Guide d'intégration de Splunk

Avantages de Splunk + PagerDuty

• Envoyez des données d'événements richement formatées de Splunk à PagerDuty, ce qui vous permet d'impliquer les bonnes personnes, d'accélérer la résolution et d'améliorer l'apprentissage.
• Envoyez des charges utiles personnalisées dans PagerDuty, permettant des alertes et des analyses plus robustes.
• Créez des incidents d’urgence élevée et faible en fonction de la gravité de l’événement à partir de la charge utile de l’événement Splunk.

Comment ça fonctionne

• Cette intégration utilise les webhooks natifs de Splunk pour envoyer des événements à PagerDuty.
• Les événements de Splunk déclencheront un nouvel incident sur le PagerDuty correspondant service , ou grouper comme alertes dans un incident existant.

Exigences

• Dans Splunk : Cette intégration prend en charge Splunk Enterprise et Cloud. À partir de la version 4, des autorisations supplémentaires sont requises par Splunk. Tout utilisateur Splunk qui a besoin de pouvoir enregistrer les recherches Splunk en tant qu'alertes qui envoient des événements à PagerDuty doit ajouter le rôle list_storage_passwords ( documentation officielle ).
• Dans PagerDuty :Cette intégration nécessite un rôle de base de gestionnaire ou supérieur pour être configurée. Si vous n'êtes pas sûr du rôle que vous avez ou si vous avez besoin que vos autorisations soient ajustées, visitez nos sections sur Vérification de votre rôle d'utilisateur ou Modification des rôles d'utilisateur .

Procédure d'intégration

Dans PagerDuty

Il existe deux manières d'intégrer PagerDuty: via routage global des événements ou directement via un intégration sur un service PagerDuty . L'intégration avec le routage global des événements peut être bénéfique si vous souhaitez créer différentes règles de routage basées sur les événements provenant de l'outil intégré. L'intégration directe avec un service PagerDuty peut être bénéfique si vous n'avez pas besoin d'acheminer les alertes de l'outil intégré vers différents intervenants en fonction de la charge utile de l'événement.

Intégration avec le routage global des événements

1. De la Automatisation menu, sélectionner Règlement de l'événement et cliquez sur votre Ensemble de règles globales par défaut .

2. Sur l'écran Règles de l'événement, copiez votre Clé d'intégration .

3. Une fois que vous avez votre clé d'intégration, le URL d'intégration sera:

https://events.pagerduty.com/x-ere/[YOUR_INTEGRATION_KEY_HERE ]

Vous pouvez maintenant passer à la Dans Splunk section ci-dessous.

Intégration avec un service PagerDuty

1. De la Prestations de service menu, sélectionner Annuaire des services .

2. Si vous ajoutez votre intégration à un service existant , cliquez sur le nom du service auquel vous souhaitez ajouter l'intégration. Sélectionnez ensuite l' Onglet Intégrations et cliquez sur le Ajouter une nouvelle intégration .

Si vous créez un nouveau service pour votre intégration, veuillez lire notre documentation dans la section Configuration des services et des intégrations et suivez les étapes décrites dans le Créer un nouveau service section.

3. Sélectionnez Splunk dans le Type d'intégration menu.

4. Cliquez sur Ajouter un service ou Ajouter une intégration pour enregistrer votre nouvelle intégration. Vous serez redirigé vers l'onglet Intégrations de votre service.

5. Recherchez votre intégration dans la liste et cliquez sur ∨ à droite. Copiez le URL d'intégration et conservez-le dans un endroit sûr pour une utilisation ultérieure.

Dans Splunk

1. Cliquez sur le + dans le menu de gauche pour télécharger l’application PagerDuty Incidents depuis Splunkbase.

2. Recherchez le Application PagerDuty pour Splunk et puis cliquez sur Installer .

3. Une fois l'application PagerDuty installée, accédez au Paramètres menu et choisir Actions d'alerte .

4. Assurez-vous que le statut de l'application PagerDuty est Activé et puis cliquez sur Configurer PagerDuty sur la droite .

5. Collez le URL d'intégration (généré dans le Dans PagerDuty ci-dessus) pour votre service PagerDuty dans le champ fourni.

6. Exécutez la recherche dans Splunk pour laquelle vous souhaitez créer une alerte. Nous vous recommandons de tester en recherchant les tentatives de connexion infructueuses dans les journaux internes de Splunk : index=_composant interne=UiAuth action=état de connexion=échec

7. Cliquez sur le Enregistrer sous menu déroulant sur la droite et sélectionnez Alerte .

8. Ajoutez un Titre pour la nouvelle alerte, préciser les conditions sous lequel vous souhaitez déclencher une alerte et ajoutez un nouveau Action de déclenchement . Sélectionner PagerDuty comme type d'action de déclenchement et cliquez Sauvegarder . Par défaut, cela notifiera l'URL d'intégration que vous avez établie lors de la configuration de l'application PagerDuty (étape 5 ci-dessus). Le Titre sera utilisé pour le titre de l'incident dans PagerDuty .

9. Pour activer la recherche sur les alertes Splunk, entrez les informations suivantes dans le champ Détails personnalisés champ:

10. Vous pouvez éventuellement ajouter des détails personnalisés en fonction de votre cas d'utilisation. L'ajout de détails personnalisés donne aux utilisateurs d'astreinte plus d'informations pour résoudre une alerte. Sur l'écran d'incident PagerDuty , accédez au Détails section et entrez vos détails personnalisés dans le Détails personnalisés champ pour les informations envoyées. Note :Ceci doit être dans un format JSON valide.

Tester votre intégration

Nous vous recommandons de tester votre intégration avec une recherche simple et facile à manipuler, comme celle référencée ci-dessus :

index=_composant interne=UiAuth action=état de connexion=échec

Cela produira des résultats à chaque fois qu'une tentative de connexion échoue et c'est une situation facile à reproduire. Configurez votre recherche pour qu'elle s'exécute selon un calendrier ou en temps réel et définissez un seuil bas (le nombre de résultats est supérieur à 0, par exemple). Ouvrez Splunk dans un autre navigateur ou dans une fenêtre de navigation privée et faites quelques tentatives de connexion infructueuses. Peu de temps après, vous devriez voir un nouvel incident PagerDuty .

En cliquant sur les détails de l'incident, vous obtiendrez une ventilation de l'alerte et un lien pour afficher la recherche dans Splunk.

Créer un déclencheur personnalisé – Splunk Enterprise uniquement

 

Nous allons créer un détail personnalisé pour accompagner la même recherche simple référencée ci-dessus :

index=_composant interne=UiAuth action=état de connexion=échec

En tant qu'étape supplémentaire à l'étape 9, nous devrons remplir le Détails personnalisés dans l'action de déclenchement PagerDuty . Comme indiqué précédemment, il doit s'agir d'un JSON valide, par exemple :

Jeton d'alerte client et être utilisé, vous pouvez en apprendre plus ici . Des alertes JSON valides apparaîtront dans le PagerDuty Détails section sous forme de tableau :

Un JSON invalide apparaîtra dans PagerDuty Détails section en tant que chaîne

FAQ

Existe-t-il d'autres moyens pour Splunk d'envoyer des alertes à plusieurs services PagerDuty ?

Oui. En plus d'utiliser le champ URL d'intégration sous Actions de déclenchement, il est possible d'effectuer l'intégration à l'aide de règles d'événement globales lors de l'étape 5 et d'acheminer vers différents services en fonction des règles d'événement.

Les incidents PagerDuty seront-ils résolus une fois que la recherche Splunk ne produira plus de résultats ?

Non. À ce stade, l’incident PagerDuty doit être résolu à partir de PagerDuty.

Comment PagerDuty regroupe-t-il les alertes entrantes de Splunk ?

Si vous sélectionnez Service d'édition à partir de la vue principale du service, vous pourrez choisir de regrouper les incidents par nom de recherche, composant, hôte, source ou de joindre toutes les alertes entrantes à un incident ouvert.

L'intégration fonctionne-t-elle avec Search Head Clustering ?

Oui, c'est le cas. La version 2.0.3 ou supérieure est requise.