Splunk ist eine Beobachtbarkeitsplattform, die Suche, Analyse und Visualisierung für umsetzbare Einblicke in Ihre Daten bietet. Die Splunk-Erweiterung Ereignisweiterleitung nutzt die Splunk HTTP Event Collector REST-API, um Ereignisse vom Adobe Experience Platform Edge Network an den Splunk HTTP Event Collector zu senden.
Splunk verwendet Träger-Token als Authentifizierungsmechanismus für die Kommunikation mit der Splunk Event Collector API.
Marketing-Teams können die Erweiterung für die folgenden Anwendungsfälle verwenden:
Anwendungsfall | Beschreibung |
---|---|
Analyse des Kundenverhaltens | Unternehmen können Kundeninteraktions-Ereignisdaten von ihrer Website erfassen und relevante Ereignisse an Splunk weiterleiten. Marketing- und Analyse-Teams können dann nachfolgende Analysen innerhalb der Splunk-Plattform durchführen, um wichtige Benutzerinteraktionen und -verhaltensweisen zu verstehen. Die Splunk-Plattform kann verwendet werden, um Diagramme, Dashboards oder andere Visualisierungen zu generieren, um geschäftliche Stakeholder zu informieren. |
Skalierbare Suche bei großen Datensätzen | Unternehmen können Transaktions- oder Konversationseingaben als Ereignisdaten von der Website erfassen und Ereignisse an Splunk weiterleiten. Analyse-Teams können dann die skalierbaren Indexierungsfunktionen von Splunk nutzen, um große Datensätze zu filtern und zu verarbeiten, damit geschäftliche Einblicke gewonnen und fundierte Entscheidungen getroffen werden können. |
Sie müssen über ein Splunk-Konto verfügen, um diese Erweiterung verwenden zu können. Sie können sich auf der Splunk-Homepage für ein Splunk-Konto registrieren.
Die Splunk-Erweiterung unterstützt sowohl Spunk Cloud- als auch Splunk Enterprise-Instanzen. Dieses Handbuch dokumentiert eine Implementierung mithilfe von Splunk Cloud als Referenz. Der Konfigurationsprozess für Splunk Enterprise ist ähnlich, erfordert jedoch spezifische Anweisungen von Ihrem Splunk Enterprise-Administrator.
Sie müssen außerdem über die folgenden technischen Werte verfügen, um die Erweiterung zu konfigurieren:
12345678-1234-1234-1234-1234567890AB
.mysplunkserver.example.com:443
. Splunk-Endpunkte, auf die in der Ereignisweiterleitung verwiesen wird, sollten nur Port 443
verwenden. Nicht standardmäßige Ports werden derzeit in Implementierungen der Ereignisweiterleitung nicht unterstützt.
Um die Splunk-Erweiterung „Event Collector“ in der Benutzeroberfläche zu installieren, navigieren Sie zu Ereignisweiterleitung und wählen Sie eine Eigenschaft aus, der die Erweiterung hinzugefügt werden soll, oder erstellen Sie stattdessen eine neue Eigenschaft.
Nachdem Sie die gewünschte Eigenschaft ausgewählt oder erstellt haben, navigieren Sie zu Erweiterungen > Katalog. Suchen Sie nach „Splunk“ und wählen Sie dann Install in der Splunk-Erweiterung aus.
Je nach Ihren Implementierungsanforderungen müssen Sie möglicherweise ein Schema, Datenelemente und einen Datensatz erstellen, bevor Sie die Erweiterung konfigurieren. Bitte überprüfen Sie alle Konfigurationsschritte, bevor Sie beginnen, um festzustellen, welche Entitäten Sie für Ihren Anwendungsfall einrichten müssen.
Wählen Sie Erweiterungen in der linken Navigation aus. Wählen Sie unter Installiert die Option Konfigurieren in der Splunk-Erweiterung aus.
Geben Sie für HTTP Event Collector URL die Adresse und den Port Ihrer Splunk-Plattforminstanz ein. Geben Sie unter Zugriffs-Token Ihren Event Collector Token-Wert ein. Klicken Sie abschließend auf Speichern.
Beginnen Sie mit der Erstellung einer neuen Regel für die Ereignisweiterleitung und konfigurieren Sie die Bedingungen nach Bedarf. Wählen Sie bei der Auswahl der Aktionen für die Regel die Splunk-Erweiterung und wählen Sie dann den Aktionstyp Ereignis erstellen aus. Es erscheinen zusätzliche Steuerelemente, um das Splunk-Ereignis weiter zu konfigurieren.
Der nächste Schritt besteht darin, die Eigenschaften des Splunk-Ereignisses Datenelementen zuzuordnen, die Sie zuvor erstellt haben. Die unterstützten optionalen Zuordnungen, die auf den konfigurierbaren Eingabeereignisdaten basieren, sind unten aufgeführt. Siehe die Splunk-Dokumentation, um weitere Informationen zu erhalten.
Feldname | Beschreibung |
---|---|
Ereignis (ERFORDERLICH) |
Geben Sie an, wie Sie die Ereignisdaten bereitstellen möchten. Ereignisdaten können dem event -Schlüssel im JSON-Objekt in der HTTP-Anfrage zugewiesen sein oder es kann sich um rohen Text handeln. Der event -Schlüssel befindet sich im JSON-Ereignis-Paket auf derselben Ebene wie die Metadatenschlüssel. Innerhalb der geschweiften Klammern des event -Schlüsselwerts können die Daten in jeder gewünschten Form vorliegen (z. B. Zeichenfolge, Zahl, ein anderes JSON-Objekt usw.). |
Host | Der Host-Name des Clients, von dem Sie Daten senden. |
Quellentyp | Der Quelltyp, der den Ereignisdaten zugewiesen werden soll. |
Quelle | Der Quellwert, der den Ereignisdaten zugewiesen werden soll. Wenn Sie beispielsweise Daten von einer App senden, die Sie entwickeln, legen Sie diesen Schlüssel auf den Namen der App fest. |
Index | Der Name des Index der Ereignisdaten. Der hier angegebene Index muss sich in der Liste der zulässigen Indizes befinden, wenn der Indexparameter des Tokens festgelegt ist. |
Zeit | Die Ereigniszeit. Das Standardzeitformat ist UNIX-Zeit (im Format <sec>.<ms> ) und hängt von Ihrer lokalen Zeitzone ab. Beispiel: 1433188255.500 gibt 1433188255 Sekunden und 500 Millisekunden nach Epoche oder Montag, den 1. Juni 2015, um 19:50:55 Uhr GMT an. |
Felder | Geben Sie ein unformatiertes JSON-Objekt oder einen Satz von Schlüssel-Wert-Paaren an, die explizite benutzerdefinierte Felder enthalten, die zur Indexzeit definiert werden sollen. Die fields -Schlüssel gilt nicht für Rohdaten.Abfragen, die die Eigenschaft fields enthalten, müssen an den /collector/event -Endpunkt gesendet werden, da sie sonst nicht indiziert werden. Weitere Informationen finden Sie in der Splunk-Dokumentation zu indizierten Feldextraktionen. |
Überprüfen Sie nach dem Erstellen und Ausführen der Ereignisweiterleitungsregel, ob das an die Splunk-API gesendete Ereignis wie erwartet in der Splunk-Benutzeroberfläche angezeigt wird. Wenn die Ereignissammlung und Experience Platform-Integration erfolgreich waren, werden die Ereignisse in der Splunk-Konsole wie folgt angezeigt:
In diesem Dokument wurde beschrieben, wie die Splunk-Ereignisweiterleitungs-Erweiterung in der Benutzeroberfläche installiert und konfiguriert wird. Weitere Informationen zur Erfassung von Ereignisdaten in Splunk finden Sie in der offiziellen Dokumentation: