Übersicht über die Splunk-Erweiterung
Splunk ist eine Beobachtbarkeitsplattform, die Suche, Analyse und Visualisierung für umsetzbare Einblicke in Ihre Daten bietet. Die Splunk-Erweiterung Ereignisweiterleitung nutzt die Splunk HTTP Event Collector REST-API, um Ereignisse vom Adobe Experience Platform Edge Network an den Splunk HTTP Event Collector zu senden.
Splunk verwendet Träger-Token als Authentifizierungsmechanismus für die Kommunikation mit der Splunk Event Collector API.
Anwendungsbeispiele use-cases
Marketing-Teams können die Erweiterung für die folgenden Anwendungsfälle verwenden:
Voraussetzungen prerequisites
Sie müssen über ein Splunk-Konto verfügen, um diese Erweiterung verwenden zu können. Sie können sich auf der Splunk-Homepage für ein Splunk-Konto registrieren.
Sie müssen außerdem über die folgenden technischen Werte verfügen, um die Erweiterung zu konfigurieren:
-
Ein Event Collector-Token. Token haben in der Regel das UUIDv4-Format wie folgt:
12345678-1234-1234-1234-1234567890AB
. -
Die Adresse und der Port der Splunk-Plattforminstanz für Ihr Unternehmen. Die Adresse und der Port einer Plattforminstanz haben in der Regel das folgende Format:
mysplunkserver.example.com:443
.note important IMPORTANT Splunk-Endpunkte, auf die in der Ereignisweiterleitung verwiesen wird, sollten nur Port 443
verwenden. Nicht standardmäßige Ports werden derzeit in Implementierungen der Ereignisweiterleitung nicht unterstützt.
Installieren der Splunk-Erweiterung install
Um die Splunk-Erweiterung „Event Collector“ in der Benutzeroberfläche zu installieren, navigieren Sie zu Ereignisweiterleitung und wählen Sie eine Eigenschaft aus, der die Erweiterung hinzugefügt werden soll, oder erstellen Sie stattdessen eine neue Eigenschaft.
Nachdem Sie die gewünschte Eigenschaft ausgewählt oder erstellt haben, navigieren Sie zu Erweiterungen > Katalog. Suchen Sie nach „Splunk“ und wählen Sie dann Install in der Splunk-Erweiterung aus.
Konfigurieren der Splunk-Erweiterung configure_extension
Wählen Sie Erweiterungen in der linken Navigation aus. Wählen Sie unter Installiert die Option Konfigurieren in der Splunk-Erweiterung aus.
Geben Sie für HTTP Event Collector URL die Adresse und den Port Ihrer Splunk-Plattforminstanz ein. Geben Sie unter Zugriffs-Token Ihren Event Collector Token-Wert ein. Klicken Sie abschließend auf Speichern.
Konfigurieren einer Ereignisweiterleitungsregel config_rule
Beginnen Sie mit der Erstellung einer neuen Regel für die Ereignisweiterleitung und konfigurieren Sie die Bedingungen nach Bedarf. Wählen Sie bei der Auswahl der Aktionen für die Regel die Splunk-Erweiterung und wählen Sie dann den Aktionstyp Ereignis erstellen aus. Es erscheinen zusätzliche Steuerelemente, um das Splunk-Ereignis weiter zu konfigurieren.
Der nächste Schritt besteht darin, die Eigenschaften des Splunk-Ereignisses Datenelementen zuzuordnen, die Sie zuvor erstellt haben. Die unterstützten optionalen Zuordnungen, die auf den konfigurierbaren Eingabeereignisdaten basieren, sind unten aufgeführt. Siehe die Splunk-Dokumentation, um weitere Informationen zu erhalten.
(ERFORDERLICH)
event
-Schlüssel im JSON-Objekt in der HTTP-Anfrage zugewiesen sein oder es kann sich um rohen Text handeln. Der event
-Schlüssel befindet sich im JSON-Ereignis-Paket auf derselben Ebene wie die Metadatenschlüssel. Innerhalb der geschweiften Klammern des event
-Schlüsselwerts können die Daten in jeder gewünschten Form vorliegen (z. B. Zeichenfolge, Zahl, ein anderes JSON-Objekt usw.).<sec>.<ms>
) und hängt von Ihrer lokalen Zeitzone ab. Beispiel: 1433188255.500
gibt 1433188255 Sekunden und 500 Millisekunden nach Epoche oder Montag, den 1. Juni 2015, um 19:50:55 Uhr GMT an.fields
-Schlüssel gilt nicht für Rohdaten.Abfragen, die die Eigenschaft
fields
enthalten, müssen an den /collector/event
-Endpunkt gesendet werden, da sie sonst nicht indiziert werden. Weitere Informationen finden Sie in der Splunk-Dokumentation zu indizierten Feldextraktionen.Validieren von Daten in Splunk validate
Überprüfen Sie nach dem Erstellen und Ausführen der Ereignisweiterleitungsregel, ob das an die Splunk-API gesendete Ereignis wie erwartet in der Splunk-Benutzeroberfläche angezeigt wird. Wenn die Ereignissammlung und Experience Platform-Integration erfolgreich waren, werden die Ereignisse in der Splunk-Konsole wie folgt angezeigt:
Nächste Schritte
In diesem Dokument wurde beschrieben, wie die Splunk-Ereignisweiterleitungs-Erweiterung in der Benutzeroberfläche installiert und konfiguriert wird. Weitere Informationen zur Erfassung von Ereignisdaten in Splunk finden Sie in der offiziellen Dokumentation: