Partilhar via

Ingerir dados do Reencaminhador Universal do Splunk para o Azure Data Explorer

  • Artigo

Importante

Este conector pode ser utilizado na Análise em Tempo Real no Microsoft Fabric. Utilize as instruções neste artigo com as seguintes exceções:

O Splunk Universal Forwarder é uma versão simples do software Splunk Enterprise que lhe permite ingerir dados de muitas origens em simultâneo. Foi concebido para recolher e reencaminhar dados de registo e dados de máquinas de várias origens para um servidor Splunk Enterprise central ou uma implementação da Cloud splunk. O Reencaminhador Universal do Splunk serve como um agente que simplifica o processo de recolha e reencaminhamento de dados, tornando-o um componente essencial numa implementação do Splunk. O Azure Data Explorer é um serviço de exploração de dados rápido e altamente dimensionável para dados telemétricos e de registo.

Neste artigo, saiba como utilizar o Kusto Splunk Universal Forwarder Connector para enviar dados para uma tabela no cluster. Inicialmente, cria uma tabela e um mapeamento de dados e, em seguida, direciona o Splunk para enviar dados para a tabela e, em seguida, valida os resultados.

Pré-requisitos

Criar uma tabela de Data Explorer do Azure

Crie uma tabela para receber os dados do Reencaminhador Universal do Splunk e, em seguida, conceda ao principal de serviço acesso a esta tabela.

Nos seguintes passos, vai criar uma tabela com o nome SplunkUFLogs com uma única coluna (RawText). Isto deve-se ao facto de o Reencaminhador Universal do Splunk enviar dados num formato de texto não processado por predefinição. Os seguintes comandos podem ser executados no editor de consultas da IU da Web.

  1. Criar uma tabela:

    .create table SplunkUFLogs (RawText: string)

  2. Verifique se a tabela SplunkUFLogs foi criada e está vazia:

    SplunkUFLogs
| count

  3. Utilize o principal de serviço dos Pré-requisitos para conceder permissão para trabalhar com a base de dados que contém a sua tabela.

    .add database YOUR_DATABASE_NAME admins ('aadapp=YOUR_APP_ID;YOUR_TENANT_ID') 'Entra service principal: Splunk UF'

Configurar o Reencaminhador Universal do Splunk

Quando transfere o Reencaminhador Universal do Splunk, é aberto um assistente para configurar o reencaminhador.

  1. No assistente, defina o Indexador de Receção para apontar para o sistema que aloja o conector Kusto Splunk Universal Forwarder. Introduza 127.0.0.1 para o Nome do Anfitrião ou IP e 9997 para a porta. Deixe o Indexador de Destino em branco.

    Para obter mais informações, veja Ativar um recetor para o Splunk Enterprise.

  2. Aceda à pasta onde o Reencaminhador Universal splunk está instalado e, em seguida, para a pasta /etc/system/local . Crie ou modifique o ficheiro inputs.conf para permitir que o reencaminhador leia os registos:

    [default]
index = default
disabled = false

[monitor://C:\Program Files\Splunk\var\log\splunk\modinput_eventgen.log*]
sourcetype = modinput_eventgen

    Para obter mais informações, veja Monitorizar ficheiros e diretórios com inputs.conf.

  3. Aceda à pasta onde o Reencaminhador Universal splunk está instalado e, em seguida, para a pasta /etc/system/local . Crie ou modifique o ficheiro outputs.conf para determinar a localização de destino dos registos, que é o nome do anfitrião e a porta do sistema que aloja o conector Kusto Splunk Universal Forwarder:

    [tcpout]
defaultGroup = default-autolb-group
sendCookedData = false

[tcpout:default-autolb-group]
server = 127.0.0.1:9997

[tcpout-server://127.0.0.1:9997]

    Para obter mais informações, veja Configurar o reencaminhamento com outputs.conf.

  4. Reinicie o Reencaminhador Universal do Splunk.

Configurar o conector Universal Kusto Splunk

Para configurar o conector Universal kusto Splunk para enviar registos para a sua tabela de Data Explorer do Azure:

  1. Transfira ou clone o conector a partir do repositório do GitHub.

  2. Aceda ao diretório base do conector:

    cd .\SplunkADXForwarder\

  3. Edite a configuração.yml para conter as seguintes propriedades:

    ingest_url: <ingest_url>
client_id: <ms_entra_app_client_id>
client_secret: <ms_entra_app_client_secret>
authority: <ms_entra_authority>
database_name: <database_name>
table_name: <table_name>
table_mapping_name: <table_mapping_name>
data_format: csv
    Campo Descrição
    ingest_url O URL de ingestão do cluster do Azure Data Explorer. Pode encontrá-lo no portal do Azure no URI de ingestão de dados no separador Descrição geral do cluster. Deverá estar no formato https://ingest-<clusterName>.<region>.kusto.windows.net.
    client_id O ID de cliente da sua Microsoft Entra registo de aplicação criado na secção Pré-requisitos.
    client_secret O segredo do cliente do Microsoft Entra registo de aplicações criado na secção Pré-requisitos.
    authority O ID do inquilino que contém o Microsoft Entra registo da aplicação criado na secção Pré-requisitos.
    database_name O nome da base de dados do Azure Data Explorer.
    table_name O nome da sua tabela de destino do Azure Data Explorer.
    table_mapping_name O nome do mapeamento de dados de ingestão para a sua tabela. Se não tiver um mapeamento, pode omitir esta propriedade do ficheiro de configuração. Pode sempre analisar dados em várias colunas mais tarde.
    data_format O formato de dados esperado para dados recebidos. Os dados recebidos estão em formato de texto não processado, pelo que o formato recomendado é csv, que mapeia o texto não processado para o índice zero por predefinição.

  4. Crie a imagem do docker:

    docker build -t splunk-forwarder-listener

  5. Execute o contentor do docker:

    docker run -p 9997:9997 splunk-forwarder-listener

Verifique se os dados são ingeridos no Azure Data Explorer

Assim que o docker estiver em execução, os dados são enviados para a tabela Data Explorer do Azure. Pode verificar se os dados são ingeridos ao executar uma consulta no editor de consultas da IU da Web.

  1. Execute a seguinte consulta para verificar se os dados são ingeridos na tabela:

    SplunkUFLogs
| count

  2. Execute a seguinte consulta para ver os dados:

    SplunkUFLogs
| take 100

Conteúdo relacionado