Panoramica dell’estensione Splunk

Last update: Tue Mar 14 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

Argomenti:
Tags

Creato per:

Developer

Splunk è una piattaforma di osservabilità che fornisce ricerca, analisi e visualizzazione per informazioni fruibili sui dati. Splunk inoltro eventi l'estensione sfrutta API REST Agente di raccolta eventi HTTP Splunk per inviare eventi da Adobe Experience Platform Edge Network a Agente di raccolta eventi HTTP Splunk.

Splunk utilizza token bearer come meccanismo di autenticazione per comunicare con l’API Splunk Event Collector.

Casi d’uso use-cases

I team di marketing possono utilizzare l’estensione per i seguenti casi d’uso:

Caso d’uso

Descrizione

Analisi del comportamento dei clienti

Le organizzazioni possono acquisire i dati degli eventi di interazione con il cliente dal proprio sito web e inoltrare gli eventi rilevanti a Splunk. I team di marketing e analisi possono quindi eseguire analisi successive all’interno della piattaforma Splunk per comprendere le interazioni e il comportamento chiave degli utenti. La piattaforma Splunk può essere utilizzata per generare grafici, dashboard o altre visualizzazioni per informare le parti interessate.

Ricerca scalabile su set di dati di grandi dimensioni

Le organizzazioni possono acquisire input transazionali o conversazionali come dati evento dal sito web e inoltrare gli eventi a Splunk. I team di Analytics possono quindi sfruttare le funzionalità di indicizzazione scalabile di Splunk per filtrare ed elaborare set di dati di grandi dimensioni per ricavare informazioni aziendali e prendere decisioni informate.

Prerequisiti prerequisites

Per utilizzare questa estensione è necessario disporre di un account Splunk. È possibile registrarsi a un account Splunk sul Home page Splunk.

NOTE

L’estensione Splunk supporta sia le istanze Enterprise di Splunk Cloud che di Splunk. Questa guida documenta un’implementazione tramite Splunk Cloud come riferimento. Il processo di configurazione per Splunk Enterprise è simile, ma richiede istruzioni specifiche da parte dell'amministratore di Splunk Enterprise.

Per configurare l'estensione è necessario disporre anche dei seguenti valori tecnici:

Un Token raccolta eventi. I token sono in genere in formato UUIDv4 come segue: 12345678-1234-1234-1234-1234567890AB.

L’indirizzo e la porta dell’istanza della piattaforma Splunk per la tua organizzazione. L’indirizzo e la porta di un’istanza della piattaforma hanno in genere il seguente formato: mysplunkserver.example.com:443.

note important
IMPORTANT
Gli endpoint Splunk a cui si fa riferimento nell’inoltro degli eventi devono utilizzare solo la porta `443`. Le porte non standard non sono attualmente supportate nelle implementazioni di inoltro degli eventi.

Installare l’estensione Splunk install

Per installare l’estensione Splunk Event Collector nell’interfaccia utente, passa a Inoltro eventi e seleziona una proprietà a cui aggiungere l’estensione oppure crea una nuova proprietà.

Dopo aver selezionato o creato la proprietà desiderata, passa a Estensioni > Catalogo. Cerca "Splunk", quindi seleziona Install sull'estensione Splunk.

Pulsante Installa per l’estensione Splunk selezionata nell’interfaccia utente

Configurare l’estensione Splunk configure_extension

IMPORTANT

A seconda delle esigenze di implementazione, potrebbe essere necessario creare uno schema, elementi di dati e un set di dati prima di configurare l’estensione. Prima di iniziare, controlla tutti i passaggi di configurazione per determinare quali entità devi impostare per il tuo caso d’uso.

Seleziona Estensioni nel menu di navigazione a sinistra. Sotto Installato, seleziona Configura sull'estensione Splunk.

Pulsante Configura per l’estensione Splunk selezionata nell’interfaccia utente

Per URL agente di raccolta eventi HTTP, immetti l’indirizzo e la porta dell’istanza della piattaforma Splunk. Sotto Token di accesso, immetti il Event Collector Token valore. Al termine, seleziona Salva.

Opzioni di configurazione compilate nell’interfaccia utente

Configurare una regola di inoltro degli eventi config_rule

Inizia a creare una nuova regola di inoltro degli eventi regola e configurarne le condizioni come desiderato. Quando selezioni le azioni per la regola, seleziona la Splunk , quindi seleziona la Crea evento tipo di azione. Vengono visualizzati controlli aggiuntivi per configurare ulteriormente l'evento Splunk.

Definisci configurazione azione

Il passaggio successivo consiste nel mappare le proprietà dell’evento Splunk agli elementi dati creati in precedenza. Di seguito sono riportate le mappature opzionali supportate basate sui dati dell’evento di input che è possibile impostare. Consulta la sezione Documentazione di Splunk per ulteriori dettagli.

Nome campo

Descrizione

Evento

(OBBLIGATORIO)

Indica come desideri fornire i dati dell’evento. I dati evento possono essere assegnati al event all’interno dell’oggetto JSON nella richiesta HTTP, oppure può essere un testo non elaborato. Il event La chiave si trova allo stesso livello delle chiavi di metadati all’interno del pacchetto di eventi JSON. All'interno del event tra parentesi graffe chiave-valore, i dati possono trovarsi in qualsiasi formato richiesto (ad esempio una stringa, un numero, un altro oggetto JSON e così via).

Host

Il nome host del client da cui stai inviando i dati.

Tipo di origine

Tipo di origine da assegnare ai dati dell'evento.

Origine

Valore di origine da assegnare ai dati dell’evento. Ad esempio, se invii dati da un’app che stai sviluppando, imposta questa chiave sul nome dell’app.

Indice

Nome dell'indice dei dati dell'evento. Se per il token è impostato il parametro indexes, l’indice specificato deve trovarsi all’interno dell’elenco degli indici consentiti.

Tempo

Ora dell’evento. Il formato di ora predefinito è Ora UNIX (nel formato <sec>.<ms>) e dipende dal fuso orario locale. Ad esempio: 1433188255.500 indica 1433188255 secondi e 500 millisecondi dopo l’epoca oppure lunedì 1 giugno 2015 alle ore 7:50:55 PM GMT.

Campi

Specifica un oggetto JSON non elaborato o un set di coppie chiave-valore contenenti campi personalizzati espliciti da definire al momento dell’indice. Il fields La chiave non è applicabile ai dati non elaborati.

Richieste contenenti fields La proprietà deve essere inviata al /collector/event oppure non saranno indicizzati. Per ulteriori informazioni, consulta la documentazione di Splunk su estrazioni di campi indicizzati.

Convalidare i dati in Splunk validate

Dopo aver creato ed eseguito la regola di inoltro degli eventi, verifica se l’evento inviato all’API Splunk viene visualizzato come previsto nell’interfaccia utente di Splunk. Se la raccolta di eventi e l’integrazione di Experienci Platform hanno avuto esito positivo, nella console Splunk verranno visualizzati gli eventi seguenti:

Dati evento visualizzati nell’interfaccia utente Splunk durante la convalida

Passaggi successivi

Questo documento illustra come installare e configurare l’estensione di inoltro degli eventi Splunk nell’interfaccia utente. Per ulteriori informazioni sulla raccolta dei dati evento in Splunk, consulta la documentazione ufficiale:

Configurare e utilizzare il servizio Raccolta eventi HTTP nel Web Splunk
Configurare l’autenticazione con i token
Risolvere i problemi relativi a Raccolta eventi HTTP (elenca anche un compendio di possibili codici di errore)

recommendation-more-help

12b4e4a9-5028-4d88-8ce6-64a580811743