文件Experience Platform標記

Splunk擴充功能概觀

Last update: Thu Oct 30 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • 主題:

建立對象:

  • 開發人員

Splunk是可觀察性平台,可提供針對您資料的可操作深入分析之搜尋、分析和視覺化。 Splunk 事件轉送擴充功能運用Splunk HTTP事件收集器REST API,將事件從Adobe Experience Platform Edge Network傳送至Splunk HTTP事件收集器

Splunk使用持有人權杖作為驗證機制,與Splunk事件收集器API通訊。

使用案例 use-cases

行銷團隊可在下列使用案例中使用此擴充功能:

使用案例
說明
客戶行為分析
組織可以從其網站擷取客戶互動事件資料,並將相關事件轉送至Splunk。 行銷與分析團隊可以在Splunk平台內執行後續分析,以瞭解關鍵使用者的互動和行為。 Splunk平台可用來產生圖表、儀表板或其他視覺效果,以告知業務利害關係人。
在大型資料集上可擴充的搜尋
組織可以從網站擷取交易或對話輸入作為事件資料,並將事件轉送到Splunk。 然後,Analytics團隊可以利用Splunk的可擴充索引功能,篩選及處理大型資料集,以獲得任何業務分析並做出明智決策。

先決條件 prerequisites

您必須有Splunk帳戶才能使用此擴充功能。 您可以在Splunk首頁註冊Splunk帳戶。

NOTE
Splunk擴充功能同時支援Splunk Cloud和Splunk Enterprise執行個體。 本指南會記錄使用Splunk Cloud作為參考的實作。 Splunk Enterprise的組態程式類似,但需要您的Splunk Enterprise管理員提供特定指引。

您也必須具備下列技術值才能設定擴充功能:

  • 事件收集器權杖。 Token通常是UUIDv4格式,如下所示: 12345678-1234-1234-1234-1234567890AB

  • 貴組織的Splunk平台執行個體位址和連線埠。 Platform執行個體位址和連線埠通常具有下列格式: mysplunkserver.example.com:443

    note important
    IMPORTANT
    在事件轉送中參考的Splunk端點應僅使用連線埠443。 事件轉送實作目前不支援非標準連線埠。

安裝Splunk擴充功能 install

若要在UI中安裝Splunk事件收集器擴充功能,請導覽至​ 事件轉送 ​並選取要新增擴充功能的屬性,或改為建立新屬性。

選取或建立所需的屬性後,請瀏覽至​擴充功能 > 目錄。 搜尋"Splunk",然後在Splunk擴充功能上選取​Install

在UI中選取之Splunk擴充功能的 安裝按鈕

設定Splunk擴充功能 configure_extension

IMPORTANT
根據您的實作需求,您可能需要在設定擴充功能前建立結構、資料元素和資料集。 開始之前,請先檢閱所有設定步驟,以決定您需要為使用案例設定的實體。

在左側導覽中選取​擴充功能。 在​ 已安裝 ​下,選取Splunk擴充功能上的​設定

在UI中選取的Splunk擴充功能的 設定按鈕

針對​HTTP Event Collector URL,輸入您的Splunk平台執行個體位址和連線埠。 在​ Access Token ​底下,輸入您的Event Collector Token值。 完成後,選取​Save

組態選項已在UI中填寫

設定事件轉送規則 config_rule

開始建立新的事件轉送規則規則,並視需要設定其條件。 選取規則的動作時,請選取Splunk擴充功能,然後選取Create Event動作型別。 似乎有其他控制項可進一步設定Splunk事件。

定義動作組態

下一步是將該Splunk事件屬性對應至您先前建立的資料元素。 以下提供根據可設定的輸入事件資料支援的選用對應。 如需詳細資訊,請參閱Splunk檔案

欄位名稱
說明
Event

(必要)
指定您要如何提供事件資料。 事件資料可以指派給HTTP請求中JSON物件內的event索引鍵,也可以是原始文字。 event金鑰與JSON事件封包內的中繼資料金鑰位於相同層級。 在event鍵值大括弧內,資料可以採行您所需的任何形式(例如字串、數字、其他JSON物件等)。
Host
您傳送資料之來源使用者端的主機名稱。
Source Type
要指派給事件資料的來源型別。
Source
要指派給事件資料的來源值。 例如,如果您從正在開發的應用程式傳送資料,請將此索引鍵設為應用程式的名稱。
Index
事件資料索引的名稱。 如果權杖設定了索引引數,您在此指定的索引必須在允許的索引清單中。
Time
事件時間。 預設時間格式為UNIX時間(格式為<sec>.<ms>),取決於您的當地時區。 例如,1433188255.500表示紀元後1433188255秒和500毫秒,或2015年6月1日星期一晚上7:50:55 GMT。
Fields
指定原始JSON物件或包含要在索引時間定義的明確自訂欄位的一組索引鍵/值組。 fields金鑰不適用於原始資料。

包含fields屬性的要求必須傳送至/collector/event端點,否則將不會編制索引。 如需詳細資訊,請參閱有關索引欄位擷取的Splunk檔案。

驗證Splunk中的資料 validate

建立並執行事件轉送規則後,驗證傳送至Splunk API的事件是否如預期般顯示在Splunk UI中。 如果事件收集和Experience Platform整合成功,您會在Splunk主控台中看到事件,如下所示:

驗證期間出現在Splunk UI中的事件資料

後續步驟

本檔案說明如何在UI中安裝和設定Splunk事件轉送擴充功能。 如需在Splunk中收集事件資料的詳細資訊,請參閱正式檔案:

recommendation-more-help
12b4e4a9-5028-4d88-8ce6-64a580811743