Panoramica dell’estensione Splunk

Last update: Tue Jul 16 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Argomenti:

Creato per:

Sviluppatore

Splunk è una piattaforma di osservabilità che fornisce ricerche, analisi e visualizzazioni per approfondimenti fruibili sui tuoi dati. L'estensione Splunk inoltro eventi sfrutta l'API REST Agente di raccolta eventi HTTP Splunk per inviare eventi dall'Edge Network Adobe Experience Platform all'Agente di raccolta eventi HTTP Splunk.

Splunk utilizza token bearer come meccanismo di autenticazione per comunicare con l’API Splunk Event Collector.

Casi d’uso use-cases

I team di marketing possono utilizzare l’estensione per i seguenti casi d’uso:

Caso d’uso

Descrizione

Analisi del comportamento dei clienti

Le organizzazioni possono acquisire i dati degli eventi di interazione con il cliente dal proprio sito web e inoltrare gli eventi rilevanti a Splunk. I team di marketing e analisi possono quindi eseguire analisi successive all’interno della piattaforma Splunk per comprendere le interazioni e il comportamento chiave degli utenti. La piattaforma Splunk può essere utilizzata per generare grafici, dashboard o altre visualizzazioni per informare le parti interessate.

Ricerca scalabile su set di dati di grandi dimensioni

Le organizzazioni possono acquisire input transazionali o conversazionali come dati evento dal sito web e inoltrare gli eventi a Splunk. I team di Analytics possono quindi sfruttare le funzionalità di indicizzazione scalabile di Splunk per filtrare ed elaborare set di dati di grandi dimensioni per ricavare informazioni aziendali e prendere decisioni informate.

Prerequisiti prerequisites

Per utilizzare questa estensione è necessario disporre di un account Splunk. È possibile registrarsi per un account Splunk nella home page Splunk.

NOTE

L’estensione Splunk supporta sia le istanze Enterprise di Splunk Cloud che di Splunk. Questa guida documenta un'implementazione utilizzando Splunk Cloud come riferimento. Il processo di configurazione per Splunk Enterprise è simile, ma richiede istruzioni specifiche da parte dell'amministratore di Splunk Enterprise.

Per configurare l'estensione è necessario disporre anche dei seguenti valori tecnici:

Token Raccolta eventi. I token sono in genere in formato UUIDv4 come segue: 12345678-1234-1234-1234-1234567890AB.

L’indirizzo e la porta dell’istanza della piattaforma Splunk per la tua organizzazione. L'indirizzo e la porta di un'istanza della piattaforma avranno in genere il seguente formato: mysplunkserver.example.com:443.

note important
IMPORTANT
Gli endpoint Splunk a cui si fa riferimento nell'inoltro degli eventi devono utilizzare solo la porta `443`. Le porte non standard non sono attualmente supportate nelle implementazioni di inoltro degli eventi.

Installare l’estensione Splunk install

Per installare l'estensione Splunk Event Collector nell'interfaccia utente, passare a Inoltro eventi e selezionare una proprietà a cui aggiungere l'estensione oppure creare una nuova proprietà.

Dopo aver selezionato o creato la proprietà desiderata, passa a Estensioni > Catalogo. Cercare "Splunk", quindi selezionare Install nell'estensione Splunk.

Pulsante Installa per lestensione Splunk selezionata nellinterfaccia utente

Configurare l’estensione Splunk configure_extension

IMPORTANT

A seconda delle esigenze di implementazione, potrebbe essere necessario creare uno schema, elementi di dati e un set di dati prima di configurare l’estensione. Prima di iniziare, controlla tutti i passaggi di configurazione per determinare quali entità devi impostare per il tuo caso d’uso.

Seleziona Estensioni nel menu di navigazione a sinistra. In Installed, selezionare Configure nell'estensione Splunk.

Pulsante Configura per lestensione Splunk selezionata nellinterfaccia utente

Per URL agente di raccolta eventi HTTP, immettere l'indirizzo e la porta dell'istanza della piattaforma Splunk. In Token di accesso, immetti il valore Event Collector Token. Al termine, selezionare Salva.

Opzioni di configurazione compilate nellinterfaccia utente

Configurare una regola di inoltro degli eventi config_rule

Inizia a creare una nuova regola di inoltro eventi regola e configurane le condizioni come desiderato. Quando selezioni le azioni per la regola, seleziona l'estensione Splunk, quindi seleziona il tipo di azione Crea evento. Vengono visualizzati controlli aggiuntivi per configurare ulteriormente l'evento Splunk.

Definisci configurazione azione

Il passaggio successivo consiste nel mappare le proprietà dell’evento Splunk agli elementi dati creati in precedenza. Di seguito sono riportate le mappature opzionali supportate basate sui dati dell’evento di input che è possibile impostare. Per ulteriori dettagli, consulta la documentazione Splunk.

Nome campo

Descrizione

Evento

(OBBLIGATORIO)

Indica come desideri fornire i dati dell’evento. I dati dell'evento possono essere assegnati alla chiave event all'interno dell'oggetto JSON nella richiesta HTTP oppure possono essere testo non elaborato. La chiave event si trova allo stesso livello delle chiavi di metadati all'interno del pacchetto eventi JSON. All'interno delle parentesi graffe chiave-valore event, i dati possono trovarsi in qualsiasi formato richiesto, ad esempio una stringa, un numero, un altro oggetto JSON e così via.

Host

Il nome host del client da cui stai inviando i dati.

Tipo Source

Tipo di origine da assegnare ai dati dell'evento.

Source

Valore di origine da assegnare ai dati dell’evento. Ad esempio, se invii dati da un’app che stai sviluppando, imposta questa chiave sul nome dell’app.

Indice

Nome dell'indice dei dati dell'evento. Se per il token è impostato il parametro indexes, l’indice specificato deve trovarsi all’interno dell’elenco degli indici consentiti.

Tempo

Ora dell’evento. Il formato di ora predefinito è l'ora UNIX (nel formato <sec>.<ms>) e dipende dal fuso orario locale. Ad esempio, 1433188255.500 indica 1433188255 secondi e 500 millisecondi dopo l'epoca oppure lunedì 1 giugno 2015 alle 19:15 GMT.:50:

Campi

Specifica un oggetto JSON non elaborato o un set di coppie chiave-valore contenenti campi personalizzati espliciti da definire al momento dell’indice. La chiave fields non è applicabile ai dati non elaborati.

Le richieste contenenti la proprietà fields devono essere inviate all'endpoint /collector/event, altrimenti non verranno indicizzate. Per ulteriori informazioni, consulta la documentazione di Splunk su estrazioni di campi indicizzati.

Convalidare i dati in Splunk validate

Dopo aver creato ed eseguito la regola di inoltro degli eventi, verifica se l’evento inviato all’API Splunk viene visualizzato come previsto nell’interfaccia utente di Splunk. Se la raccolta di eventi e l’integrazione di Experienci Platform hanno avuto esito positivo, nella console Splunk verranno visualizzati gli eventi seguenti:

Dati evento visualizzati nellinterfaccia utente Splunk durante la convalida

Passaggi successivi

Questo documento illustra come installare e configurare l’estensione di inoltro degli eventi Splunk nell’interfaccia utente. Per ulteriori informazioni sulla raccolta dei dati evento in Splunk, consulta la documentazione ufficiale:

Configurare e utilizzare il servizio Raccolta eventi HTTP nel Web Splunk
Configura autenticazione con token
Risoluzione dei problemi dell'agente di raccolta eventi HTTP (elenca anche un compendio di possibili codici di errore)

recommendation-more-help

12b4e4a9-5028-4d88-8ce6-64a580811743