Splunk扩展概述
Splunk是一个可观察性平台,可提供针对您的数据的可操作洞察的搜索、分析和可视化图表。 Splunk 事件转发扩展利用Splunk HTTP事件收集器REST API将事件从Adobe Experience PlatformEdge Network发送到Splunk HTTP事件收集器。
Splunk使用持有者令牌作为身份验证机制,与Splunk事件收集器API进行通信。
用例 use-cases
营销团队可以将该扩展用于以下用例:
先决条件 prerequisites
您必须拥有Splunk帐户才能使用此扩展。 您可以在Splunk主页上注册Splunk帐户。
要配置扩展,您还必须具有以下技术值:
-
事件收集器令牌。 令牌通常为UUIDv4格式,如下所示:
12345678-1234-1234-1234-1234567890AB
。 -
贵组织的Splunk平台实例地址和端口。 平台实例地址和端口通常具有以下格式:
mysplunkserver.example.com:443
。note important IMPORTANT 在事件转发中引用的Splunk终结点应仅使用端口 443
。 当前事件转发实施不支持非标准端口。
安装Splunk扩展 install
要在UI中安装Splunk事件收集器扩展,请导航到 事件转发 并选择要将扩展添加到的属性,或改为创建新属性。
选择或创建所需的属性后,导航到 扩展 > 目录。 搜索“Splunk”,然后在Splunk扩展中选择 Install。
在UI中选择的Splunk扩展的
配置Splunk扩展 configure_extension
在左侧导航中选择 扩展。 在 Installed 下,选择Splunk扩展上的 Configure。
在UI中选择的Splunk扩展的
对于 HTTP事件收集器URL,请输入您的Splunk平台实例地址和端口。 在 访问令牌 下,输入您的Event Collector Token值。 完成后,选择 保存。
在UI中填写了
配置事件转发规则 config_rule
开始创建新的事件转发规则规则,并根据需要配置其条件。 为规则选择操作时,请选择Splunk扩展,然后选择创建事件操作类型。 其他控件似乎可用于进一步配置Splunk事件。
下一步是将Splunk事件属性映射到您之前创建的数据元素。 下面提供了基于可设置的输入事件数据的受支持的可选映射。 有关详细信息,请参阅Splunk文档。
(必需)
event
键,也可以是原始文本。 event
键与元数据键在JSON事件数据包中的级别相同。 在event
键值大括号内,数据可以采用您需要的任何形式(例如字符串、数字、其他JSON对象等)。<sec>.<ms>
),具体取决于您的本地时区。 例如,1433188255.500
表示新纪元后的1433188255秒和500毫秒,或2015年6月1日星期一晚上7:50:55 GMT。fields
键不适用于原始数据。包含fields
属性的请求必须发送到/collector/event
终结点,否则将不会对它们编制索引。有关详细信息,请参阅有关索引字段提取的Splunk文档。
验证Splunk中的数据 validate
创建并执行事件转发规则后,验证发送到Splunk API的事件是否按Splunk UI中的预期方式显示。 如果事件收集和Experience Platform集成成功,您将在Splunk控制台中看到如下事件:
后续步骤
本文档介绍了如何在UI中安装和配置Splunk事件转发扩展。 有关在Splunk中收集事件数据的更多信息,请参阅官方文档: