auf „0“ festgelegt ist, ist die Blocksignatur für diesen Index deaktiviert. Der empfohlene Wert ist 100.
Name String Ja Der Name des zu erstellenden Index
MaxTotalDataSizeMB String Nein Die maximale Größe eines Index (in MB). Wenn ein Index größer als die maximale Größe wird, werden die ältesten Daten eingefroren.
MaxWarmDBCount String Nein Die maximale Anzahl von warmen Buckets. Wird diese Anzahl überschritten, werden die Bucket(s) mit dem niedrigsten Wert für die letzten Zeiträume in den „Cold“-Bucket verschoben.
RawChunkSizeBytes String Nein Zielgröße der unkomprimierten Größe in Byte für einen einzelnen Rohdaten-Speicherblock im Raw-Daten-Journal des Index. „0“ ist kein gültiger Wert. Wenn „0“ angegeben wird, wird „rawChunkSizeBytes“ auf den Standardwert festgelegt.
DataType String Nein Gibt den Indextyp an
MaxConcurrentOptimizes String Nein Die Anzahl der gleichzeitigen Optimierungsprozesse, die für einen Hot-Bucket ausgeführt werden können.
ThrottleCheckPeriod String Nein Hier wird festgelegt, wie oft (in Sekunden) Splunk die Indexdrosselungsbedingung prüft.
SyncMeta String Nein Wenn diese Option aktiviert ist, wird bei Aktualisierungen von Metadatendateien ein Synchronisierungsvorgang aufgerufen, bevor der Dateideskriptor geschlossen wird. Diese Funktion verbessert die Integrität von Metadatendateien, insbesondere bei Betriebssystemabstürzen oder Geräteausfällen.
RotatePeriodInSecs String Nein Häufigkeit in Sekunden, mit der geprüft wird, ob ein neuer Hot-Bucket erstellt werden muss. Außerdem, wie oft er prüfen soll, ob es warme/kalte Eimer gibt, die gerollt/gefroren werden sollten.

Ausgabeparameter der Aktion „CreateIndex“

Diese Aktion gibt die Bestätigungsmeldung der Aktion „CreateIndex“ zurück.

Ein Beispiel zum Konfigurieren der CreateIndex-Aktion finden Sie unter Beispiele für Aktionen.

Aktion „CreateSavedSearch“

Mit dieser Aktion können Sie Ihre Suchanfragen speichern.

Eingabeparameter der Aktion „CreateSavedSearch“

Parametername Datentyp Erforderlich Beschreibung
IsVisible Boolesch Ja Gibt an, ob diese gespeicherte Suche in der Liste der sichtbaren gespeicherten Suchanfragen angezeigt wird.
RealTimeSchedule Boolesch Ja Wenn dieser Wert auf „1“ festgelegt ist, orientiert sich der Planer bei der Bestimmung der nächsten geplanten Ausführungszeit an der aktuellen Uhrzeit. Wenn dieser Wert auf „0“ festgelegt ist, wird er anhand der Zeit der letzten Suchausführung ermittelt.
Suchen String Ja Die zu speichernde Suchanfrage
Beschreibung String Nein Beschreibung dieser gespeicherten Suche
SchedulePriority String Ja Gibt die Planungspriorität einer bestimmten Suche an.
CronSchedule String Ja Der Cron-Zeitplan für die Ausführung dieser Suche. Mit */5 * * * * wird die Suche beispielsweise alle 5 Minuten ausgeführt.
Name String Ja Einen Namen für die Suche
UserContext String Ja Wenn ein Nutzerkontext angegeben ist, wird der servicesNS-Knoten (/servicesNS/[UserContext]/search) verwendet. Andernfalls wird standardmäßig der allgemeine Endpunkt /services verwendet.
RunOnStartup Boolesch Ja Gibt an, ob diese Suche beim Start ausgeführt wird. Wenn die Suche nicht beim Start ausgeführt wird, erfolgt dies zum nächsten geplanten Zeitpunkt.
Deaktiviert Boolesch Nein Gibt an, ob diese gespeicherte Suche deaktiviert ist.
IsScheduled Boolesch Ja Gibt an, ob diese Suche nach einem Zeitplan ausgeführt werden soll.

Ausgabeparameter der Aktion „CreateSavedSearch“

Diese Aktion gibt eine Bestätigungsmeldung für die Aktion „CreateSavedSearch“ zurück.

Ein Beispiel zum Konfigurieren der CreateSavedSearch-Aktion finden Sie unter Beispiele für Aktionen.

Aktion „UpdateSavedSearch“

Mit dieser Aktion können Sie eine gespeicherte Suche aktualisieren.

Eingabeparameter der Aktion „UpdateSavedSearch“

Parametername Datentyp Erforderlich Beschreibung
IsVisible Boolesch Ja Gibt an, ob diese gespeicherte Suche in der Liste der sichtbaren gespeicherten Suchanfragen angezeigt wird.
RealTimeSchedule Boolesch Ja Wenn dieser Wert auf „1“ festgelegt ist, orientiert sich der Planer bei der Bestimmung der nächsten geplanten Ausführungszeit der Suche an der aktuellen Uhrzeit. Wenn dieser Wert auf „0“ festgelegt ist, wird er anhand der letzten Ausführungszeit der Suche ermittelt.
Suchen String Ja Die zu speichernde Suchanfrage
Beschreibung String Nein Beschreibung dieser gespeicherten Suche
SchedulePriority String Ja Gibt die Planungspriorität einer bestimmten Suche an.
CronSchedule String Ja Der Cron-Zeitplan für die Ausführung dieser Suche. Mit */5 * * * * wird die Suche beispielsweise alle 5 Minuten ausgeführt.
Name String Ja Einen Namen für die Suche
UserContext String Ja Wenn ein Nutzerkontext angegeben ist, wird der servicesNS-Knoten (/servicesNS/[UserContext]/search) verwendet. Andernfalls wird standardmäßig der allgemeine Endpunkt /services verwendet.
RunOnStartup Boolesch Ja Gibt an, ob diese Suche beim Start ausgeführt wird. Wenn die Suche nicht beim Start ausgeführt wird, erfolgt dies zum nächsten geplanten Zeitpunkt.
Deaktiviert Boolesch Nein Gibt an, ob diese gespeicherte Suche deaktiviert ist.
IsScheduled Boolesch Ja Gibt an, ob diese Suche nach einem Zeitplan ausgeführt werden soll.

Ausgabeparameter der Aktion „UpdateSavedSearch“

Diese Aktion gibt eine Bestätigungsmeldung für die Aktion „UpdateSavedSearch“ zurück.

Ein Beispiel zum Konfigurieren der UpdateSavedSearch-Aktion finden Sie unter Beispiele für Aktionen.

DeleteIndex-Aktion

Mit dieser Aktion können Sie einen Index löschen.

Eingabeparameter der DeleteIndex-Aktion

Parametername Datentyp Erforderlich Beschreibung
Name String Ja Der Name des zu löschenden Index.

Ausgabeparameter der Aktion „DeleteIndex“

Diese Aktion gibt eine Bestätigungsnachricht für die Aktion „DeleteIndex“ zurück.

Ein Beispiel zum Konfigurieren der DeleteIndex-Aktion finden Sie unter Beispiele für Aktionen.

Aktion „UpdateIndex“

Mit dieser Aktion können Sie einen Index aktualisieren.

Eingabeparameter der UpdateIndex-Aktion

Parametername Datentyp Erforderlich Beschreibung
MaxMetaEntries String Nein Legt die maximale Anzahl eindeutiger Zeilen in .data-Dateien in einem Bucket fest. Dies kann dazu beitragen, den Speicherverbrauch zu reduzieren.
FrozenTimePeriodInSecs String Nein Anzahl der Sekunden, nach denen indexierte Daten zu „gefroren“ wechseln. Standardeinstellung: 188697600 (6 Jahre).
HomePath String Nein Ein absoluter Pfad, der die Hot- und Warm-Buckets für den Index enthält.
MinRawFileSyncSecs String Nein Geben Sie für diesen Parameter eine Ganzzahl (oder disable) an. Mit diesem Parameter wird festgelegt, wie oft splunkd eine Dateisystemsynchronisierung erzwingt, während Journal-Scheiben komprimiert werden.
ProcessTrackerServiceInterval String Nein Gibt in Sekunden an, wie oft der Indexer den Status der von ihm gestarteten untergeordneten Betriebssystemprozesse prüft, um festzustellen, ob neue Prozesse für anstehende Anfragen gestartet werden können. Wenn der Wert auf „0“ festgelegt ist, prüft der Indexer den Status des untergeordneten Prozesses jede Sekunde.
ServiceMetaPeriod String Nein Hier wird festgelegt, wie oft (in Sekunden) Metadaten mit dem Laufwerk synchronisiert werden.
MaxHotSpanSecs String Nein Obergrenze der maximalen Zielzeitspanne (in Sekunden) für Hot- oder Warm-Buckets.
QuarantinePastSecs String Nein Ereignisse mit dem Zeitstempel „quarantinePastSecs“, der älter als now ist, werden in den Quarantänebereich verschoben.
ColdToFrozenDir String Nein Zielpfad für das eingefrorene Archiv. Als Alternative zu einem ColdToFrozenScript verwenden.
ColdPath String Nein Ein absoluter Pfad, der die ColdDBs für den Index enthält. Der Pfad muss lesbar und beschreibbar sein.
MaxHotIdleSecs String Nein Maximale Lebensdauer eines Hot-Buckets in Sekunden.
WarmToColdScript String Nein Pfad zu einem Script, das ausgeführt wird, wenn Daten von „warm“ zu „kalt“ verschoben werden.
ColdToFrozenScript String Nein Pfad zum Archivierungsskript.
MaxHotBuckets String Nein Die maximale Anzahl heißer Buckets, die pro Index vorhanden sein können.
TstatsHomePath String Nein Speicherort für TSIDX-Daten der Datenmodellbeschleunigung für diesen Index. Falls angegeben, muss es in Form einer Volumedefinition definiert sein. Der Pfad muss beschreibbar sein.
RepFactor String Nein Indexreplikationssteuerung Dieser Parameter gilt nur für Peer-Knoten im Cluster.
  • auto: Es wird der Konfigurationswert für die Replikation des Masterindexes verwendet.
  • 0: Replikation für diesen Index deaktivieren.
MaxDataSize String Nein Die maximale Größe in MB, die eine heiße Datenbank erreichen darf, bevor eine Umstellung auf eine Warm-DB ausgelöst wird. Wenn Sie auto oder auto_high_volume angeben, wird dieser Parameter automatisch von Splunk optimiert (empfohlen).
MaxBloomBackfillBucketAge String Nein Gültige Werte: Ganzzahl[m|s|h|d] Wenn ein heißer oder kalter Bucket älter als das angegebene Alter ist, wird sein Bloom-Filter nicht erstellt oder neu erstellt. Geben Sie „0“ an, damit Bloom-Filter nie neu erstellt werden.
BlockSignSize String Nein Bestimmt, wie viele Ereignisse einen Block für Blocksignaturen bilden. Wenn dieser Wert auf „0“ gesetzt ist, ist die Blocksignatur für diesen Index deaktiviert. Der empfohlene Wert ist 100.
Name String Ja Der Name des zu erstellenden Index
MaxTotalDataSizeMB String Ja Die maximale Größe eines Index (in MB). Wenn ein Index größer als die maximale Größe wird, werden die ältesten Daten eingefroren.
MaxWarmDBCount String Nein Die maximale Anzahl von warmen Buckets. Wird diese Anzahl überschritten, werden die Bucket(s) mit dem niedrigsten Wert für die letzten Zeiträume in den „Cold“-Bucket verschoben.
RawChunkSizeBytes String Nein Zielgröße der unkomprimierten Größe in Byte für einen einzelnen Rohdaten-Speicherblock im Raw-Datenprotokoll des Index. „0“ ist kein gültiger Wert. Wenn „0“ angegeben wird, wird „rawChunkSizeBytes“ auf den Standardwert festgelegt.
DataType String Nein Gibt den Indextyp an
MaxConcurrentOptimizes String Nein Die Anzahl der gleichzeitigen Optimierungsprozesse, die für einen Hot-Bucket ausgeführt werden können.
ThrottleCheckPeriod String Nein Hier wird festgelegt, wie oft (in Sekunden) Splunk die Indexdrosselungsbedingung prüft.
SyncMeta String Nein Wenn diese Option aktiviert ist, wird bei Aktualisierungen von Metadatendateien ein Synchronisierungsvorgang aufgerufen, bevor der Dateideskriptor geschlossen wird. Diese Funktion verbessert die Integrität von Metadatendateien, insbesondere bei Betriebssystemabstürzen oder Geräteausfällen.
RotatePeriodInSecs String Nein Häufigkeit in Sekunden, mit der geprüft wird, ob ein neuer Hot-Bucket erstellt werden muss. Außerdem, wie oft Sie prüfen sollen, ob es warme oder kalte Eimer gibt, die gerollt oder eingefroren werden sollten.

Ausgabeparameter der Aktion „UpdateIndex“

Diese Aktion gibt eine Bestätigungsmeldung für die Aktion „UpdateIndex“ zurück.

Ein Beispiel zum Konfigurieren der UpdateIndex-Aktion finden Sie unter Beispiele für Aktionen.

Beispiele für Aktionen

Beispiel: HTTP-Ereignis erstellen

In diesem Beispiel wird ein HTTP-Ereignis erstellt.

  1. Klicken Sie im Dialogfeld Configure connector task auf Actions.
  2. Wählen Sie die Aktion CreateHTTPEvent aus und klicken Sie auf Fertig.
  3. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Default Value ein: 
    {
"EventContent": "Testing Task",
"ContentType": "RAWTEXT",
"ChannelGUID": "ContentType=RAWTEXT"
}

    4. Wenn die Aktion erfolgreich war, hat der Antwortparameter connectorOutputPayload der Aufgabe CreateHTTPEvent einen Wert, der in etwa so aussieht:

    [{
"Success": "Success"
}]

Beispiel: Index erstellen

In diesem Beispiel wird ein Index erstellt.

  1. Klicken Sie im Dialogfeld Configure connector task auf Actions.
  2. Wählen Sie die Aktion CreateIndex aus und klicken Sie auf Fertig.
  3. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Default Value ein: 
    {
"Name": "http_testing"
}

    4. Wenn die Aktion erfolgreich war, hat der Antwortparameter connectorOutputPayload der Aufgabe CreateIndex einen Wert, der in etwa so aussieht:

    [{
"AssureUTF8": null,
"BlockSignSize": null,
"BlockSignatureDatabase": null,
"BucketRebuildMemoryHint": null,
"ColdPath": null,
"FrozenTimePeriodInSecs": null,
"HomePath": null,
"HomePathExpanded": null,
"IndexThreads": null,
"IsInternal": null,
"MaxConcurrentOptimizes": null,
"MaxDataSize": null,
"MaxHotBuckets": null,
"SuppressBannerList": null,
"Sync": null,
"SyncMeta": null,
"ThawedPath": null,
"ThawedPathExpanded": null,
"TstatsHomePath": null,
"WarmToColdScript": null,
}]

Beispiel: Gespeicherte Suchanfrage erstellen

In diesem Beispiel wird eine gespeicherte Suche erstellt.

  1. Klicken Sie im Dialogfeld Configure connector task auf Actions.
  2. Wählen Sie die Aktion CreateSavedSearch aus und klicken Sie auf Fertig.
  3. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Default Value ein: 
    {
"Name": "test_created_g",
"Search": "index=\"http_testing\"",
"CronSchedule": "*/1 * * * *",
"IsVisible": true,
"RealTimeSchedule": true,
"RunOnStartup": true,
"IsScheduled": true,
"SchedulePriority": "highest",
"UserContext": "nobody"
}

    4. Wenn die Aktion erfolgreich war, hat der Antwortparameter connectorOutputPayload der Aufgabe CreateSavedSearch einen Wert, der in etwa so aussieht:

    [{
"Success": true,
"Message": null
}]

Beispiel: Gespeicherte Suchanfrage aktualisieren

In diesem Beispiel wird eine gespeicherte Suche aktualisiert.

  1. Klicken Sie im Dialogfeld Configure connector task auf Actions.
  2. Wählen Sie die Aktion UpdateSavedSearch aus und klicken Sie auf Fertig.
  3. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Default Value ein: 
    {
"Name": "test_created_g",
"Search": "index=\"december_test_data\"",
"CronSchedule": "*/1 * * * *",
"IsVisible": true,
"RealTimeSchedule": true,
"RunOnStartup": true,
"IsScheduled": true,
"SchedulePriority": "highest"
}

    4. Wenn die Aktion erfolgreich war, hat der Antwortparameter connectorOutputPayload der Aufgabe UpdateSavedSearch einen Wert, der in etwa so aussieht:

    [{
"Success": true,
"Message": null
}]

Beispiel: Index löschen

In diesem Beispiel wird ein Index gelöscht.

  1. Klicken Sie im Dialogfeld Configure connector task auf Actions.
  2. Wählen Sie die Aktion DeleteIndex aus und klicken Sie auf Fertig.
  3. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Default Value ein: 
    {
"Name": "g_http_testing"
}

    4. Wenn die Aktion erfolgreich war, hat der Antwortparameter connectorOutputPayload der Aufgabe DeleteIndex einen Wert, der in etwa so aussieht:

    [{
"Success": true,
"ErrorCode": null,
"ErrorMessage": null
}]

Beispiel: Index aktualisieren

In diesem Beispiel wird ein Index aktualisiert.

  1. Klicken Sie im Dialogfeld Configure connector task auf Actions.
  2. Wählen Sie die Aktion UpdateIndex aus und klicken Sie auf Fertig.
  3. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Default Value ein: 
    {
"MaxTotalDataSizeMB": "400000",
"Name": "g_http_testing"
}

    4. Wenn die Aktion erfolgreich war, hat der Antwortparameter connectorOutputPayload der Aufgabe UpdateIndex einen Wert, der in etwa so aussieht:

    [{
"AssureUTF8": false,
"BlockSignSize": null,
"BlockSignatureDatabase": null,
"BucketRebuildMemoryHint": "auto",
"ColdPath": "$SPLUNK_DB\\g_http_testing\\colddb",
"ColdPathExpanded": "C:\\Program Files\\Splunk\\var\\lib\\splunk\\g_http_testing\\colddb",
"ColdToFrozenDir": "",
"ColdToFrozenScript": "",
"CurrentDBSizeMB": 1.0,
"DefaultDatabase": "main",
"EnableOnlineBucketRepair": true,
"EnableRealtimeSearch": true,
"FrozenTimePeriodInSecs": 1.886976E8,
"HomePath": "$SPLUNK_DB\\g_http_testing\\db",
"HomePathExpanded": "C:\\Program Files\\Splunk\\var\\lib\\splunk\\g_http_testing\\db",
"IndexThreads": "auto",
"IsInternal": false,
"LastInitTime": "2024-01-08 05:15:28.0",
"MaxBloomBackfillBucketAge": "30d",
"ThawedPath": "$SPLUNK_DB\\g_http_testing\\thaweddb",
"ThawedPathExpanded": "C:\\Program Files\\Splunk\\var\\lib\\splunk\\g_http_testing\\thaweddb",
"ThrottleCheckPeriod": 15.0,
"TotalEventCount": 0.0,
"TsidxDedupPostingsListMaxTermsLimit": 8388608.0,
"TstatsHomePath": "volume:_splunk_summaries\\$_index_name\\datamodel_summary",
"WarmToColdScript": "",
"Success": true,
"ErrorCode": null,
"ErrorMessage": null
}]

Beispiele für Entitätsvorgänge

In diesem Abschnitt wird beschrieben, wie Sie einige Entitätsvorgänge in diesem Connector ausführen.

Beispiel: Alle Einträge auflisten

In diesem Beispiel werden alle Einträge in der Entität SearchJobs aufgelistet.

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie in der Liste Entity die Option SearchJobs aus.
  3. Wählen Sie den Vorgang List aus und klicken Sie auf Fertig.
  4. Optional können Sie im Bereich Aufgabeneingabe der Aufgabe Connectors einen Filter angeben, um den Ergebnissatz einzugrenzen. Geben Sie den Wert der Filterklausel immer in einfache Anführungszeichen (') ein.

Beispiel: Datensatz aus einer Entität abrufen

In diesem Beispiel wird ein Datensatz mit der angegebenen ID aus der SearchJobs-Entität abgerufen.

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie in der Liste Entity die Option SearchJobs aus.
  3. Wählen Sie den Vorgang Get aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf EntityId und geben Sie dann 1698309163.1300 in das Feld Standardwert ein.

    Hier ist 1698309163.1300 eine eindeutige Datensatz-ID in der Entität SearchJobs.

Beispiel: Datensatz in einer Entität erstellen

In diesem Beispiel wird ein Eintrag in der SearchJobs-Entität erstellt.

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie in der Liste Entity die Option SearchJobs aus.
  3. Wählen Sie den Vorgang Create aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Datenübersetzer der Aufgabe Datenabgleich auf Open Data Mapping Editor und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Input Value ein. Wählen Sie dann „EntityId/ConnectorInputPayload“ als lokale Variable aus. 
    { 
"EventSearch": "search (index=\"antivirus_logs\") sourcetype=access_combined | rex  \"(?\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3})\" | iplocation IP_address| table IP_address, City, Country" 
}

    Wenn die Integration erfolgreich war, hat der Antwortparameter connectorOutputPayload der Aufgabe SearchJobs einen Wert, der in etwa so aussieht:

    {
"Sid": "1699336785.1919"
}

Beispiel: Datensatz in einer Entität erstellen

In diesem Beispiel wird ein Eintrag in der DataModels-Entität erstellt.

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie in der Liste Entity die Option DataModels aus.
  3. Wählen Sie den Vorgang Create aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Default Value ein: 
    {
"Id": "Test1",
"Acceleration": "{\"enabled\":false,\"earliest_time\":\"\",
\"max_time\":3600,\"backfill_time\":\"\",\"source_guid\":\"\",
\"manual_rebuilds\":false,\"poll_buckets_until_maxtime\":false,
\"max_concurrent\":3,\"allow_skew\":\"0\",\"schedule_priority\":\"default\"
,\"allow_old_summaries\":false,\"hunk.file_format\":\"\",\"hunk.dfs_block_size\":0,
\"hunk.compression_codec\":\"\",\"workload_pool\":\"\"}"
}

    Wenn die Integration erfolgreich war, enthält das Feld connectorOutputPayload der Connector-Aufgabe einen Wert, der in etwa so aussieht:

    [{
"Id": "Test1"
}]

Beispiel: Datensatz aus einer Entität löschen

In diesem Beispiel wird der Datensatz mit der angegebenen ID in der Entität DataModels gelöscht.

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie in der Liste Entity die Option DataModels aus.
  3. Wählen Sie den Vorgang Delete aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf entityId und geben Sie dann Test1 in das Feld Standardwert ein.

Beispiel: Datensatz in einer Entität aktualisieren

In diesem Beispiel wird ein Datensatz in der Entität DataModels aktualisiert.

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie in der Liste Entity die Option DataModels aus.
  3. Wählen Sie den Vorgang Update aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Default Value ein: 
    {
"Acceleration": "{\"enabled\":true,\"earliest_time\":\"-3mon\",
\"cron_schedule\":\"*/5 * * * *\",\"max_time\":60,
\"backfill_time\":\"\",\"source_guid\":\"\",\"manual_rebuilds\":false,
\"poll_buckets_until_maxtime\":false,\"max_concurrent\":3,
\"allow_skew\":\"0\",\"schedule_priority\":\"default\",
\"allow_old_summaries\":false,\"hunk.file_format\":\"\",\"hunk.dfs_block_size\":0,
\"hunk.compression_codec\":\"\",\"workload_pool\":\"\"}"
}
  5. Klicken Sie auf entityId und geben Sie dann /servicesNS/nobody/search/datamodel/model/Testing in das Feld Standardwert ein.

    Wenn die Integration erfolgreich war, enthält das Feld connectorOutputPayload der Connector-Aufgabe einen Wert, der in etwa so aussieht:

    [{
"Id": "/servicesNS/nobody/search/datamodel/model/Testing"
}]

Beispiel – Suchablauf mit Index

In diesem Abschnitt werden alle Suchabläufe mit einem einzelnen Index und mehreren Indexen aufgeführt.

Suche mit einem einzelnen Index erstellen

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie in der Liste Entity die Option SearchJobs aus.
  3. Wählen Sie den Vorgang Create aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Datenübersetzer der Aufgabe Datenabgleich auf Open Data Mapping Editor und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Input Value ein. Wählen Sie dann „EntityId/ConnectorInputPayload“ als lokale Variable aus. 
    {
"EventSearch": "search (index=\"http_testing\" sourcetype=\"googlecloud-testing\") "
}

    Wenn die Integration erfolgreich war, hat der Antwortparameter connectorOutputPayload der Aufgabe SearchJobs einen Wert, der in etwa so aussieht:

    {
"Sid": "1726051471.76"
}

Vorgang auflisten, der den in der Suchanfrage verwendeten Indexnamen verwendet

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie in der Liste Entity die Option Index Name aus.
  3. Wählen Sie den Vorgang List aus und klicken Sie auf Fertig.
  4. Im Bereich Aufgabeneingabe der Aufgabe Connectors können Sie die filterClause festlegen, z. B. Sid= '1726051471.76'.

    5. Wenn die Integration erfolgreich war, hat der Antwortparameter connectorOutputPayload der Aufgabe Index Name einen Wert, der in etwa so aussieht:

    [{
  "_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
  "_cd": "00:04:00",
  "_eventtype_color": null,
  "_indextime": 1.720702012E9,
  "_kv": null,
  "_raw": "hi How r yo\nplease\nfind \nmy notes",
  "_serial": 0.0,
  "_si": "googlecloud-bcone-splunk-vm\nhttp_testing",
  "_sourcetype": "googlecloud-testing",
  "_time": "2024-07-11 12:46:52.0",
  "eventtype": null,
  "host": "googlecloud-bcone-splunk-vm",
  "index": "http_testing",
  "linecount": 4.0,
  "punct": null,
  "source": "Testing.txt",
  "sourcetype": "googlecloud-testing",
  "splunk_server": "googlecloud-bcone-splunk-vm",
  "splunk_server_group": null,
  "timestamp": null,
  "JobId": "1726051471.76"
}]

Suche mit mehreren Indexen erstellen

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie in der Liste Entity die Option SearchJobs aus.
  3. Wählen Sie den Vorgang Create aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Datenübersetzer der Aufgabe Datenabgleich auf Open Data Mapping Editor und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Input Value ein. Wählen Sie dann „EntityId/ConnectorInputPayload“ als lokale Variable aus. 
    {
"EventSearch": "search (index=\"http_testing\" OR index= \"googlecloud-demo\" sourcetype=\"googlecloud-testing\"  OR sourcetype=\"Demo_Text\")"
}

    Wenn die Integration erfolgreich war, hat der Antwortparameter connectorOutputPayload der Aufgabe SearchJobs einen Wert, der in etwa so aussieht:

    {
"Sid": "1727261971.4007"
}

Listenvorgang mit dem Namen des Index, der in der Suchanfrage verwendet wird

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie in der Liste Entity den Namen Index Name aus.
  3. Wählen Sie den Vorgang List aus und klicken Sie auf Fertig.
  4. Im Bereich Aufgabeneingabe der Aufgabe Connectors können Sie die filterClause festlegen, z. B. Sid= '1727261971.4007'.

    5. Wenn die Integration erfolgreich war, hat der Antwortparameter connectorOutputPayload der Aufgabe Index einen Wert, der in etwa so aussieht:

     [{
  "_bkt": "googlecloud-demo~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
  "_cd": "00:04:00",
  "_eventtype_color": null,
  "_indextime": 1.727155516E9,
  "_kv": null,
  "_raw": "Hi team\nwe have a demo please plan accordingly\nwith Google team",
  "_serial": 0.0,
  "_si": "googlecloud-bcone-splunk-vm\ngooglecloud-demo",
  "_sourcetype": "Demo_Text",
  "_time": "2024-09-24 05:25:16.0",
  "eventtype": null,
  "host": "googlecloud-bcone-splunk-vm",
  "index": "googlecloud-demo",
  "linecount": 3.0,
  "punct": null,
  "source": "Splunk_Demo.txt",
  "sourcetype": "Demo_Text",
  "splunk_server": "googlecloud-bcone-splunk-vm",
  "splunk_server_group": null,
  "timestamp": null,
  "JobId": "1727261971.4007"
}, {
  "_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
  "_cd": "00:04:00",
  "_eventtype_color": null,
  "_indextime": 1.720702012E9,
  "_kv": null,
  "_raw": "hi How r yo\nplease\nfind \nmy notes",
  "_serial": 1.0,
  "_si": "googlecloud-bcone-splunk-vm\nhttp_testing",
  "_sourcetype": "googlecloud-testing",
  "_time": "2024-07-11 12:46:52.0",
  "eventtype": null,
  "host": "googlecloud-bcone-splunk-vm",
  "index": "http_testing",
  "linecount": 4.0,
  "punct": null,
  "source": "Testing.txt",
  "sourcetype": "googlecloud-testing",
  "splunk_server": "googlecloud-bcone-splunk-vm",
  "splunk_server_group": null,
  "timestamp": null,
  "JobId": "1727261971.4007"
}]

Beispiel – Suchablauf mit ReadJobResults

In diesem Abschnitt werden alle Suchabläufe aufgeführt, bei denen sowohl ein einzelner Index als auch mehrere von der Splunk-Verbindung unterstützte Indexe verwendet werden. Derzeit beträgt die maximale Nutzlastgröße für unterstützte Protokollergebnisse 150 MB.

Suche mit einem einzelnen Index erstellen

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie in der Liste Entity die Option SearchJobs aus.
  3. Wählen Sie den Vorgang Create aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Datenübersetzer der Aufgabe Datenabgleich auf Open Data Mapping Editor und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Input Value ein. Wählen Sie dann „EntityId/ConnectorInputPayload“ als lokale Variable aus. 
    {
"EventSearch": "search (index=\"http_testing\" sourcetype=\"googlecloud-testing\") "
}

    In diesem Beispiel wird eine Suche erstellt. Wenn die Integration erfolgreich ist, hat der Antwortparameter connectorOutputPayload der Aufgabe SearchJobs einen Wert, der in etwa so aussieht:

    {
"Sid": "1732775755.24612"
}

Führe den Befehl „Erstellen“ für die Aktion „ReadJobResults“ aus, um die Suchergebnisse abzurufen. Damit die Ergebnisse anhand der Sid gefiltert werden, übergeben Sie die Sid als Parameter an die Aktion.

Ergebnisprotokolle mit der Aktion „ReadJobResults“ abrufen

  1. Klicken Sie im Dialogfeld Configure connector task auf Actions.
  2. Wählen Sie die Aktion ReadJobResults aus und klicken Sie auf Fertig.
  3. Klicken Sie im Bereich Datenübersetzer der Aufgabe Datenabgleich auf Open Data Mapping Editor und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Input Value ein. Wählen Sie dann „EntityId/ConnectorInputPayload“ als lokale Variable aus. 
    {
"Sid": "1732775755.24612"
}
    4. Wenn die Aktion erfolgreich war, hat der Antwortparameter connectorOutputPayload der Aufgabe ReadJobResults einen Wert, der in etwa so aussieht:

    [{
"_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
"_cd": "0:4",
"_indextime": "1720702012",
"_raw": "hi How r yo\nplease\nfind \nmy notes",
"_serial": "1",
"_si": "googlecloud-bcone-splunk-vm\nhttp_testing",
"_sourcetype": "googlecloud-testing",
"_time": "2024-07-11T12:46:52.000+00:00",
"host": "googlecloud-bcone-splunk-vm",
"index": "http_testing",
"linecount": "4",
"source": "Testing.txt",
"sourcetype": "googlecloud-testing",
"splunk_server": "googlecloud-bcone-splunk-vm",
"jobid": "1732775755.24612",
"sid": "1732775755.24612"
}]

Suche mit mehreren Indexen erstellen

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie in der Liste Entity die Option SearchJobs aus.
  3. Wählen Sie den Vorgang Create aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Datenübersetzer der Aufgabe Datenabgleich auf Open Data Mapping Editor und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Input Value ein. Wählen Sie dann „EntityId/ConnectorInputPayload“ als lokale Variable aus. 
    {
"EventSearch": "search (index=\"http_testing\" OR index= \"googlecloud-demo\" sourcetype=\"googlecloud-testing\"  OR sourcetype=\"Demo_Text\")"
}

    Wenn die Integration erfolgreich war, hat der Antwortparameter connectorOutputPayload der Aufgabe SearchJobs einen Wert, der in etwa so aussieht:

    {
"Sid": "1732776556.24634"
}

Führen Sie den Befehl „Erstellen“ für die Aktion „ReadJobResults“ aus, um die Suchergebnisse abzurufen. Damit die Ergebnisse anhand der Sid gefiltert werden, übergeben Sie die Sid als Parameter an die Aktion.

ResultsLogs mit der Aktion „ReadJobResults“

  1. Klicken Sie im Dialogfeld Configure connector task auf Actions.
  2. Wählen Sie die Aktion ReadJobResults aus und klicken Sie auf Fertig.
  3. Klicken Sie im Bereich Datenübersetzer der Aufgabe Datenabgleich auf Open Data Mapping Editor und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Input Value ein. Wählen Sie dann „EntityId/ConnectorInputPayload“ als lokale Variable aus. 
    {
"Sid": "1732776556.24634"
}

    4. Wenn die Aktion erfolgreich war, hat der Antwortparameter connectorOutputPayload der Aufgabe ReadJobResults einen Wert, der in etwa so aussieht:

    [{
"_bkt": "googlecloud-demo~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
"_cd": "0:4",
"_indextime": "1727155516",
"_raw": "Hi team\nwe have a demo please plan accordingly\nwith Google team",
"_serial": "0",
"_si": "googlecloud-bcone-splunk-vm\googlecloud-demo",
"_sourcetype": "Demo_Text",
"_time": "2024-09-24T05:25:16.000+00:00",
"host": "googlecloud-bcone-splunk-vm",
"index": "googlecloud-demo",
"linecount": "3",
"source": "Splunk_Demo.txt",
"sourcetype": "Demo_Text",
"splunk_server": "googlecloud-bcone-splunk-vm",
"jobid": "1732776556.24634",
"sid": "1732776556.24634"
},{
"_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
"_cd": "0:4",
"_indextime": "1720702012",
"_raw": "hi How r yo\nplease\nfind \nmy notes",
"_serial": "1",
"_si": "googlecloud-bcone-splunk-vm\nhttp_testing",
"_sourcetype": "googlecloud-testing",
"_time": "2024-07-11T12:46:52.000+00:00",
"host": "googlecloud-bcone-splunk-vm",
"index": "http_testing",
"linecount": "4",
"source": "Testing.txt",
"sourcetype": "googlecloud-testing",
"splunk_server": "googlecloud-bcone-splunk-vm",
"jobid": "1732776556.24634",
"sid": "1732776556.24634"
}]

    Verbindungen mit Terraform erstellen

    Sie können die Terraform-Ressource verwenden, um eine neue Verbindung zu erstellen.

    Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

    Eine Beispiel-Terraform-Vorlage zum Erstellen einer Verbindung finden Sie unter Beispielvorlage.

    Wenn Sie diese Verbindung mit Terraform erstellen, müssen Sie die folgenden Variablen in Ihrer Terraform-Konfigurationsdatei festlegen:

    Parametername Datentyp Erforderlich Beschreibung
    Ausführlichkeit STRING Falsch Detaillierungsgrad der Verbindung, variiert von 1 bis 5. Bei einem höheren Ausführlichkeitsgrad werden alle Kommunikationsdetails (Anfrage,Antwort und SSL-Zertifikate) protokolliert.
    proxy_enabled BOOLEAN Falsch Klicken Sie dieses Kästchen an, um einen Proxyserver für die Verbindung zu konfigurieren.
    proxy_auth_scheme ENUM Falsch Der Authentifizierungstyp, der für die Authentifizierung beim ProxyServer-Proxy verwendet werden soll. Unterstützte Werte: BASIC, DIGEST, NONE
    proxy_user STRING Falsch Ein Nutzername, der für die Authentifizierung beim ProxyServer-Proxy verwendet werden soll.
    proxy_password VERTRAULICH Falsch Ein Passwort, das für die Authentifizierung beim ProxyServer-Proxy verwendet werden soll.
    proxy_ssltype ENUM Falsch Der SSL-Typ, der beim Herstellen einer Verbindung zum ProxyServer-Proxy verwendet werden soll. Unterstützte Werte: AUTO, ALWAYS, NEVER, TUNNEL

    Splunk-Verbindung in einer Integration verwenden

    Nachdem Sie die Verbindung erstellt haben, ist sie sowohl in Apigee Integration als auch in Application Integration verfügbar. Sie können die Verbindung über die Connectors-Aufgabe in einer Integration verwenden.

    • Informationen zum Erstellen und Verwenden der Connectors-Aufgabe in Apigee Integration finden Sie unter Connectors-Aufgabe.
    • Informationen zum Erstellen und Verwenden der Connectors-Aufgabe in Application Integration finden Sie unter Connectors-Aufgabe.

    Hilfe von der Google Cloud-Community erhalten

    Sie können Ihre Fragen und Anregungen zu diesem Connector in der Google Cloud-Community unter Cloud-Foren posten.

    Nächste Schritte