Splunk擴充功能概觀
Splunk是可觀察性平台,可提供針對您資料的可操作深入分析之搜尋、分析和視覺化。 Splunk 事件轉送擴充功能運用Splunk HTTP事件收集器REST API,將事件從Adobe Experience PlatformEdge Network傳送至Splunk HTTP事件收集器。
Splunk使用持有人權杖作為驗證機制,與Splunk事件收集器API通訊。
使用案例 use-cases
行銷團隊可在下列使用案例中使用此擴充功能:
先決條件 prerequisites
您必須有Splunk帳戶才能使用此擴充功能。 您可以在Splunk首頁註冊Splunk帳戶。
您也必須具備下列技術值才能設定擴充功能:
-
事件收集器權杖。 Token通常是UUIDv4格式,如下所示:
12345678-1234-1234-1234-1234567890AB
。 -
貴組織的Splunk平台執行個體位址和連線埠。 Platform執行個體位址和連線埠通常具有下列格式:
mysplunkserver.example.com:443
。note important IMPORTANT 在事件轉送中參考的Splunk端點應僅使用連線埠 443
。 事件轉送實作目前不支援非標準連線埠。
安裝Splunk擴充功能 install
若要在UI中安裝Splunk事件收集器擴充功能,請導覽至 事件轉送 並選取要新增擴充功能的屬性,或改為建立新屬性。
選取或建立所需的屬性後,請瀏覽至 擴充功能 > 目錄。 搜尋"Splunk",然後在Splunk擴充功能上選取 Install。
在UI中選取之Splunk擴充功能的
設定Splunk擴充功能 configure_extension
在左側導覽中選取 擴充功能。 在 已安裝 下,選取Splunk擴充功能上的 設定。
在UI中選取的Splunk擴充功能的
針對 HTTP事件收集器URL,請輸入您的Splunk平台執行個體位址和連線埠。 在 存取Token 下,輸入您的Event Collector Token值。 完成後,選取 儲存。
設定事件轉送規則 config_rule
開始建立新的事件轉送規則規則,並視需要設定其條件。 選取規則的動作時,請選取Splunk擴充功能,然後選取建立事件動作型別。 似乎有其他控制項可進一步設定Splunk事件。
下一步是將該Splunk事件屬性對應至您先前建立的資料元素。 以下提供根據可設定的輸入事件資料支援的選用對應。 如需詳細資訊,請參閱Splunk檔案。
(必要)
event
索引鍵,也可以是原始文字。 event
金鑰與JSON事件封包內的中繼資料金鑰位於相同層級。 在event
鍵值大括弧內,資料可以採行您所需的任何形式(例如字串、數字、其他JSON物件等)。<sec>.<ms>
),取決於您的當地時區。 例如,1433188255.500
表示紀元後1433188255秒和500毫秒,或2015年6月1日星期一晚上7:50:55 GMT。fields
金鑰不適用於原始資料。包含
fields
屬性的要求必須傳送至/collector/event
端點,否則將不會編制索引。 如需詳細資訊,請參閱有關索引欄位擷取的Splunk檔案。驗證Splunk中的資料 validate
建立並執行事件轉送規則後,驗證傳送至Splunk API的事件是否如預期般顯示在Splunk UI中。 如果事件收集和Experience Platform整合成功,您會在Splunk主控台中看到事件,如下所示:
後續步驟
本檔案說明如何在UI中安裝和設定Splunk事件轉送擴充功能。 如需在Splunk中收集事件資料的詳細資訊,請參閱正式檔案: