Splunk

Mit dem Splunk-Connector können Sie Vorgänge zum Einfügen, Löschen, Aktualisieren und Lesen in der Splunk-Datenbank ausführen.

Hinweise

Führen Sie vor der Verwendung des Splunk-Connectors die folgenden Aufgaben aus:

  • In Ihrem Google Cloud-Projekt:
    • Prüfen Sie, ob eine Netzwerkverbindung eingerichtet ist. Informationen zu Netzwerkmustern finden Sie unter Netzwerkkonnektivität.
    • Weisen Sie dem Nutzer, der den Connector konfiguriert, die IAM-Rolle roles/connectors.admin zu.
    • Weisen Sie dem Dienstkonto, das Sie für den Connector verwenden möchten, die folgenden IAM-Rollen zu:
      • roles/secretmanager.viewer
      • roles/secretmanager.secretAccessor

      Ein Dienstkonto ist eine spezielle Art von Google-Konto, das einen nicht menschlichen Nutzer repräsentiert. Es muss authentifiziert und autorisiert werden, um Zugriff auf Daten in Google APIs zu erhalten. Wenn Sie kein Dienstkonto haben, müssen Sie eins erstellen. Weitere Informationen finden Sie unter Dienstkonto erstellen.

    • Aktivieren Sie die folgenden Dienste:
      • secretmanager.googleapis.com (Secret Manager API)
      • connectors.googleapis.com (Connectors API)

      Informationen zum Aktivieren von Diensten finden Sie unter Dienste aktivieren.

    Wenn diese Dienste oder Berechtigungen für Ihr Projekt zuvor nicht aktiviert wurden, werden Sie aufgefordert, sie beim Konfigurieren des Connectors zu aktivieren.

Connector konfigurieren

Eine Verbindung ist für eine Datenquelle spezifisch. Wenn Sie also viele Datenquellen haben, müssen Sie für jede Datenquelle eine separate Verbindung erstellen. So erstellen Sie eine Verbindung:

  1. Rufen Sie in der Cloud Console die Seite Integration Connectors > Verbindungen auf und wählen Sie ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Seite „Verbindungen“

  2. Klicken Sie auf + NEU ERSTELLEN, um die Seite Verbindung erstellen zu öffnen.
  3. Wählen Sie im Abschnitt Standort den Standort für die Verbindung aus.
    1. Region: Wählen Sie einen Standort aus der Drop-down-Liste aus.

      Eine Liste aller unterstützten Regionen finden Sie unter Standorte.

    2. Tippen Sie auf Weiter.
  4. Führen Sie im Abschnitt Verbindungsdetails folgende Schritte aus:
    1. Connector: Wählen Sie Splunk aus der Drop-down-Liste der verfügbaren Connectors aus.
    2. Connector-Version: Wählen Sie die Connector-Version aus der Drop-down-Liste der verfügbaren Versionen aus.
    3. Geben Sie im Feld Verbindungsname einen Namen für die Verbindungsinstanz ein.

      Verbindungsnamen müssen die folgenden Kriterien erfüllen:

      • Verbindungsnamen können Buchstaben, Ziffern oder Bindestriche enthalten.
      • Buchstaben müssen Kleinbuchstaben sein.
      • Verbindungsnamen müssen mit einem Buchstaben beginnen und mit einem Buchstaben oder einer Ziffer enden.
      • Verbindungsnamen dürfen maximal 49 Zeichen haben.
    4. Geben Sie optional unter Beschreibung eine Beschreibung für die Verbindungsinstanz ein.
    5. Optional können Sie Cloud Logging aktivieren und dann eine Logebene auswählen. Die Logebene ist standardmäßig auf Error festgelegt.
    6. Dienstkonto: Wählen Sie ein Dienstkonto, das über die erforderlichen Rollen verfügt.
    7. Konfigurieren Sie optional die Verbindungsknoteneinstellungen:

      • Mindestanzahl von Knoten: Geben Sie die Mindestanzahl von Verbindungsknoten ein.
      • Maximale Anzahl von Knoten: Geben Sie die maximale Anzahl von Verbindungsknoten ein.

      Ein Knoten ist eine Einheit (oder ein Replikat) einer Verbindung, die Transaktionen verarbeitet. Zur Verarbeitung von mehr Transaktionen für eine Verbindung sind mehr Knoten erforderlich. Umgekehrt sind weniger Knoten erforderlich, um weniger Transaktionen zu verarbeiten. Informationen zu den Auswirkungen der Knoten auf Ihre Connector-Preise finden Sie unter Preise für Verbindungsknoten. Wenn Sie keine Werte eingeben, ist die Mindestanzahl von Knoten standardmäßig auf 2 (für eine bessere Verfügbarkeit) und die maximale Knotenzahl auf 50 gesetzt.

    8. Klicken Sie optional auf + LABEL HINZUFÜGEN, um der Verbindung ein Label in Form eines Schlüssel/Wert-Paars hinzuzufügen.
    9. Tippen Sie auf Weiter.
  5. Geben Sie im Abschnitt Ziele die Details zum Remote-Host (Backend-System) ein, zu dem Sie eine Verbindung herstellen möchten.
    1. Zieltyp: Wählen Sie einen Zieltyp aus.
      • Wenn Sie den Zielhostnamen oder die Ziel-IP-Adresse angeben möchten, wählen Sie Hostadresse aus und geben Sie die Adresse in das Feld Host 1 ein.
      • Wenn Sie eine private Verbindung herstellen möchten, wählen Sie Endpunktanhang aus und wählen Sie den erforderlichen Anhang aus der Liste Endpunktanhang aus.

      Wenn Sie eine öffentliche Verbindung zu Ihren Back-End-Systemen mit zusätzlicher Sicherheit herstellen möchten, können Sie statische ausgehende IP-Adressen für Ihre Verbindungen konfigurieren und dann Ihre Firewallregeln konfigurieren, um nur bestimmte statische IP-Adressen zuzulassen.

      Wenn Sie weitere Ziele eingeben möchten, klicken Sie auf + ZIEL HINZUFÜGEN.

    2. Tippen Sie auf Weiter.
  6. Geben Sie im Abschnitt Authentifizierung die Authentifizierungsdetails ein.
    1. Wählen Sie einen Authentifizierungstyp aus und geben Sie die relevanten Details ein.

      Die folgenden Authentifizierungstypen werden von der Splunk-Verbindung unterstützt:

      • Nutzername und Passwort (Basisauthentifizierung)
      • AccessToken
      • HTTPEventCollectorToken

      2. Informationen zum Konfigurieren dieser Authentifizierungstypen finden Sie unter Authentifizierung konfigurieren.

    2. Tippen Sie auf WEITER.
  7. Überprüfen: Prüfen Sie Ihre Verbindungs- und Authentifizierungsdetails.
  8. Klicken Sie auf Erstellen.

Authentifizierung konfigurieren

Geben Sie die Details basierend auf der zu verwendenden Authentifizierung ein.

  • Nutzername und Passwort
    • Nutzername: Der Splunk-Nutzername für die Verbindung.
    • Kennwort: Secret Manager-Secret mit dem Passwort, das dem Splunk-Nutzernamen zugeordnet ist.
  • AccessToken: Legen Sie diese Option fest, um die tokenbasierte Authentifizierung mit der Eigenschaft AccessToken durchzuführen.
  • HTTPEventCollectorToken: Legen Sie diesen Wert fest, um die tokenbasierte Authentifizierung mit der Property HTTPEventCollectorToken durchzuführen.

Beispiele für Verbindungskonfigurationen

In diesem Abschnitt werden die Beispielwerte für die verschiedenen Felder aufgeführt, die Sie beim Erstellen der Splunk-Verbindung konfigurieren.

Verbindungstyp für HTTP-Ereignis-Collector

Feldname Details
Standort us-central1
Connector Splunk
Connector-Version 1
Verbindungsname splunk-http-event-coll-conn
Cloud Logging aktivieren Nein
Dienstkonto SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
Mindestanzahl von Knoten 2
Maximale Anzahl von Knoten 50
SSL aktivieren Ja
Trust Store „Unsichere Verbindung“ Ja
Zieltyp(Server) Hostadresse
Hostadresse 192.0.2.0
Port PORT
Tokenbasierte Authentifizierung für HTTP Event Collector Ja
HTTPEventCollectorToken HTTPEVENTCOLLECTOR_TOKEN
Secret-Version 1

Informationen zum Erstellen eines HTTP-Ereignis-Collector-Tokens finden Sie unter HTTP-Ereignis-Collector erstellen.

SSL-Verbindungstyp

Feldname Details
Standort us-central1
Connector Splunk
Connector-Version 1
Verbindungsname splunk-ssl-connection
Cloud Logging aktivieren Ja
Dienstkonto SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
Ausführlichkeitsgrad 5
Mindestanzahl von Knoten 2
Maximale Anzahl von Knoten 50
SSL aktivieren Ja
Unsichere Verbindung Ja
Zieltyp(Server) Hostadresse
Hostadresse https://192.0.2.0
Port PORT
Nutzerpasswort Ja
Nutzername NUTZER
Passwort PASSWORT
Secret-Version 1

Für die einfache Authentifizierung benötigen Sie die Nutzerrolle oder die Rolle „Power-Nutzer“. Informationen zum Konfigurieren eines Power-Users finden Sie unter Power-User-Rolle konfigurieren. Informationen zum Definieren von Rollen in Splunk finden Sie unter Rolle auf der Splunk-Plattform definieren.

Entitäten, Vorgänge und Aktionen

Alle Integration Connectors bieten eine Abstraktionsebene für die Objekte der verbundenen Anwendung. Sie können nur über diese Abstraktion auf die Objekte einer Anwendung zugreifen. Die Abstraktion wird Ihnen als Entitäten, Vorgänge und Aktionen zur Verfügung gestellt.

  • Entität: Eine Entität kann als Objekt oder Sammlung von Attributen in der verbundenen Anwendung oder im verbundenen Dienst verstanden werden. Die Definition einer Entität unterscheidet sich von Connector zu Connector. Beispiel: In einem Datenbank-Connector sind Tabellen die Entitäten, in einem Dateiserver-Connector sind Ordner die Entitäten und in einem Nachrichtensystem-Connector sind Warteschlangen die Entitäten.

    Es ist jedoch möglich, dass ein Connector keine Entitäten unterstützt oder keine Entitäten enthält. In diesem Fall ist die Liste Entities leer.

  • Vorgang: Ein Vorgang ist die Aktivität, die Sie für eine Entität ausführen können. Sie können einen der folgenden Vorgänge für eine Entität ausführen:

    Durch Auswahl einer Entität aus der verfügbaren Liste wird eine Liste der Vorgänge generiert, die für die Entität verfügbar sind. Eine detaillierte Beschreibung der Vorgänge finden Sie in den Entitätsvorgängen der Connectors-Aufgabe. Wenn ein Connector jedoch keine der Entitätsvorgänge unterstützt, werden diese nicht unterstützten Vorgänge nicht in der Operations-Liste aufgeführt.

  • Aktion: Eine Aktion ist eine Funktion erster Klasse, die über die Connector-Benutzeroberfläche für die Integration verfügbar gemacht wird. Mit einer Aktion können Sie Änderungen an einer oder mehreren Entitäten vornehmen, die von Connector zu Connector unterschiedlich sind. Normalerweise hat eine Aktion einige Eingabeparameter und einen Ausgabeparameter. Es ist jedoch möglich, dass ein Connector keine Aktionen unterstützt. In diesem Fall ist die Actions-Liste leer.

Systembeschränkungen

Der Splunk-Connector kann 5 Transaktionen pro Sekunde und Knoten verarbeiten und drosselt alle Transaktionen, die dieses Limit überschreiten. Die Anzahl der Transaktionen, die dieser Connector verarbeiten kann, hängt jedoch auch von den Einschränkungen der Splunk-Instanz ab. Standardmäßig werden für eine Verbindung zwei Knoten (für eine bessere Verfügbarkeit) zugewiesen.

Informationen zu den für Integration Connectors geltenden Limits finden Sie unter Limits.

Aktionen

In diesem Abschnitt werden die vom Connector unterstützten Aktionen aufgeführt. Informationen zum Konfigurieren der Aktionen finden Sie unter Beispiele für Aktionen.

Aktion „CreateHTTPEvent“

Mit dieser Aktion können Sie Daten und Anwendungsereignisse über die Protokolle HTTP und HTTPS an eine Splunk-Bereitstellung senden.

Eingabeparameter der Aktion „CreateHTTPEvent“

Parametername Datentyp Erforderlich Beschreibung
EventContent String Ja Der Name der Tabelle oder Ansicht.
ContentType String Nein Der für die EventContent-Eingabe angegebene Inhaltstyp. Die unterstützten Werte sind JSON und RAWTEXT.
ChannelGUID Ganzzahl Nein Die GUID des Kanals, der für das Ereignis verwendet wird. Sie müssen diesen Wert angeben, wenn ContentType RAWTEXT ist.

Ausgabeparameter der Aktion „CreateHTTPEvent“

Diese Aktion gibt den Erfolgsstatus des erstellten Ereignisses zurück.

Aktion „CreateIndex“

Mit dieser Aktion können Sie Indexe erstellen.

Eingabeparameter der CreateIndex-Aktion

Parametername Datentyp Erforderlich Beschreibung
MaxMetaEntries String Nein Legt die maximale Anzahl eindeutiger Zeilen in .data-Dateien in einem Bucket fest. Dies kann dazu beitragen, den Arbeitsspeicherverbrauch zu senken.
FrozenTimePeriodInSecs String Nein Anzahl der Sekunden, nach denen indexierte Daten in den eingefrorenen Status übergehen. Die Standardeinstellung ist 188697600 (6 Jahre).
HomePath String Nein Ein absoluter Pfad, der die Hot- und Warm-Buckets für den Index enthält.
MinRawFileSyncSecs String Nein Geben Sie für diesen Parameter eine Ganzzahl (oder disable) an. Mit diesem Parameter wird festgelegt, wie oft splunkd eine Dateisystemsynchronisierung erzwingt, während Journal-Slices komprimiert werden.
ProcessTrackerServiceInterval String Nein Gibt in Sekunden an, wie oft der Indexer den Status der untergeordneten Betriebssystemprozesse prüft, die er gestartet hat, um festzustellen, ob er neue Prozesse für in der Warteschlange befindliche Anfragen starten kann. Wenn der Wert auf 0 gesetzt ist, prüft der Indexer jede Sekunde den Status des untergeordneten Prozesses.
ServiceMetaPeriod String Nein Definiert, wie oft (in Sekunden) Metadaten mit der Festplatte synchronisiert werden.
MaxHotSpanSecs String Nein Obergrenze des maximalen Zielzeitraums (in Sekunden) für Hot- oder Warm-Buckets.
QuarantinePastSecs String Nein Ereignisse mit einem Zeitstempel, der älter als >now Sekunden ist, werden in den Quarantäne-Bucket verschoben.
ColdToFrozenDir String Nein Zielpfad für das eingefrorene Archiv. Kann als Alternative zu einem ColdToFrozenScript verwendet werden.
ColdPath String Nein Ein absoluter Pfad, der die Cold-DBS für den Index enthält. Der Pfad muss lesbar und beschreibbar sein.
MaxHotIdleSecs String Nein Maximale Lebensdauer eines Hot Buckets in Sekunden
WarmToColdScript String Nein Pfad zu einem Script, das beim Verschieben von Daten von „warm“ zu „kalt“ ausgeführt wird.
ColdToFrozenScript String Nein Pfad zum Archivierungsscript.
MaxHotBuckets String Nein Maximale Anzahl von Hot-Buckets, die pro Index vorhanden sein können.
TstatsHomePath String Nein Speicherort für TSIDX-Daten zur Beschleunigung des Datenmodells für diesen Index. Falls angegeben, muss sie als Volumendefinition definiert werden. Pfad muss beschreibbar sein
RepFactor String Nein Steuerung der Indexreplikation. Dieser Parameter gilt nur für Peer-Knoten im Cluster.
  • auto: Der Wert für die Replikationskonfiguration des Masterindex wird verwendet.
  • 0: Die Replikation für diesen Index wird deaktiviert.
MaxDataSize String Nein Die maximale Größe in MB, die eine Hot-Datenbank erreichen kann, bevor ein Roll-to-Warm-Vorgang ausgelöst wird. Wenn Sie auto oder auto_high_volume angeben, wird dieser Parameter automatisch von Splunk optimiert (empfohlen).
MaxBloomBackfillBucketAge String Nein Gültige Werte sind: integer[m|s|h|d]. Wenn ein Warm- oder Cold-Bucket älter als das angegebene Alter ist, wird sein Bloom-Filter nicht erstellt oder neu erstellt. Geben Sie 0 an, damit Bloom-Filter nie neu erstellt werden.
BlockSignSize String Nein Steuert, wie viele Ereignisse einen Block für Blocksignaturen bilden. Wenn dieser Wert auf 0 gesetzt ist, ist die Blocksignierung für diesen Index deaktiviert. Der empfohlene Wert ist 100.
Name String Ja Der Name des zu erstellenden Index
MaxTotalDataSizeMB String Nein Die maximale Größe eines Index (in MB). Wenn ein Index die maximale Größe überschreitet, werden die ältesten Daten eingefroren.
MaxWarmDBCount String Nein Die maximale Anzahl von Warm-Buckets. Wird diese Zahl überschritten, werden die warmen Buckets mit dem niedrigsten Wert für die letzten Zeiträume in „Kalt“ verschoben.
RawChunkSizeBytes String Nein Die Zielgröße in Byte für einzelne unkomprimierte Rohdaten-Slices im Rohdatentagebuch des Index. 0 ist kein gültiger Wert. Wenn „0“ angegeben ist, wird „rawChunkSizeBytes“ auf den Standardwert festgelegt.
DataType String Nein Gibt den Typ des Index an
MaxConcurrentOptimizes String Nein Die Anzahl der gleichzeitigen Optimierungsprozesse, die für einen Hot Bucket ausgeführt werden können.
ThrottleCheckPeriod String Nein Definiert, wie oft (in Sekunden) Splunk nach einer Drosselungsbedingung für den Index sucht.
SyncMeta String Nein Wenn „true“, wird ein Synchronisierungsvorgang aufgerufen, bevor der Dateideskriptor bei Aktualisierungen der Metadatendatei geschlossen wird. Diese Funktion verbessert die Integrität von Metadatendateien, insbesondere bei Betriebssystemabstürzen oder Geräteausfällen.
RotatePeriodInSecs String Nein Häufigkeit in Sekunden, mit der geprüft wird, ob ein neuer Hot Bucket erstellt werden muss. Außerdem wird festgelegt, wie oft geprüft werden soll, ob warme oder kalte Buckets gerollt oder eingefroren werden sollen.

Ausgabeparameter der CreateIndex-Aktion

Diese Aktion gibt eine Bestätigungsmeldung für die CreateIndex-Aktion zurück.

Beispiele für die Konfiguration der CreateIndex-Aktion finden Sie unter Beispiele für Aktionen.

Aktion „CreateSavedSearch“

Mit dieser Aktion können Sie Ihre Suchanfragen speichern.

Eingabeparameter der Aktion „CreateSavedSearch“

Parametername Datentyp Erforderlich Beschreibung
IsVisible Boolesch Ja Gibt an, ob diese gespeicherte Suche in der sichtbaren Liste der gespeicherten Suchanfragen angezeigt wird.
RealTimeSchedule Boolesch Ja Wenn dieser Wert auf 1 festgelegt ist, basiert die Bestimmung der nächsten geplanten Ausführungszeit für die Suche auf der aktuellen Zeit. Wenn dieser Wert auf 0 gesetzt ist, wird er anhand der letzten Suchausführungszeit bestimmt.
Suchen String Ja Die zu speichernde Suchanfrage
Beschreibung String Nein Beschreibung dieser gespeicherten Suche
SchedulePriority String Ja Gibt die Priorität der Planung einer bestimmten Suche an.
CronSchedule String Ja Der Cron-Zeitplan, nach dem diese Suche ausgeführt werden soll. Wenn Sie beispielsweise */5 * * * * eingeben, wird die Suche alle 5 Minuten ausgeführt.
Name String Ja Einen Namen für die Suche
UserContext String Ja Wenn der Nutzerkontext angegeben wird, wird der servicesNS-Knoten verwendet (/servicesNS/[UserContext]/search). Andernfalls wird der allgemeine Endpunkt /services verwendet.
RunOnStartup Boolesch Ja Gibt an, ob diese Suche beim Start ausgeführt wird. Wenn die Suche beim Start nicht ausgeführt wird, wird sie zum nächsten geplanten Zeitpunkt ausgeführt.
Deaktiviert Boolesch Nein Gibt an, ob diese gespeicherte Suche deaktiviert ist.
IsScheduled Boolesch Ja Gibt an, ob diese Suche nach einem Zeitplan ausgeführt werden soll.

Ausgabeparameter der Aktion „CreateSavedSearch“

Diese Aktion gibt eine Bestätigungsnachricht für die Aktion „CreateSavedSearch“ zurück.

Beispiele für die Konfiguration der CreateSavedSearch-Aktion finden Sie unter Beispiele für Aktionen.

Aktion „UpdateSavedSearch“

Mit dieser Aktion können Sie eine gespeicherte Suche aktualisieren.

Eingabeparameter der Aktion „UpdateSavedSearch“

Parametername Datentyp Erforderlich Beschreibung
IsVisible Boolesch Ja Gibt an, ob diese gespeicherte Suche in der sichtbaren Liste der gespeicherten Suchanfragen angezeigt wird.
RealTimeSchedule Boolesch Ja Wenn dieser Wert auf 1 festgelegt ist, basiert die Bestimmung der nächsten geplanten Suchausführungszeit durch den Scheduler auf der aktuellen Zeit. Wenn dieser Wert auf 0 gesetzt ist, wird er anhand der letzten Suchausführungszeit bestimmt.
Suchen String Ja Die zu speichernde Suchanfrage
Beschreibung String Nein Beschreibung dieser gespeicherten Suche
SchedulePriority String Ja Gibt die Priorität der Planung einer bestimmten Suche an.
CronSchedule String Ja Der Cron-Zeitplan, nach dem diese Suche ausgeführt werden soll. Beispiel: */5 * * * * führt dazu, dass die Suche alle 5 Minuten ausgeführt wird.
Name String Ja Einen Namen für die Suche
UserContext String Ja Wenn ein Nutzerkontext angegeben wird, wird der servicesNS-Knoten verwendet (/servicesNS/[UserContext]/search). Andernfalls wird der allgemeine Endpunkt /services verwendet.
RunOnStartup Boolesch Ja Gibt an, ob diese Suche beim Start ausgeführt wird. Wenn die Suche beim Start nicht ausgeführt wird, wird sie zum nächsten geplanten Zeitpunkt ausgeführt.
Deaktiviert Boolesch Nein Gibt an, ob diese gespeicherte Suche deaktiviert ist.
IsScheduled Boolesch Ja Gibt an, ob diese Suche nach einem Zeitplan ausgeführt werden soll.

Ausgabeparameter der Aktion „UpdateSavedSearch“

Diese Aktion gibt eine Bestätigungsnachricht für die Aktion „UpdateSavedSearch“ zurück.

Beispiele für die Konfiguration der UpdateSavedSearch-Aktion finden Sie unter Beispiele für Aktionen.

DeleteIndex-Aktion

Mit dieser Aktion können Sie einen Index löschen.

Eingabeparameter der DeleteIndex-Aktion

Parametername Datentyp Erforderlich Beschreibung
Name String Ja Der Name des zu löschenden Index.

Ausgabeparameter der DeleteIndex-Aktion

Diese Aktion gibt eine Bestätigungsnachricht für die Aktion „DeleteIndex“ zurück.

Beispiele für die Konfiguration der DeleteIndex-Aktion finden Sie unter Beispiele für Aktionen.

Aktion „UpdateIndex“

Mit dieser Aktion können Sie einen Index aktualisieren.

Eingabeparameter der UpdateIndex-Aktion

Parametername Datentyp Erforderlich Beschreibung
MaxMetaEntries String Nein Legt die maximale Anzahl eindeutiger Zeilen in .data-Dateien in einem Bucket fest. Dies kann dazu beitragen, den Arbeitsspeicherverbrauch zu senken.
FrozenTimePeriodInSecs String Nein Anzahl der Sekunden, nach denen indexierte Daten in den eingefrorenen Status übergehen. Die Standardeinstellung ist 188697600 (6 Jahre).
HomePath String Nein Ein absoluter Pfad, der die Hot- und Warm-Buckets für den Index enthält.
MinRawFileSyncSecs String Nein Geben Sie für diesen Parameter eine Ganzzahl (oder disable) an. Mit diesem Parameter wird festgelegt, wie oft splunkd eine Dateisystemsynchronisierung erzwingt, während Journal-Slices komprimiert werden.
ProcessTrackerServiceInterval String Nein Gibt in Sekunden an, wie oft der Indexer den Status der untergeordneten Betriebssystemprozesse prüft, die er gestartet hat, um festzustellen, ob er neue Prozesse für in der Warteschlange befindliche Anfragen starten kann. Wenn der Wert auf 0 gesetzt ist, prüft der Indexer jede Sekunde den Status des untergeordneten Prozesses.
ServiceMetaPeriod String Nein Definiert, wie oft (in Sekunden) Metadaten mit der Festplatte synchronisiert werden.
MaxHotSpanSecs String Nein Obergrenze des maximalen Zielzeitraums (in Sekunden) für Hot- oder Warm-Buckets.
QuarantinePastSecs String Nein Ereignisse mit einem Zeitstempel, der älter als now Sekunden ist, werden in den Quarantäne-Bucket verschoben.
ColdToFrozenDir String Nein Zielpfad für das eingefrorene Archiv. Kann als Alternative zu einem ColdToFrozenScript verwendet werden.
ColdPath String Nein Ein absoluter Pfad, der die Cold-DBS für den Index enthält. Der Pfad muss lesbar und beschreibbar sein.
MaxHotIdleSecs String Nein Maximale Lebensdauer eines Hot-Buckets in Sekunden.
WarmToColdScript String Nein Pfad zu einem Script, das beim Verschieben von Daten von „warm“ zu „kalt“ ausgeführt wird.
ColdToFrozenScript String Nein Pfad zum Archivierungsscript.
MaxHotBuckets String Nein Maximale Anzahl von Hot-Buckets, die pro Index vorhanden sein können.
TstatsHomePath String Nein Speicherort für TSIDX-Daten zur Beschleunigung des Datenmodells für diesen Index. Falls angegeben, muss sie als Volumendefinition definiert werden. Pfad muss beschreibbar sein
RepFactor String Nein Steuerung der Indexreplikation. Dieser Parameter gilt nur für Peer-Knoten im Cluster.
  • auto: Der Wert für die Replikationskonfiguration des Masterindex wird verwendet.
  • 0: Die Replikation für diesen Index wird deaktiviert.
MaxDataSize String Nein Die maximale Größe in MB, die eine Hot-Datenbank erreichen kann, bevor ein Roll-to-Warm-Vorgang ausgelöst wird. Wenn Sie auto oder auto_high_volume angeben, wird dieser Parameter von Splunk automatisch optimiert (empfohlen).
MaxBloomBackfillBucketAge String Nein Gültige Werte sind: integer[m|s|h|d]. Wenn ein Warm- oder Cold-Bucket älter als das angegebene Alter ist, wird sein Bloomfilter nicht erstellt oder neu erstellt. Geben Sie 0 an, damit Bloom-Filter nie neu erstellt werden.
BlockSignSize String Nein Steuert, wie viele Ereignisse einen Block für Blocksignaturen bilden. Wenn dieser Wert auf 0 gesetzt ist, ist die Blocksignierung für diesen Index deaktiviert. Der empfohlene Wert ist 100.
Name String Ja Der Name des zu erstellenden Index
MaxTotalDataSizeMB String Ja Die maximale Größe eines Index (in MB). Wenn ein Index die maximale Größe überschreitet, werden die ältesten Daten eingefroren.
MaxWarmDBCount String Nein Die maximale Anzahl von Warm-Buckets. Wird diese Zahl überschritten, werden die warmen Buckets mit dem niedrigsten Wert für die letzten Zeiträume in „Kalt“ verschoben.
RawChunkSizeBytes String Nein Die Zielgröße in Byte für einzelne unkomprimierte Rohdaten-Slices im Rohdatenjournal des Index. 0 ist kein gültiger Wert. Wenn „0“ angegeben ist, wird „rawChunkSizeBytes“ auf den Standardwert festgelegt.
DataType String Nein Gibt den Typ des Index an
MaxConcurrentOptimizes String Nein Die Anzahl der gleichzeitigen Optimierungsprozesse, die für einen Hot Bucket ausgeführt werden können.
ThrottleCheckPeriod String Nein Definiert, wie oft (in Sekunden) Splunk nach einer Drosselungsbedingung für den Index sucht.
SyncMeta String Nein Wenn „true“, wird vor dem Schließen des Dateideskriptors bei Aktualisierungen der Metadatendatei ein Synchronisierungsvorgang aufgerufen. Diese Funktion verbessert die Integrität von Metadatendateien, insbesondere im Hinblick auf Betriebssystemabstürze oder Maschinenausfälle.
RotatePeriodInSecs String Nein Häufigkeit in Sekunden, mit der geprüft wird, ob ein neuer Hot Bucket erstellt werden muss. Außerdem wird festgelegt, wie oft geprüft werden soll, ob es warme oder kalte Buckets gibt, die gerollt oder eingefroren werden sollten.

Ausgabeparameter der UpdateIndex-Aktion

Diese Aktion gibt eine Bestätigungsmeldung für die UpdateIndex-Aktion zurück.

Beispiele für die Konfiguration der UpdateIndex-Aktion finden Sie unter Beispiele für Aktionen.

Beispiele für Aktionen

Beispiel: HTTP-Ereignis erstellen

In diesem Beispiel wird ein HTTP-Ereignis erstellt.

  1. Klicken Sie im Dialogfeld Configure connector task auf Actions.
  2. Wählen Sie die Aktion CreateHTTPEvent aus und klicken Sie auf Fertig.
  3. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann einen Wert ähnlich dem folgenden in Feld Default Value ein: 
    {
"EventContent": "Testing Task",
"ContentType": "RAWTEXT",
"ChannelGUID": "ContentType=RAWTEXT"
}

    4. Wenn die Aktion erfolgreich ist, hat der Antwortparameter connectorOutputPayload des CreateHTTPEvent-Vorgangs einen Wert, der dem folgenden ähnelt:

    [{
"Success": "Success"
}]

Beispiel: Index erstellen

In diesem Beispiel wird ein Index erstellt.

  1. Klicken Sie im Dialogfeld Configure connector task auf Actions.
  2. Wählen Sie die Aktion CreateIndex aus und klicken Sie auf Fertig.
  3. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann einen Wert ähnlich dem folgenden in Feld Default Value ein: 
    {
"Name": "http_testing"
}

    4. Wenn die Aktion erfolgreich ist, hat der Antwortparameter connectorOutputPayload des CreateIndex-Vorgangs einen Wert, der dem folgenden ähnelt:

    [{
"AssureUTF8": null,
"BlockSignSize": null,
"BlockSignatureDatabase": null,
"BucketRebuildMemoryHint": null,
"ColdPath": null,
"FrozenTimePeriodInSecs": null,
"HomePath": null,
"HomePathExpanded": null,
"IndexThreads": null,
"IsInternal": null,
"MaxConcurrentOptimizes": null,
"MaxDataSize": null,
"MaxHotBuckets": null,
"SuppressBannerList": null,
"Sync": null,
"SyncMeta": null,
"ThawedPath": null,
"ThawedPathExpanded": null,
"TstatsHomePath": null,
"WarmToColdScript": null,
}]

Beispiel: Gespeicherte Suchanfrage erstellen

In diesem Beispiel wird eine gespeicherte Suche erstellt.

  1. Klicken Sie im Dialogfeld Configure connector task auf Actions.
  2. Wählen Sie die Aktion CreateSavedSearch aus und klicken Sie auf Fertig.
  3. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann einen Wert ähnlich dem folgenden in Feld Default Value ein: 
    {
"Name": "test_created_g",
"Search": "index=\"http_testing\"",
"CronSchedule": "*/1 * * * *",
"IsVisible": true,
"RealTimeSchedule": true,
"RunOnStartup": true,
"IsScheduled": true,
"SchedulePriority": "highest",
"UserContext": "nobody"
}

    4. Wenn die Aktion erfolgreich ist, hat der Antwortparameter connectorOutputPayload des CreateSavedSearch-Vorgangs einen Wert, der dem folgenden ähnelt:

    [{
"Success": true,
"Message": null
}]

Beispiel: Gespeicherte Suche aktualisieren

In diesem Beispiel wird eine gespeicherte Suche aktualisiert.

  1. Klicken Sie im Dialogfeld Configure connector task auf Actions.
  2. Wählen Sie die Aktion UpdateSavedSearch aus und klicken Sie auf Fertig.
  3. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann einen Wert ähnlich dem folgenden in Feld Default Value ein: 
    {
"Name": "test_created_g",
"Search": "index=\"december_test_data\"",
"CronSchedule": "*/1 * * * *",
"IsVisible": true,
"RealTimeSchedule": true,
"RunOnStartup": true,
"IsScheduled": true,
"SchedulePriority": "highest"
}

    4. Wenn die Aktion erfolgreich ist, hat der Antwortparameter connectorOutputPayload des UpdateSavedSearch-Vorgangs einen Wert, der dem folgenden ähnelt:

    [{
"Success": true,
"Message": null
}]

Beispiel: Index löschen

In diesem Beispiel wird ein Index gelöscht.

  1. Klicken Sie im Dialogfeld Configure connector task auf Actions.
  2. Wählen Sie die Aktion DeleteIndex aus und klicken Sie auf Fertig.
  3. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann einen Wert ähnlich dem folgenden in Feld Default Value ein: 
    {
"Name": "g_http_testing"
}

    4. Wenn die Aktion erfolgreich ist, hat der Antwortparameter connectorOutputPayload des DeleteIndex-Vorgangs einen Wert, der dem folgenden ähnelt:

    [{
"Success": true,
"ErrorCode": null,
"ErrorMessage": null
}]

Beispiel: Index aktualisieren

In diesem Beispiel wird ein Index aktualisiert.

  1. Klicken Sie im Dialogfeld Configure connector task auf Actions.
  2. Wählen Sie die Aktion UpdateIndex aus und klicken Sie auf Fertig.
  3. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann einen Wert ähnlich dem folgenden in Feld Default Value ein: 
    {
"MaxTotalDataSizeMB": "400000",
"Name": "g_http_testing"
}

    4. Wenn die Aktion erfolgreich ist, hat der Antwortparameter connectorOutputPayload des UpdateIndex-Vorgangs einen Wert, der dem folgenden ähnelt:

    [{
"AssureUTF8": false,
"BlockSignSize": null,
"BlockSignatureDatabase": null,
"BucketRebuildMemoryHint": "auto",
"ColdPath": "$SPLUNK_DB\\g_http_testing\\colddb",
"ColdPathExpanded": "C:\\Program Files\\Splunk\\var\\lib\\splunk\\g_http_testing\\colddb",
"ColdToFrozenDir": "",
"ColdToFrozenScript": "",
"CurrentDBSizeMB": 1.0,
"DefaultDatabase": "main",
"EnableOnlineBucketRepair": true,
"EnableRealtimeSearch": true,
"FrozenTimePeriodInSecs": 1.886976E8,
"HomePath": "$SPLUNK_DB\\g_http_testing\\db",
"HomePathExpanded": "C:\\Program Files\\Splunk\\var\\lib\\splunk\\g_http_testing\\db",
"IndexThreads": "auto",
"IsInternal": false,
"LastInitTime": "2024-01-08 05:15:28.0",
"MaxBloomBackfillBucketAge": "30d",
"ThawedPath": "$SPLUNK_DB\\g_http_testing\\thaweddb",
"ThawedPathExpanded": "C:\\Program Files\\Splunk\\var\\lib\\splunk\\g_http_testing\\thaweddb",
"ThrottleCheckPeriod": 15.0,
"TotalEventCount": 0.0,
"TsidxDedupPostingsListMaxTermsLimit": 8388608.0,
"TstatsHomePath": "volume:_splunk_summaries\\$_index_name\\datamodel_summary",
"WarmToColdScript": "",
"Success": true,
"ErrorCode": null,
"ErrorMessage": null
}]

Beispiele für Entitätsvorgänge

In diesem Abschnitt wird beschrieben, wie Sie einige Entitätsvorgänge in diesem Connector ausführen.

Beispiel: Alle Datensätze auflisten

In diesem Beispiel werden alle Datensätze in der Entität SearchJobs aufgelistet.

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie SearchJobs aus der Liste Entity aus.
  3. Wählen Sie den Vorgang List aus und klicken Sie auf Fertig.
  4. Optional können Sie im Bereich Aufgabeneingabe der Aufgabe Connectors das Ergebnisset filtern, indem Sie eine Filterklausel angeben. Geben Sie den Wert der Filterklausel immer in einfachen Anführungszeichen (') an.

Beispiel: Datensatz aus einer Entität abrufen

In diesem Beispiel wird ein Datensatz mit der angegebenen ID aus der SearchJobs-Entität abgerufen.

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie SearchJobs aus der Liste Entity aus.
  3. Wählen Sie den Vorgang Get aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf EntityId und geben Sie dann 1698309163.1300 in das Feld Standardwert ein.

    Dabei ist 1698309163.1300 eine eindeutige Datensatz-ID in der SearchJobs-Entität.

Beispiel: Datensatz in einer Entität erstellen

In diesem Beispiel wird ein Datensatz in der Entität SearchJobs erstellt.

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie SearchJobs aus der Liste Entity aus.
  3. Wählen Sie den Vorgang Create aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Data Mapper der Aufgabe Datenabgleich auf Open Data Mapping Editor und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Input Value ein. Wählen Sie „EntityId/ConnectorInputPayload“ als lokale Variable aus. 
    { 
"EventSearch": "search (index=\"antivirus_logs\") sourcetype=access_combined | rex  \"(?\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3})\" | iplocation IP_address| table IP_address, City, Country" 
}

    Wenn die Integration erfolgreich ist, hat der Antwortparameter connectorOutputPayload des SearchJobs-Vorgangs einen Wert, der dem folgenden ähnelt:

    {
"Sid": "1699336785.1919"
}

Beispiel: Datensatz in einer Entität erstellen

In diesem Beispiel wird ein Datensatz in der Entität DataModels erstellt.

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie DataModels aus der Liste Entity aus.
  3. Wählen Sie den Vorgang Create aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann einen Wert ähnlich dem folgenden in Feld Default Value ein: 
    {
"Id": "Test1",
"Acceleration": "{\"enabled\":false,\"earliest_time\":\"\",
\"max_time\":3600,\"backfill_time\":\"\",\"source_guid\":\"\",
\"manual_rebuilds\":false,\"poll_buckets_until_maxtime\":false,
\"max_concurrent\":3,\"allow_skew\":\"0\",\"schedule_priority\":\"default\"
,\"allow_old_summaries\":false,\"hunk.file_format\":\"\",\"hunk.dfs_block_size\":0,
\"hunk.compression_codec\":\"\",\"workload_pool\":\"\"}"
}

    Wenn die Integration erfolgreich ist, hat das Feld connectorOutputPayload der Connector-Aufgabe einen Wert, der dem folgenden ähnelt:

    [{
"Id": "Test1"
}]

Beispiel: Datensatz aus einer Entität löschen

In diesem Beispiel wird der Datensatz mit der angegebenen ID in der Entität DataModels gelöscht.

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie DataModels aus der Liste Entity aus.
  3. Wählen Sie den Vorgang Delete aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf entityId und geben Sie dann Test1 in das Feld Standardwert ein.

Beispiel: Datensatz in einer Entität aktualisieren

In diesem Beispiel wird ein Datensatz in der Entität DataModels aktualisiert.

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie DataModels aus der Liste Entity aus.
  3. Wählen Sie den Vorgang Update aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann einen Wert ähnlich dem folgenden in Feld Default Value ein: 
    {
"Acceleration": "{\"enabled\":true,\"earliest_time\":\"-3mon\",
\"cron_schedule\":\"*/5 * * * *\",\"max_time\":60,
\"backfill_time\":\"\",\"source_guid\":\"\",\"manual_rebuilds\":false,
\"poll_buckets_until_maxtime\":false,\"max_concurrent\":3,
\"allow_skew\":\"0\",\"schedule_priority\":\"default\",
\"allow_old_summaries\":false,\"hunk.file_format\":\"\",\"hunk.dfs_block_size\":0,
\"hunk.compression_codec\":\"\",\"workload_pool\":\"\"}"
}
  5. Klicken Sie auf entityId und geben Sie dann /servicesNS/nobody/search/datamodel/model/Testing in das Feld Standardwert ein.

    Wenn die Integration erfolgreich ist, hat das Feld connectorOutputPayload der Connector-Aufgabe einen Wert, der dem folgenden ähnelt:

    [{
"Id": "/servicesNS/nobody/search/datamodel/model/Testing"
}]

Beispiel – Suchvorgang mit Index

In diesem Abschnitt werden alle Suchabläufe mit einem einzelnen Index und mehreren Indizes aufgeführt.

Suche mit einem einzelnen Index erstellen

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie SearchJobs aus der Liste Entity aus.
  3. Wählen Sie den Vorgang Create aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Data Mapper der Aufgabe Datenabgleich auf Open Data Mapping Editor und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Input Value ein. Wählen Sie „EntityId/ConnectorInputPayload“ als lokale Variable aus. 
    {
"EventSearch": "search (index=\"http_testing\" sourcetype=\"googlecloud-testing\") "
}

    Wenn die Integration erfolgreich ist, hat der Antwortparameter connectorOutputPayload des SearchJobs-Vorgangs einen Wert, der dem folgenden ähnelt:

    {
"Sid": "1726051471.76"
}

List-Vorgang mit dem im Suchvorgang verwendeten Indexnamen

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie Index Name aus der Liste Entity aus.
  3. Wählen Sie den Vorgang List aus und klicken Sie auf Fertig.
  4. Im Bereich Aufgabeneingabe der Aufgabe Connectors können Sie die filterClause festlegen, z. B. Sid= '1726051471.76'.

    5. Wenn die Integration erfolgreich ist, hat der Antwortparameter connectorOutputPayload des Index Name-Vorgangs einen Wert, der dem folgenden ähnelt:

    [{
  "_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
  "_cd": "00:04:00",
  "_eventtype_color": null,
  "_indextime": 1.720702012E9,
  "_kv": null,
  "_raw": "hi How r yo\nplease\nfind \nmy notes",
  "_serial": 0.0,
  "_si": "googlecloud-bcone-splunk-vm\nhttp_testing",
  "_sourcetype": "googlecloud-testing",
  "_time": "2024-07-11 12:46:52.0",
  "eventtype": null,
  "host": "googlecloud-bcone-splunk-vm",
  "index": "http_testing",
  "linecount": 4.0,
  "punct": null,
  "source": "Testing.txt",
  "sourcetype": "googlecloud-testing",
  "splunk_server": "googlecloud-bcone-splunk-vm",
  "splunk_server_group": null,
  "timestamp": null,
  "JobId": "1726051471.76"
}]

Suche mit mehreren Indexen erstellen

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie SearchJobs aus der Liste Entity aus.
  3. Wählen Sie den Vorgang Create aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Data Mapper der Aufgabe Datenabgleich auf Open Data Mapping Editor und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Input Value ein. Wählen Sie „EntityId/ConnectorInputPayload“ als lokale Variable aus. 
    {
"EventSearch": "search (index=\"http_testing\" OR index= \"googlecloud-demo\" sourcetype=\"googlecloud-testing\"  OR sourcetype=\"Demo_Text\")"
}

    Wenn die Integration erfolgreich ist, hat der Antwortparameter connectorOutputPayload des SearchJobs-Vorgangs einen Wert, der dem folgenden ähnelt:

    {
"Sid": "1727261971.4007"
}

Listenvorgang mit dem in der Suchanfrage verwendeten Indexnamen

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie aus der Liste Entity den Namen Index Name aus.
  3. Wählen Sie den Vorgang List aus und klicken Sie auf Fertig.
  4. Im Bereich Aufgabeneingabe der Aufgabe Connectors können Sie die filterClause festlegen, z. B. „Sid= '1727261971.4007'“.

    5. Wenn die Integration erfolgreich ist, hat der Antwortparameter connectorOutputPayload des Index-Vorgangs einen Wert, der dem folgenden ähnelt:

     [{
  "_bkt": "googlecloud-demo~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
  "_cd": "00:04:00",
  "_eventtype_color": null,
  "_indextime": 1.727155516E9,
  "_kv": null,
  "_raw": "Hi team\nwe have a demo please plan accordingly\nwith Google team",
  "_serial": 0.0,
  "_si": "googlecloud-bcone-splunk-vm\ngooglecloud-demo",
  "_sourcetype": "Demo_Text",
  "_time": "2024-09-24 05:25:16.0",
  "eventtype": null,
  "host": "googlecloud-bcone-splunk-vm",
  "index": "googlecloud-demo",
  "linecount": 3.0,
  "punct": null,
  "source": "Splunk_Demo.txt",
  "sourcetype": "Demo_Text",
  "splunk_server": "googlecloud-bcone-splunk-vm",
  "splunk_server_group": null,
  "timestamp": null,
  "JobId": "1727261971.4007"
}, {
  "_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
  "_cd": "00:04:00",
  "_eventtype_color": null,
  "_indextime": 1.720702012E9,
  "_kv": null,
  "_raw": "hi How r yo\nplease\nfind \nmy notes",
  "_serial": 1.0,
  "_si": "googlecloud-bcone-splunk-vm\nhttp_testing",
  "_sourcetype": "googlecloud-testing",
  "_time": "2024-07-11 12:46:52.0",
  "eventtype": null,
  "host": "googlecloud-bcone-splunk-vm",
  "index": "http_testing",
  "linecount": 4.0,
  "punct": null,
  "source": "Testing.txt",
  "sourcetype": "googlecloud-testing",
  "splunk_server": "googlecloud-bcone-splunk-vm",
  "splunk_server_group": null,
  "timestamp": null,
  "JobId": "1727261971.4007"
}]

Beispiel: Suchvorgang mit ReadJobResults

In diesem Abschnitt werden alle Suchabläufe aufgeführt, die sowohl einzelne als auch mehrere von der Splunk-Verbindung unterstützte Indexe verwenden. Derzeit beträgt die maximale Nutzlastgröße für unterstützte Protokollergebnisse 150 MB.

Suche mit einem einzelnen Index erstellen

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie SearchJobs aus der Liste Entity aus.
  3. Wählen Sie den Vorgang Create aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Data Mapper der Aufgabe Datenabgleich auf Open Data Mapping Editor und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Input Value ein. Wählen Sie „EntityId/ConnectorInputPayload“ als lokale Variable aus. 
    {
"EventSearch": "search (index=\"http_testing\" sourcetype=\"googlecloud-testing\") "
}

    In diesem Beispiel wird eine Suche erstellt. Wenn die Integration erfolgreich ist, hat der Antwortparameter connectorOutputPayload des Tasks SearchJobs einen Wert, der dem folgenden ähnelt:

    {
"Sid": "1732775755.24612"
}

Führen Sie den Vorgang „create“ für die Aktion „ReadJobResults“ aus, um die Suchergebnisse zu erhalten. Damit die Ergebnisse anhand der Sid gefiltert werden, müssen Sie die Sid als Parameter an die Aktion übergeben.

Ergebnis-Logs mit der Aktion „ReadJobResults“ abrufen

  1. Klicken Sie im Dialogfeld Configure connector task auf Actions.
  2. Wählen Sie die Aktion ReadJobResults aus und klicken Sie auf Fertig.
  3. Klicken Sie im Bereich Data Mapper der Aufgabe Datenabgleich auf Open Data Mapping Editor und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Input Value ein. Wählen Sie „EntityId/ConnectorInputPayload“ als lokale Variable aus. 
    {
"Sid": "1732775755.24612"
}
    4. Wenn die Aktion erfolgreich ist, hat der Antwortparameter connectorOutputPayload des ReadJobResults-Vorgangs einen Wert, der dem folgenden ähnelt:

    [{
"_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
"_cd": "0:4",
"_indextime": "1720702012",
"_raw": "hi How r yo\nplease\nfind \nmy notes",
"_serial": "1",
"_si": "googlecloud-bcone-splunk-vm\nhttp_testing",
"_sourcetype": "googlecloud-testing",
"_time": "2024-07-11T12:46:52.000+00:00",
"host": "googlecloud-bcone-splunk-vm",
"index": "http_testing",
"linecount": "4",
"source": "Testing.txt",
"sourcetype": "googlecloud-testing",
"splunk_server": "googlecloud-bcone-splunk-vm",
"jobid": "1732775755.24612",
"sid": "1732775755.24612"
}]

Suche mit mehreren Indexen erstellen

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie SearchJobs aus der Liste Entity aus.
  3. Wählen Sie den Vorgang Create aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Data Mapper der Aufgabe Datenabgleich auf Open Data Mapping Editor und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Input Value ein. Wählen Sie „EntityId/ConnectorInputPayload“ als lokale Variable aus. 
    {
"EventSearch": "search (index=\"http_testing\" OR index= \"googlecloud-demo\" sourcetype=\"googlecloud-testing\"  OR sourcetype=\"Demo_Text\")"
}

    Wenn die Integration erfolgreich ist, hat der Antwortparameter connectorOutputPayload des SearchJobs-Vorgangs einen Wert, der dem folgenden ähnelt:

    {
"Sid": "1732776556.24634"
}

Führen Sie den Vorgang „create“ für die Aktion „ReadJobResults“ aus, um die Suchergebnisse zu erhalten. Damit die Ergebnisse anhand der Sid gefiltert werden, müssen Sie die Sid als Parameter an die Aktion übergeben.

ResultsLogs mit der Aktion „ReadJobResults“

  1. Klicken Sie im Dialogfeld Configure connector task auf Actions.
  2. Wählen Sie die Aktion ReadJobResults aus und klicken Sie auf Fertig.
  3. Klicken Sie im Bereich Data Mapper der Aufgabe Datenabgleich auf Open Data Mapping Editor und geben Sie dann einen Wert ähnlich dem folgenden in das Feld Input Value ein. Wählen Sie „EntityId/ConnectorInputPayload“ als lokale Variable aus. 
    {
"Sid": "1732776556.24634"
}

    4. Wenn die Aktion erfolgreich ist, hat der Antwortparameter connectorOutputPayload des ReadJobResults-Vorgangs einen Wert, der dem folgenden ähnelt:

    [{
"_bkt": "googlecloud-demo~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
"_cd": "0:4",
"_indextime": "1727155516",
"_raw": "Hi team\nwe have a demo please plan accordingly\nwith Google team",
"_serial": "0",
"_si": "googlecloud-bcone-splunk-vm\googlecloud-demo",
"_sourcetype": "Demo_Text",
"_time": "2024-09-24T05:25:16.000+00:00",
"host": "googlecloud-bcone-splunk-vm",
"index": "googlecloud-demo",
"linecount": "3",
"source": "Splunk_Demo.txt",
"sourcetype": "Demo_Text",
"splunk_server": "googlecloud-bcone-splunk-vm",
"jobid": "1732776556.24634",
"sid": "1732776556.24634"
},{
"_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
"_cd": "0:4",
"_indextime": "1720702012",
"_raw": "hi How r yo\nplease\nfind \nmy notes",
"_serial": "1",
"_si": "googlecloud-bcone-splunk-vm\nhttp_testing",
"_sourcetype": "googlecloud-testing",
"_time": "2024-07-11T12:46:52.000+00:00",
"host": "googlecloud-bcone-splunk-vm",
"index": "http_testing",
"linecount": "4",
"source": "Testing.txt",
"sourcetype": "googlecloud-testing",
"splunk_server": "googlecloud-bcone-splunk-vm",
"jobid": "1732776556.24634",
"sid": "1732776556.24634"
}]

    Verbindungen mit Terraform erstellen

    Sie können die Terraform-Ressource verwenden, um eine neue Verbindung zu erstellen.

    Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

    Ein Beispiel für eine Terraform-Vorlage zum Erstellen einer Verbindung finden Sie hier.

    Wenn Sie diese Verbindung mit Terraform erstellen, müssen Sie die folgenden Variablen in Ihrer Terraform-Konfigurationsdatei festlegen:

    Parametername Datentyp Erforderlich Beschreibung
    Ausführlichkeit STRING Falsch Ausführlichkeitsgrad für die Verbindung, variiert von 1 bis 5. Bei einem höheren Ausführlichkeitsgrad werden alle Kommunikationsdetails (Anfrage,Antwort und SSL-Zertifikate) protokolliert.
    proxy_enabled BOOLEAN Falsch Aktivieren Sie dieses Kästchen, um einen Proxyserver für die Verbindung zu konfigurieren.
    proxy_auth_scheme ENUM Falsch Der Authentifizierungstyp, der für die Authentifizierung beim ProxyServer-Proxy verwendet werden soll. Unterstützte Werte: BASIC, DIGEST, NONE
    proxy_user STRING Falsch Ein Nutzername, der für die Authentifizierung beim ProxyServer-Proxy verwendet werden soll.
    proxy_password SECRET Falsch Ein Passwort, das zur Authentifizierung beim ProxyServer-Proxy verwendet werden soll.
    proxy_ssltype ENUM Falsch Der SSL-Typ, der beim Herstellen einer Verbindung zum ProxyServer-Proxy verwendet werden soll. Unterstützte Werte: AUTO, ALWAYS, NEVER, TUNNEL

    Splunk-Verbindung in einer Integration verwenden

    Nachdem Sie die Verbindung erstellt haben, ist sie sowohl in Apigee Integration als auch in Application Integration verfügbar. Sie können die Verbindung in einer Integration über die Aufgabe „Connectors“ verwenden.

    • Informationen zum Erstellen und Verwenden der Connectors-Aufgabe in Apigee Integration finden Sie unter Connectors-Aufgabe.
    • Informationen zum Erstellen und Verwenden der Connectors-Aufgabe in Application Integration finden Sie unter Connectors-Aufgabe.

    Hilfe von der Google Cloud-Community erhalten

    Sie können Ihre Fragen und Anregungen zu diesem Connector in der Google Cloud-Community unter Cloud-Foren posten.

    Nächste Schritte