Gegevens van Splunk Universal Forwarder opnemen in Azure Data Explorer
Belangrijk
Deze connector kan worden gebruikt in realtime analyses in Microsoft Fabric. Gebruik de instructies in dit artikel met de volgende uitzonderingen:
- Maak indien nodig databases aan de hand van de instructies in Een KQL-database maken.
- Maak indien nodig tabellen aan de hand van de instructies in Een lege tabel maken.
- Haal query- of opname-URI's op met behulp van de instructies in URI kopiëren.
- Query's uitvoeren in een KQL-queryset.
Splunk Universal Forwarder is een lichtgewicht versie van de Splunk Enterprise-software waarmee u gegevens uit vele bronnen tegelijk kunt opnemen. Het is ontworpen voor het verzamelen en doorsturen van logboekgegevens en computergegevens uit verschillende bronnen naar een centrale Splunk Enterprise-server of een Splunk Cloud-implementatie. Splunk Universal Forwarder fungeert als een agent die het proces van het verzamelen en doorsturen van gegevens vereenvoudigt, waardoor het een essentieel onderdeel wordt in een Splunk-implementatie. Azure Data Explorer is een snelle en zeer schaalbare service voor gegevensverkenning voor telemetrische gegevens en gegevens uit logboeken.
In dit artikel leert u hoe u de Kusto Splunk Universal Forwarder Connector gebruikt om gegevens te verzenden naar een tabel in uw cluster. U maakt in eerste instantie een tabel- en gegevenstoewijzing, stuurt vervolgens Splunk de opdracht om gegevens naar de tabel te verzenden en vervolgens de resultaten te valideren.
Vereisten
- Splunk Universal Forwarder gedownload op dezelfde computer waarop de logboeken afkomstig zijn.
- Een Azure Data Explorer-cluster en -database. Maak een cluster en database.
- Docker geïnstalleerd op het systeem waarop de Kusto Splunk Universal Forwarder-connector wordt uitgevoerd.
- Een Microsoft Entra service-principal. Maak een Microsoft Entra service-principal.
Een Azure Data Explorer-tabel maken
Maak een tabel om de gegevens van Splunk Universal Forwarder te ontvangen en geef de service-principal vervolgens toegang tot deze tabel.
In de volgende stappen maakt u een tabel met de naam SplunkUFLogs met één kolom (RawText). Dit komt doordat Splunk Universal Forwarder standaard gegevens in een onbewerkte tekstindeling verzendt. De volgende opdrachten kunnen worden uitgevoerd in de queryeditor van de webgebruikersinterface.
Een tabel maken:
.create table SplunkUFLogs (RawText: string)Controleer of de tabel
SplunkUFLogsis gemaakt en leeg is:SplunkUFLogs | countGebruik de service-principal uit vereisten om toestemming te verlenen om te werken met de database die uw tabel bevat.
.add database YOUR_DATABASE_NAME admins ('aadapp=YOUR_APP_ID;YOUR_TENANT_ID') 'Entra service principal: Splunk UF'
De Splunk Universal Forwarder configureren
Wanneer u Splunk Universal Forwarder downloadt, wordt er een wizard geopend om de doorstuurserver te configureren.
Stel in de wizard de ontvangende indexeerfunctie in om te verwijzen naar het systeem dat als host fungeert voor de Kusto Splunk Universal Forwarder-connector. Voer in
127.0.0.1voor de hostnaam of het IP-adres en9997voor de poort. Laat de doelindexeerfunctie leeg.Zie Een ontvanger inschakelen voor Splunk Enterprise voor meer informatie.
Ga naar de map waarin Splunk Universal Forwarder is geïnstalleerd en ga vervolgens naar de map /etc/system/local . Maak of wijzig het bestand inputs.conf zodat de doorstuurserver logboeken kan lezen:
[default] index = default disabled = false [monitor://C:\Program Files\Splunk\var\log\splunk\modinput_eventgen.log*] sourcetype = modinput_eventgenZie Bestanden en mappen bewaken met inputs.conf voor meer informatie.
Ga naar de map waarin Splunk Universal Forwarder is geïnstalleerd en ga vervolgens naar de map /etc/system/local . Maak of wijzig het bestand outputs.conf om de doellocatie voor de logboeken te bepalen. Dit is de hostnaam en poort van het systeem dat als host fungeert voor de Kusto Splunk Universal Forwarder-connector:
[tcpout] defaultGroup = default-autolb-group sendCookedData = false [tcpout:default-autolb-group] server = 127.0.0.1:9997 [tcpout-server://127.0.0.1:9997]Zie Doorsturen configureren met outputs.conf voor meer informatie.
Start Splunk Universal Forwarder opnieuw.
De Kusto Splunk Universal-connector configureren
Ga als volgt te werk om de Kusto Splunk Universal-connector te configureren voor het verzenden van logboeken naar uw Azure Data Explorer tabel:
Download of kloon de connector vanuit de GitHub-opslagplaats.
Ga naar de basismap van de connector:
cd .\SplunkADXForwarder\Bewerk config.yml zodat deze de volgende eigenschappen bevat:
ingest_url: <ingest_url> client_id: <ms_entra_app_client_id> client_secret: <ms_entra_app_client_secret> authority: <ms_entra_authority> database_name: <database_name> table_name: <table_name> table_mapping_name: <table_mapping_name> data_format: csvVeld Description ingest_urlDe opname-URL voor uw Azure Data Explorer-cluster. U vindt deze in de Azure Portal onder de gegevensopname-URI op het tabblad Overzicht van uw cluster. Gebruik hierbij de notatie https://ingest-<clusterName>.<region>.kusto.windows.net.client_idDe client-id van uw Microsoft Entra toepassingsregistratie die is gemaakt in de sectie Vereisten. client_secretHet clientgeheim van uw Microsoft Entra toepassingsregistratie gemaakt in de sectie Vereisten. authorityDe id van de tenant die uw Microsoft Entra toepassingsregistratie bevat die is gemaakt in de sectie Vereisten. database_nameDe naam van uw Azure Data Explorer-database. table_nameDe naam van uw Azure Data Explorer doeltabel. table_mapping_nameDe naam van de toewijzing van de opnamegegevens voor uw tabel. Als u geen toewijzing hebt, kunt u deze eigenschap weglaten uit het configuratiebestand. U kunt gegevens later altijd in verschillende kolommen parseren. data_formatDe verwachte gegevensindeling voor binnenkomende gegevens. De binnenkomende gegevens zijn in onbewerkte tekstindeling, dus de aanbevolen indeling is csv, waarmee de onbewerkte tekst standaard wordt toegewezen aan de nulindex.Bouw de docker-installatiekopieën:
docker build -t splunk-forwarder-listenerVoer de docker-container uit:
docker run -p 9997:9997 splunk-forwarder-listener
Controleer of gegevens worden opgenomen in Azure Data Explorer
Zodra de docker wordt uitgevoerd, worden gegevens verzonden naar uw Azure Data Explorer-tabel. U kunt controleren of de gegevens worden opgenomen door een query uit te voeren in de queryeditor van de webgebruikersinterface.
Voer de volgende query uit om te controleren of gegevens worden opgenomen in de tabel:
SplunkUFLogs | countVoer de volgende query uit om de gegevens weer te geven:
SplunkUFLogs | take 100