文档Experience Platform标记

Splunk扩展概述

Last update: Thu Oct 30 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • 主题:

创建对象:

  • 开发人员

Splunk是一个可观察性平台,可提供针对您的数据的可操作洞察的搜索、分析和可视化图表。 Splunk 事件转发扩展利用Splunk HTTP事件收集器REST API将事件从Adobe Experience Platform Edge Network发送到Splunk HTTP事件收集器

Splunk使用持有者令牌作为身份验证机制,与Splunk事件收集器API进行通信。

用例 use-cases

营销团队可以将该扩展用于以下用例:

用例
描述
客户行为分析
组织可以从其网站中捕获客户互动事件数据,并将相关事件转发给Splunk。 接下来,营销和分析团队可以在Splunk平台内执行后续分析,以了解关键用户交互和行为。 Splunk平台可用于生成图形、仪表板或其他可视化图表,以告知业务利益相关者。
对大型数据集进行可扩展搜索
组织可以从网站中捕获事务性或对话性输入作为事件数据,并将事件转发到Splunk。 然后,Analytics团队可以利用Splunk的可扩展索引功能筛选和处理大型数据集,以获得任何业务见解并做出明智决策。

先决条件 prerequisites

您必须拥有Splunk帐户才能使用此扩展。 您可以在Splunk主页上注册Splunk帐户。

NOTE
Splunk扩展同时支持Splunk Cloud和Splunk Enterprise实例。 本指南记录使用Splunk Cloud作为参考的实施。 Splunk Enterprise的配置过程类似,但需要Splunk Enterprise管理员的具体指导。

要配置扩展,您还必须具有以下技术值:

  • 事件收集器令牌。 令牌通常为UUIDv4格式,如下所示: 12345678-1234-1234-1234-1234567890AB

  • 贵组织的Splunk平台实例地址和端口。 平台实例地址和端口通常具有以下格式: mysplunkserver.example.com:443

    note important
    IMPORTANT
    在事件转发中引用的Splunk终结点应仅使用端口443。 当前事件转发实施不支持非标准端口。

安装Splunk扩展 install

要在UI中安装Splunk事件收集器扩展,请导航到​ 事件转发 ​并选择要将扩展添加到的属性,或改为创建新属性。

选择或创建所需的属性后,导航到​扩展 > 目录。 搜索“Splunk”,然后在Splunk扩展中选择​Install

在UI中选择的Splunk扩展的 安装按钮

配置Splunk扩展 configure_extension

IMPORTANT
根据您的实施需求,您可能需要在配置扩展之前创建架构、数据元素和数据集。 请在开始之前查看所有配置步骤,以确定需要为用例设置哪些实体。

在左侧导航中选择​扩展。 在​ Installed ​下,选择Splunk扩展上的​Configure

在UI中选择的Splunk扩展的 配置按钮

对于​HTTP Event Collector URL,输入您的Splunk平台实例地址和端口。 在​ Access Token ​下,输入您的Event Collector Token值。 完成后,选择​Save

在UI中填写了 配置选项

配置事件转发规则 config_rule

开始创建新的事件转发规则规则,并根据需要配置其条件。 为规则选择操作时,选择Splunk扩展,然后选择Create Event操作类型。 其他控件似乎可用于进一步配置Splunk事件。

定义操作配置

下一步是将Splunk事件属性映射到您之前创建的数据元素。 下面提供了基于可设置的输入事件数据的受支持的可选映射。 有关详细信息,请参阅Splunk文档

字段名称
描述
Event

(必需)
指示您要如何提供事件数据。 事件数据可以分配给HTTP请求中JSON对象内的event键,也可以是原始文本。 event键与元数据键在JSON事件数据包中的级别相同。 在event键值大括号内,数据可以采用您需要的任何形式(例如字符串、数字、其他JSON对象等)。
Host
从中发送数据的客户端的主机名。
Source Type
要分配给事件数据的源类型。
Source
要分配给事件数据的源值。 例如,如果您从正在开发的应用程序发送数据,请将此键设置为应用程序的名称。
Index
事件数据的索引的名称。 如果令牌设置了索引参数,则此处指定的索引必须在允许的索引列表中。
Time
事件时间。 默认时间格式为UNIX时间(格式为<sec>.<ms>),具体取决于您的本地时区。 例如,1433188255.500表示新纪元后的1433188255秒和500毫秒,或2015年6月1日星期一晚上7:50:55 GMT。
Fields
指定原始JSON对象或一组包含要在索引时定义的显式自定义字段的键值对。 fields键不适用于原始数据。包含

属性的请求必须发送到fields终结点,否则将不会对它们编制索引。 /collector/event有关详细信息,请参阅有关索引字段提取的Splunk文档。

验证Splunk中的数据 validate

创建并执行事件转发规则后,验证发送到Splunk API的事件是否按Splunk UI中的预期方式显示。 如果事件收集和Experience Platform集成成功,您将在Splunk控制台中看到如下事件:

事件数据在验证期间出现在Splunk UI中

后续步骤

本文档介绍了如何在UI中安装和配置Splunk事件转发扩展。 有关在Splunk中收集事件数据的更多信息,请参阅官方文档:

recommendation-more-help
12b4e4a9-5028-4d88-8ce6-64a580811743