Share via

Gegevens van Splunk opnemen in Azure Data Explorer

  • Artikel

Belangrijk

Deze connector kan worden gebruikt in realtime analyses in Microsoft Fabric. Gebruik de instructies in dit artikel met de volgende uitzonderingen:

Splunk Enterprise is een softwareplatform waarmee u gegevens uit vele bronnen tegelijk kunt opnemen. De Splunk-indexeerfunctie verwerkt de gegevens en slaat deze standaard op in de hoofdindex of een opgegeven aangepaste index. Bij het zoeken in Splunk worden de geïndexeerde gegevens gebruikt voor het maken van metrische gegevens, dashboards en waarschuwingen. Azure Data Explorer is een snelle en zeer schaalbare service voor gegevensverkenning voor telemetrische gegevens en gegevens uit logboeken.

In dit artikel leert u hoe u de invoegtoepassing Azure Data Explorer Splunk gegevens van Splunk verzendt naar een tabel in uw cluster. U maakt in eerste instantie een tabel- en gegevenstoewijzing, stuurt vervolgens Splunk de opdracht om gegevens naar de tabel te verzenden en vervolgens de resultaten te valideren.

De volgende scenario's zijn het meest geschikt voor het opnemen van gegevens in Azure Data Explorer:

  • Gegevens met een hoog volume: Azure Data Explorer is gebouwd om grote hoeveelheden gegevens efficiënt te verwerken. Als uw organisatie een aanzienlijke hoeveelheid gegevens genereert die realtime analyse nodig heeft, is Azure Data Explorer een geschikte keuze.
  • Tijdreeksgegevens: Azure Data Explorer is uitstekend in het verwerken van tijdreeksgegevens, zoals logboeken, telemetriegegevens en sensormetingen. Het organiseert gegevens in op tijd gebaseerde partities, waardoor het eenvoudig is om op tijd gebaseerde analyses en aggregaties uit te voeren.
  • Realtime-analyses: als uw organisatie realtime inzichten nodig heeft van de gegevens die binnenkomen, kunnen de bijna realtime-mogelijkheden van Azure Data Explorer nuttig zijn.

Vereisten

Een tabel en een toewijzingsobject maken

Nadat u een cluster en een database hebt, maakt u een tabel met een schema dat overeenkomt met uw Splunk-gegevens. U maakt ook een toewijzingsobject dat wordt gebruikt om de binnenkomende gegevens te transformeren naar het doeltabelschema.

In het volgende voorbeeld maakt u een tabel met de naam WeatherAlert met vier kolommen: Timestamp, Temperature, Humidityen Weather. U maakt ook een nieuwe toewijzing met de naam WeatherAlert_Json_Mapping waarmee eigenschappen worden geëxtraheerd uit de binnenkomende json zoals genoteerd door de path en deze worden uitgevoerd naar de opgegeven column.

Voer in de queryeditor van de webgebruikersinterface de volgende opdrachten uit om de tabel en toewijzing te maken:

  1. Een tabel maken:

    .create table WeatherAlert (Timestamp: datetime, Temperature: string, Humidity: string, Weather: string)

  2. Controleer of de tabel WeatherAlert is gemaakt en leeg is:

    WeatherAlert
| count

  3. Een toewijzingsobject maken:

    .create table WeatherAlert ingestion json mapping "WeatherAlert_Json_Mapping"
    ```[{ "column" : "Timestamp", "datatype" : "datetime", "Properties":{"Path":"$.timestamp"}},
        { "column" : "Temperature", "datatype" : "string", "Properties":{"Path":"$.temperature"}},
        { "column" : "Humidity", "datatype" : "string", "Properties":{"Path":"$.humidity"}},
        { "column" : "Weather", "datatype" : "string", "Properties":{"Path":"$.weather_condition"}}
      ]```

  4. Gebruik de service-principal uit vereisten om toestemming te verlenen om met de database te werken.

    .add database YOUR_DATABASE_NAME admins  ('aadapp=YOUR_APP_ID;YOUR_TENANT_ID') 'Entra App'

De invoegtoepassing Splunk Azure Data Explorer installeren

De Splunk-invoegtoepassing communiceert met Azure Data Explorer en verzendt de gegevens naar de opgegeven tabel.

  1. Download de invoegtoepassing Azure Data Explorer.

  2. Meld u als beheerder aan bij uw Splunk-exemplaar.

  3. Ga naar Apps>Apps beheren.

  4. Selecteer App installeren uit bestand en vervolgens Azure Data Explorer invoegtoepassingsbestand dat u hebt gedownload.

  5. Volg de aanwijzingen om de installatie te voltooien.

  6. Selecteer Nu opnieuw opstarten.

  7. Controleer of de invoegtoepassing is geïnstalleerd door naarDashboardwaarschuwingsacties> te gaan en te zoeken naar de Azure Data Explorer-invoegtoepassing.

    Schermopname van de pagina Waarschuwingsacties met de invoegtoepassing Azure Data Explorer.

Een nieuwe index maken in Splunk

Maak een index in Splunk die de criteria opgeeft voor de gegevens die u naar Azure Data Explorer wilt verzenden.

  1. Meld u als beheerder aan bij uw Splunk-exemplaar.
  2. Ga naar Instellingen>Indexen.
  3. Geef een naam op voor de index en configureer de criteria voor de gegevens die u naar Azure Data Explorer wilt verzenden.
  4. Configureer de resterende eigenschappen zo nodig en sla de index vervolgens op.

De Splunk-invoegtoepassing configureren om gegevens te verzenden naar Azure Data Explorer

  1. Meld u als beheerder aan bij uw Splunk-exemplaar.

  2. Ga naar het dashboard en zoek met behulp van de index die u eerder hebt gemaakt. Als u bijvoorbeeld een index met de naam WeatherAlertshebt gemaakt, zoekt index="WeatherAlerts"u naar .

  3. Selecteer Opslaan als>waarschuwing.

  4. Geef de naam, het interval en de voorwaarden op zoals vereist voor de waarschuwing.

    Schermopname van het dialoogvenster Waarschuwing maken met de invoegtoepassingsinstellingen voor Azure Data Explorer.

  5. Selecteer onder Acties activerende optie Acties>toevoegen verzenden naar Microsoft Azure Data Explorer.

    Schermopname van het dialoogvenster Waarschuwing maken met de actie Azure Data Explorer invoegtoepassingstrigger.

  6. Configureer de details van de verbindingen als volgt:

    Instelling Beschrijving
    URL voor clusteropname Geef de opname-URL van uw Azure Data Explorer-cluster op. Bijvoorbeeld https://ingest-<mycluster>.<myregion>.kusto.windows.net.
    Client ID Geef de client-id op van de Microsoft Entra toepassing die u eerder hebt gemaakt.
    Clientgeheim Geef het clientgeheim op van de Microsoft Entra toepassing die u eerder hebt gemaakt.
    Tenant ID Geef de tenant-id op van de Microsoft Entra toepassing die u eerder hebt gemaakt.
    Database Geef de naam op van de database waarnaar u de gegevens wilt verzenden.
    Tabel Geef de naam op van de tabel waarnaar u de gegevens wilt verzenden.
    Toewijzing Geef de naam op van het toewijzingsobject dat u eerder hebt gemaakt.
    Extra velden verwijderen Selecteer deze optie als u lege velden wilt verwijderen uit de gegevens die naar uw cluster worden verzonden.
    Duurzame modus Selecteer deze optie om de duurzaamheidsmodus in te schakelen tijdens opname. Als deze optie is ingesteld op true, wordt de opnamedoorvoer beïnvloed.

    Schermopname van het dialoogvenster Waarschuwing maken met de verbindingsinstellingen van de Azure Data Explorer-invoegtoepassing.

  7. Selecteer Opslaan om de waarschuwing op te slaan.

  8. Ga naar de pagina Waarschuwingen en controleer of uw waarschuwing wordt weergegeven in de lijst met waarschuwingen.

    Schermopname van de pagina Waarschuwingen maken met de invoegtoepassing Azure Data Explorer.

Controleer of gegevens worden opgenomen in Azure Data Explorer

Zodra de waarschuwing is geactiveerd, worden gegevens verzonden naar uw Azure Data Explorer-tabel. U kunt controleren of de gegevens worden opgenomen door een query uit te voeren in de queryeditor van de webgebruikersinterface.

  1. Voer de volgende query uit om te controleren of gegevens worden opgenomen in de tabel:

    WeatherAlert
| count

  2. Voer de volgende query uit om de gegevens weer te geven:

    WeatherAlert
| take 100

    Schermopname van de KQL-queryeditor met de resultaten van een query om 100 records uit de tabel op te halen.

Gerelateerde inhoud