Mata in data från Splunk till Azure Data Explorer

Viktigt

Den här anslutningsappen kan användas i realtidsanalys i Microsoft Fabric. Följ anvisningarna i den här artikeln med följande undantag:

• Om det behövs skapar du databaser med hjälp av anvisningarna i Skapa en KQL-databas.
• Om det behövs skapar du tabeller med hjälp av anvisningarna i Skapa en tom tabell.
• Hämta URI:er för frågor eller inmatning med hjälp av anvisningarna i Kopiera URI.
• Köra frågor i en KQL-frågeuppsättning.

Splunk Enterprise är en programvaruplattform som gör att du kan mata in data från många källor samtidigt. Splunk-indexeraren bearbetar data och lagrar dem som standard i huvudindexet eller ett angivet anpassat index. Sökning i Splunk använder indexerade data för att skapa mått, instrumentpaneler och aviseringar. Azure Data Explorer är en snabb och mycket skalbar datautforskningstjänst för logg- och telemetridata.

I den här artikeln får du lära dig hur du använder tillägget Azure Data Explorer Splunk för att skicka data från Splunk till en tabell i klustret. Du skapar först en tabell och datamappning, sedan dirigerar du Splunk för att skicka data till tabellen och validerar sedan resultatet.

Följande scenarier är lämpligast för att mata in data i Azure Data Explorer:

• Data med stora volymer: Azure Data Explorer är utformat för att effektivt hantera stora mängder data. Om din organisation genererar en betydande mängd data som behöver realtidsanalys är Azure Data Explorer ett lämpligt val.
• Tidsseriedata: Azure Data Explorer utmärker sig vid hantering av tidsseriedata, till exempel loggar, telemetridata och sensoravläsningar. Den organiserar data i tidsbaserade partitioner, vilket gör det enkelt att utföra tidsbaserad analys och aggregeringar.
• Realtidsanalys: Om din organisation kräver insikter i realtid från data som flödar in kan Azure Data Explorer funktioner i nära realtid vara användbara.

Förutsättningar

• Ett Microsoft-konto eller en Microsoft Entra användaridentitet. En Azure-prenumeration krävs inte.
• Ett Azure Data Explorer-kluster och en databas. Skapa ett kluster och en databas.
• Splunk Enterprise 9 eller senare.
• Ett Microsoft Entra tjänstens huvudnamn. Skapa ett Microsoft Entra tjänstens huvudnamn.

Skapa en tabell och ett mappningsobjekt

När du har ett kluster och en databas skapar du en tabell med ett schema som matchar dina Splunk-data. Du skapar också ett mappningsobjekt som används för att omvandla inkommande data till måltabellschemat.

I följande exempel skapar du en tabell med namnet WeatherAlert med fyra kolumner: Timestamp, Temperature, Humidityoch Weather. Du skapar också en ny mappning med namnet WeatherAlert_Json_Mapping som extraherar egenskaper från den inkommande json som anges av path och matar ut dem till angiven column.

I frågeredigeraren för webbgränssnittet kör du följande kommandon för att skapa tabellen och mappningen:

1. Skapa en tabell:

   .create table WeatherAlert (Timestamp: datetime, Temperature: string, Humidity: string, Weather: string)
   

2. Kontrollera att tabellen WeatherAlert har skapats och är tom:

   WeatherAlert
   | count
   

3. Skapa ett mappningsobjekt:

   .create table WeatherAlert ingestion json mapping "WeatherAlert_Json_Mapping"
       ```[{ "column" : "Timestamp", "datatype" : "datetime", "Properties":{"Path":"$.timestamp"}},
           { "column" : "Temperature", "datatype" : "string", "Properties":{"Path":"$.temperature"}},
           { "column" : "Humidity", "datatype" : "string", "Properties":{"Path":"$.humidity"}},
           { "column" : "Weather", "datatype" : "string", "Properties":{"Path":"$.weather_condition"}}
         ]```
   

4. Använd tjänstens huvudnamn från Förutsättningar för att bevilja behörighet att arbeta med databasen.

   .add database YOUR_DATABASE_NAME admins  ('aadapp=YOUR_APP_ID;YOUR_TENANT_ID') 'Entra App'
   

Installera tillägget Splunk Azure Data Explorer

Splunk-tillägget kommunicerar med Azure Data Explorer och skickar data till den angivna tabellen.

1. Ladda ned azure Data Explorer-tillägget.

2. Logga in på din Splunk-instans som administratör.

3. Gå till Appar>Hantera appar.

4. Välj Installera app från fil och sedan Azure Data Explorer tilläggsfil som du laddade ned.

5. Slutför installationen genom att följa anvisningarna.

6. Välj Starta om nu.

7. Kontrollera att tillägget är installerat genom att gå tillAviseringsåtgärder på instrumentpanelen> och leta efter Azure Data Explorer-tillägget.

   

Skapa ett nytt index i Splunk

Skapa ett index i Splunk som anger kriterierna för de data som du vill skicka till Azure Data Explorer.

1. Logga in på din Splunk-instans som administratör.
2. Gå till Inställningar>Index.
3. Ange ett namn för indexet och konfigurera kriterierna för de data som du vill skicka till Azure Data Explorer.
4. Konfigurera de återstående egenskaperna efter behov och spara sedan indexet.

Konfigurera Splunk-tillägget för att skicka data till Azure Data Explorer

1. Logga in på din Splunk-instans som administratör.

2. Gå till instrumentpanelen och sök med det index som du skapade tidigare. Om du till exempel har skapat ett index med namnet WeatherAlertssöker index="WeatherAlerts"du efter .

3. Välj Spara som>avisering.

4. Ange namn, intervall och villkor som krävs för aviseringen.

   

5. Under Utlösaråtgärder väljer du Lägg till åtgärder>Skicka till Microsoft Azure Data Explorer.

   

6. Konfigurera anslutningsinformationen på följande sätt:

   Inställningen	Beskrivning
   URL för klusterinmatning	Ange inmatnings-URL:en för ditt Azure Data Explorer-kluster. Till exempel https://ingest-<mycluster>.<myregion>.kusto.windows.net.
   Klient-ID	Ange klient-ID:t för det Microsoft Entra program som du skapade tidigare.
   Klienthemlighet	Ange klienthemligheten för det Microsoft Entra program som du skapade tidigare.
   Klientorganisations-ID	Ange klientorganisations-ID för det Microsoft Entra program som du skapade tidigare.
   Databas	Ange namnet på den databas som du vill skicka data till.
   Tabell	Ange namnet på den tabell som du vill skicka data till.
   Mappning	Ange namnet på mappningsobjektet som du skapade tidigare.
   Ta bort extra fält	Välj det här alternativet om du vill ta bort tomma fält från de data som skickas till klustret.
   Beständigt läge	Välj det här alternativet om du vill aktivera hållbarhetsläge under inmatning. När värdet är true påverkas dataflödet för inmatning.

   

7. Välj Spara för att spara aviseringen.

8. Gå till sidan Aviseringar och kontrollera att aviseringen visas i listan över aviseringar.

   

Kontrollera att data matas in i Azure Data Explorer

När aviseringen har utlösts skickas data till din Azure Data Explorer-tabell. Du kan kontrollera att data matas in genom att köra en fråga i frågeredigeraren för webbgränssnittet.

1. Kör följande fråga för att kontrollera att data matas in i tabellen:

   WeatherAlert
   | count
   

2. Kör följande fråga för att visa data:

   WeatherAlert
   | take 100
   

   

Relaterat innehåll

• Skriva frågor