Splunk-Integrationshandbuch

Vorteile von Splunk + PagerDuty

• Senden Sie reich formatierte Ereignisdaten von Splunk an PagerDuty, damit Sie die richtigen Personen einbeziehen, die Lösung beschleunigen und das Lernen verbessern können.
• Senden Sie benutzerdefinierte Nutzdaten an PagerDuty, um robustere Warnungen und Analysen zu ermöglichen.
• Erstellen Sie Vorfälle mit hoher und niedriger Dringlichkeit basierend auf der Schwere des Ereignisses aus der Splunk-Ereignisnutzlast.

Wie es funktioniert

• Diese Integration verwendet die nativen Webhooks von Splunk, um Ereignisse an PagerDuty zu senden.
• Ereignisse von Splunk lösen einen neuen Vorfall auf dem entsprechenden PagerDuty aus. Service , oder Gruppe als Warnungen in einen bestehenden Vorfall.

Anforderungen

• In Splunk : Diese Integration unterstützt Splunk Enterprise und Cloud. Ab Version 4 benötigt Splunk zusätzliche Berechtigungen. Jedem Splunk-Benutzer, der Splunk-Suchen als Warnungen speichern muss, die Ereignisse an PagerDuty senden, muss die Rolle „list_storage_passwords“ hinzugefügt werden ( amtliche Dokumentation ).
• In PagerDuty : Zur Konfiguration dieser Integration ist die Basisrolle „Manager“ oder höher erforderlich. Wenn Sie nicht sicher sind, welche Rolle Sie haben, oder wenn Sie Ihre Berechtigungen anpassen müssen, besuchen Sie unsere Abschnitte auf Überprüfen Ihrer Benutzerrolle oder Ändern der Benutzerrollen .

Integrations-Komplettlösung

In PagerDuty

Es gibt zwei Möglichkeiten zur Integration mit PagerDuty: über Globales Event-Routing oder direkt über eine Integration in einen PagerDuty Dienst . Die Integration mit globalem Ereignisrouting kann von Vorteil sein, wenn Sie unterschiedliche Routingregeln basierend auf den Ereignissen erstellen möchten, die vom integrierten Tool kommen. Die direkte Integration mit einem PagerDuty Dienst kann von Vorteil sein, wenn Sie Warnungen vom integrierten Tool nicht basierend auf der Ereignisnutzlast an unterschiedliche Responder weiterleiten müssen.

Integration mit Global Event Routing

1. Aus dem Automatisierung wählen Sie Veranstaltungsregeln und klicken Sie auf Standardmäßiger globaler Regelsatz .

2. Kopieren Sie auf dem Bildschirm „Eventregeln“ Ihre Integrationsschlüssel .

3. Sobald Sie Ihren Integrationsschlüssel haben, Integrations-URL wird sein:

https://events.pagerduty.com/x-ere/[YOUR_INTEGRATION_KEY_HERE ]

Sie können nun fortfahren mit In Splunk Abschnitt weiter unten.

Integration mit einem PagerDuty Dienst

1. Aus dem Dienstleistungen wählen Sie Serviceverzeichnis .

2. Wenn Sie Ihre Integration zu einem bestehenden Dienst hinzufügen , klicken Sie auf den Namen des Dienstes, zu dem Sie die Integration hinzufügen möchten. Wählen Sie dann die Registerkarte „Integrationen“ und klicken Sie auf das Eine neue Integration hinzufügen .

Wenn Sie einen neuen Dienst für Ihre Integration erstellen, lesen Sie bitte unsere Dokumentation im Abschnitt Konfigurieren von Diensten und Integrationen und befolgen Sie die Schritte im Neuen Dienst erstellen Abschnitt.

3. Wählen Sie Splunk aus dem Integrationstyp Speisekarte.

4. Klicken Service hinzufügen oder Integration hinzufügen , um Ihre neue Integration zu speichern. Sie werden zur Registerkarte „Integrationen“ für Ihren Dienst weitergeleitet.

5. Suchen Sie Ihre Integration in der Liste und klicken Sie rechts auf ∨. Kopieren Sie die Integrations-URL und bewahren Sie es zur späteren Verwendung an einem sicheren Ort auf.

In Splunk

1. Klicken Sie auf das + im Menü auf der linken Seite, um die PagerDuty Incidents-App von der Splunkbase herunterzuladen.

2. Suche nach dem PagerDuty App für Splunk und dann auf Installieren .

3. Sobald die PagerDuty -App installiert wurde, navigieren Sie zu Einstellungen und wählen Sie Warnmaßnahmen .

4. Stellen Sie sicher, dass der Status der PagerDuty -App lautet Ermöglicht und dann auf PagerDuty einrichten auf der rechten Seite .

5. Fügen Sie die Integrations-URL (erzeugt im In PagerDuty Geben Sie den Datensatz (Abschnitt oben) für Ihren PagerDuty Dienst in das bereitgestellte Feld ein.

6. Führen Sie die Suche in Splunk aus, für die Sie eine Warnung erstellen möchten. Wir empfehlen, zum Testen die internen Protokolle von Splunk nach fehlgeschlagenen Anmeldeversuchen zu durchsuchen: Index=_interne Komponente=UiAuth-Aktion=Anmeldestatus=Fehler

7. Klicken Sie auf das Speichern als Dropdown-Menü rechts und wählen Sie Alarm .

8. Fügen Sie ein Titel für den neuen Alarm, Geben Sie die Bedingungen an unter der Sie einen Alarm auslösen möchten, und fügen Sie eine neue Trigger-Aktion . Wählen PagerDuty als Trigger-Aktionstyp und klicken Sie auf Speichern . Standardmäßig wird dadurch die Integrations-URL benachrichtigt, die Sie beim Einrichten der PagerDuty App festgelegt haben (Schritt 5 oben). Der Titel wird für den Vorfall verwendet Titel in PagerDuty .

9. Um die Suche nach Splunk-Alarmen zu aktivieren, geben Sie Folgendes in das Benutzerdefinierte Details Feld:

10. Sie können optional weitere benutzerdefinierte Details basierend auf Ihrem Anwendungsfall hinzufügen. Durch das Hinzufügen benutzerdefinierter Details erhalten Bereitschaftsbenutzer mehr Informationen zur Fehlerbehebung bei einem Alarm. Navigieren Sie auf dem PagerDuty Vorfallbildschirm zum Einzelheiten und geben Sie Ihre benutzerdefinierten Details in das Benutzerdefinierte Details Feld für gesendete Informationen. Notiz : Dies muss in einem gültigen JSON-Format sein.

Testen Ihrer Integration

Wir empfehlen, Ihre Integration mit einer einfachen Suche zu testen, die leicht zu manipulieren ist, wie die oben genannte:

Index=_interne Komponente=UiAuth-Aktion=Anmeldestatus=Fehler

Dies führt bei jedem fehlgeschlagenen Anmeldeversuch zu Ergebnissen und ist eine leicht reproduzierbare Situation. Stellen Sie Ihre Suche so ein, dass sie entweder nach einem Zeitplan oder in Echtzeit ausgeführt wird, und legen Sie einen niedrigen Schwellenwert fest (Anzahl der Ergebnisse ist beispielsweise größer als 0). Öffnen Sie Splunk in einem anderen Browser oder in einem Inkognito-Fenster und führen Sie einige fehlgeschlagene Anmeldeversuche durch. Kurz darauf sollten Sie einen neuen PagerDuty Vorfall sehen.

Wenn Sie auf die Vorfalldetails klicken, wird eine Aufschlüsselung der Warnung angezeigt und Sie erhalten einen Link zum Anzeigen der Suche in Splunk.

Erstellen eines benutzerdefinierten Triggers – Nur Splunk Enterprise

 

Wir werden ein benutzerdefiniertes Detail erstellen, das die oben genannte einfache Suche ergänzt:

Index=_interne Komponente=UiAuth-Aktion=Anmeldestatus=Fehler

Als zusätzlichen Schritt zu Schritt 9 müssen wir das Benutzerdefinierte Details Abschnitt in der PagerDuty Trigger-Aktion. Wie bereits erwähnt, sollte dies gültiges JSON sein. Ein Beispiel hierfür ist:

Kundenbenachrichtigungstoken und verwendet werden, können Sie mehr erfahren Hier . Gültige JSON-Warnmeldungen erscheinen im PagerDuty Einzelheiten Abschnitt als Tabelle:

Ungültiges JSON wird in PagerDuty angezeigt Einzelheiten Abschnitt als Zeichenfolge

FAQ

Gibt es andere Möglichkeiten, wie Splunk Warnungen an mehr als einen PagerDuty Dienst senden kann?

Ja. Neben der Verwendung des Integrations-URL-Felds unter Trigger-Aktionen kann man während Schritt 5 auch globale Ereignisregeln verwenden und basierend auf Ereignisregeln an verschiedene Dienste weiterleiten.

Werden PagerDuty Vorfälle behoben, wenn die Splunk-Suche keine Ergebnisse mehr liefert?

Nein. Zu diesem Zeitpunkt muss der PagerDuty Vorfall von PagerDuty aus behoben werden.

Wie gruppiert PagerDuty eingehende Warnungen von Splunk?

Wenn Sie Service bearbeiten In der Hauptdienstansicht können Sie Vorfälle nach Suchname, Komponente, Host oder Quelle gruppieren oder alle eingehenden Warnungen einem offenen Vorfall anhängen.

Funktioniert die Integration mit Search Head Clustering?

Ja, das ist möglich. Es ist Version 2.0.3 oder höher erforderlich.