Splunk扩展概述
Splunk 是一个可观察性平台,提供搜索、分析和可视化功能,以针对您的数据得出可操作见解。 Splunk 事件转发 扩展可利用 Splunk HTTP事件收集器REST API 将事件从Adobe Experience Platform Edge Network发送到 Splunk HTTP事件收集器.
Splunk使用持有者令牌作为身份验证机制,与Splunk事件收集器API进行通信。
用例 use-cases
营销团队可以将该扩展用于以下用例:
先决条件 prerequisites
您必须拥有Splunk帐户才能使用此扩展。 您可以在以下网址注册Splunk帐户: Splunk主页.
还必须具有以下技术值才能配置扩展:
-
An 事件收集器令牌. 令牌通常为UUIDv4格式,如下所示:
12345678-1234-1234-1234-1234567890AB
. -
贵组织的Splunk平台实例地址和端口。 平台实例地址和端口通常具有以下格式:
mysplunkserver.example.com:443
.note important IMPORTANT 在事件转发中引用的Splunk端点应仅使用端口 443
. 当前事件转发实施不支持非标准端口。
安装Splunk扩展 install
要在UI中安装Splunk事件收集器扩展,请导航到 事件转发 ,然后选择要为其添加扩展的资产,或改为创建新资产。
选择或创建所需的属性后,导航到 扩展 > 目录. 搜索“”Splunk",然后选择 Install 在Splunk扩展上。
配置Splunk扩展 configure_extension
选择 扩展 左侧导航栏中。 下 已安装,选择 配置 在Splunk扩展上。
对象 HTTP事件收集器URL,输入您的Splunk平台实例地址和端口。 下 访问令牌,输入您的 Event Collector Token 值。 完成后,选择 保存.
配置事件转发规则 config_rule
开始创建新的事件转发规则 规则 并根据需要配置其条件。 为规则选择操作时,选择 Splunk 扩展,然后选择 创建事件 操作类型。 其他控件可用于进一步配置Splunk事件。
下一步是将Splunk事件属性映射到您之前创建的数据元素。 下面给出了基于可设置的输入事件数据的受支持的可选映射。 请参阅 Splunk文档 了解更多详细信息。
(必需)
event
键,也可以是原始文本。 此 event
键与元数据键在JSON事件数据包中的级别相同。 在 event
键值大括号,则数据可以是您所需的任何形式(例如字符串、数字、其他JSON对象等)。<sec>.<ms>
),具体取决于您当地的时区。 例如, 1433188255.500
指示纪元后1433188255秒和500毫秒或2015年6月1日星期一的7点:50:下午55点格林威治标准时间fields
键不适用于原始数据。请求包含
fields
属性必须发送至 /collector/event
终结点,否则它们将不会被索引。 有关更多信息,请参阅有关以下内容的Splunk文档 索引字段提取.验证Splunk中的数据 validate
创建并执行事件转发规则后,验证发送到Splunk API的事件是否按预期显示在Splunk UI中。 如果事件收集和Experience Platform集成成功,您将在Splunk控制台中看到如下事件:
后续步骤
本文档介绍了如何在UI中安装和配置Splunk事件转发扩展。 有关在Splunk中收集事件数据的更多信息,请参阅官方文档: