Gegevens van Splunk opnemen in Azure Data Explorer

Belangrijk

Deze connector kan worden gebruikt in realtime analyses in Microsoft Fabric. Gebruik de instructies in dit artikel met de volgende uitzonderingen:

• Maak indien nodig databases aan de hand van de instructies in Een KQL-database maken.
• Maak indien nodig tabellen aan de hand van de instructies in Een lege tabel maken.
• Haal query- of opname-URI's op met behulp van de instructies in URI kopiëren.
• Query's uitvoeren in een KQL-queryset.

Splunk Enterprise is een softwareplatform waarmee u gegevens uit vele bronnen tegelijk kunt opnemen. De Splunk-indexeerfunctie verwerkt de gegevens en slaat deze standaard op in de hoofdindex of een opgegeven aangepaste index. Bij het zoeken in Splunk worden de geïndexeerde gegevens gebruikt voor het maken van metrische gegevens, dashboards en waarschuwingen. Azure Data Explorer is een snelle en zeer schaalbare service voor gegevensverkenning voor telemetrische gegevens en gegevens uit logboeken.

In dit artikel leert u hoe u de invoegtoepassing Azure Data Explorer Splunk gegevens van Splunk verzendt naar een tabel in uw cluster. U maakt in eerste instantie een tabel- en gegevenstoewijzing, stuurt vervolgens Splunk de opdracht om gegevens naar de tabel te verzenden en vervolgens de resultaten te valideren.

De volgende scenario's zijn het meest geschikt voor het opnemen van gegevens in Azure Data Explorer:

• Gegevens met een hoog volume: Azure Data Explorer is gebouwd om grote hoeveelheden gegevens efficiënt te verwerken. Als uw organisatie een aanzienlijke hoeveelheid gegevens genereert die realtime analyse nodig heeft, is Azure Data Explorer een geschikte keuze.
• Tijdreeksgegevens: Azure Data Explorer is uitstekend in het verwerken van tijdreeksgegevens, zoals logboeken, telemetriegegevens en sensormetingen. Het organiseert gegevens in op tijd gebaseerde partities, waardoor het eenvoudig is om op tijd gebaseerde analyses en aggregaties uit te voeren.
• Realtime-analyses: als uw organisatie realtime inzichten nodig heeft van de gegevens die binnenkomen, kunnen de bijna realtime-mogelijkheden van Azure Data Explorer nuttig zijn.

Vereisten

• Een Microsoft-account of een Microsoft Entra gebruikersidentiteit. Er is geen Azure-abonnement vereist.
• Een Azure Data Explorer-cluster en -database. Maak een cluster en database.
• Splunk Enterprise 9 of hoger.
• Een Microsoft Entra service-principal. Maak een Microsoft Entra service-principal.

Een tabel en een toewijzingsobject maken

Nadat u een cluster en een database hebt, maakt u een tabel met een schema dat overeenkomt met uw Splunk-gegevens. U maakt ook een toewijzingsobject dat wordt gebruikt om de binnenkomende gegevens te transformeren naar het doeltabelschema.

In het volgende voorbeeld maakt u een tabel met de naam WeatherAlert met vier kolommen: Timestamp, Temperature, Humidityen Weather. U maakt ook een nieuwe toewijzing met de naam WeatherAlert_Json_Mapping waarmee eigenschappen worden geëxtraheerd uit de binnenkomende json zoals genoteerd door de path en deze worden uitgevoerd naar de opgegeven column.

Voer in de queryeditor van de webgebruikersinterface de volgende opdrachten uit om de tabel en toewijzing te maken:

1. Een tabel maken:

   .create table WeatherAlert (Timestamp: datetime, Temperature: string, Humidity: string, Weather: string)
   

2. Controleer of de tabel WeatherAlert is gemaakt en leeg is:

   WeatherAlert
   | count
   

3. Een toewijzingsobject maken:

   .create table WeatherAlert ingestion json mapping "WeatherAlert_Json_Mapping"
       ```[{ "column" : "Timestamp", "datatype" : "datetime", "Properties":{"Path":"$.timestamp"}},
           { "column" : "Temperature", "datatype" : "string", "Properties":{"Path":"$.temperature"}},
           { "column" : "Humidity", "datatype" : "string", "Properties":{"Path":"$.humidity"}},
           { "column" : "Weather", "datatype" : "string", "Properties":{"Path":"$.weather_condition"}}
         ]```
   

4. Gebruik de service-principal uit vereisten om toestemming te verlenen om met de database te werken.

   .add database YOUR_DATABASE_NAME admins  ('aadapp=YOUR_APP_ID;YOUR_TENANT_ID') 'Entra App'
   

De invoegtoepassing Splunk Azure Data Explorer installeren

De Splunk-invoegtoepassing communiceert met Azure Data Explorer en verzendt de gegevens naar de opgegeven tabel.

1. Download de invoegtoepassing Azure Data Explorer.

2. Meld u als beheerder aan bij uw Splunk-exemplaar.

3. Ga naar Apps>Apps beheren.

4. Selecteer App installeren uit bestand en vervolgens Azure Data Explorer invoegtoepassingsbestand dat u hebt gedownload.

5. Volg de aanwijzingen om de installatie te voltooien.

6. Selecteer Nu opnieuw opstarten.

7. Controleer of de invoegtoepassing is geïnstalleerd door naarDashboardwaarschuwingsacties> te gaan en te zoeken naar de Azure Data Explorer-invoegtoepassing.

   

Een nieuwe index maken in Splunk

Maak een index in Splunk die de criteria opgeeft voor de gegevens die u naar Azure Data Explorer wilt verzenden.

1. Meld u als beheerder aan bij uw Splunk-exemplaar.
2. Ga naar Instellingen>Indexen.
3. Geef een naam op voor de index en configureer de criteria voor de gegevens die u naar Azure Data Explorer wilt verzenden.
4. Configureer de resterende eigenschappen zo nodig en sla de index vervolgens op.

De Splunk-invoegtoepassing configureren om gegevens te verzenden naar Azure Data Explorer

1. Meld u als beheerder aan bij uw Splunk-exemplaar.

2. Ga naar het dashboard en zoek met behulp van de index die u eerder hebt gemaakt. Als u bijvoorbeeld een index met de naam WeatherAlertshebt gemaakt, zoekt index="WeatherAlerts"u naar .

3. Selecteer Opslaan als>waarschuwing.

4. Geef de naam, het interval en de voorwaarden op zoals vereist voor de waarschuwing.

   

5. Selecteer onder Acties activerende optie Acties>toevoegen verzenden naar Microsoft Azure Data Explorer.

   

6. Configureer de details van de verbindingen als volgt:

   Instelling	Beschrijving
   URL voor clusteropname	Geef de opname-URL van uw Azure Data Explorer-cluster op. Bijvoorbeeld https://ingest-<mycluster>.<myregion>.kusto.windows.net.
   Client ID	Geef de client-id op van de Microsoft Entra toepassing die u eerder hebt gemaakt.
   Clientgeheim	Geef het clientgeheim op van de Microsoft Entra toepassing die u eerder hebt gemaakt.
   Tenant ID	Geef de tenant-id op van de Microsoft Entra toepassing die u eerder hebt gemaakt.
   Database	Geef de naam op van de database waarnaar u de gegevens wilt verzenden.
   Tabel	Geef de naam op van de tabel waarnaar u de gegevens wilt verzenden.
   Toewijzing	Geef de naam op van het toewijzingsobject dat u eerder hebt gemaakt.
   Extra velden verwijderen	Selecteer deze optie als u lege velden wilt verwijderen uit de gegevens die naar uw cluster worden verzonden.
   Duurzame modus	Selecteer deze optie om de duurzaamheidsmodus in te schakelen tijdens opname. Als deze optie is ingesteld op true, wordt de opnamedoorvoer beïnvloed.

   

7. Selecteer Opslaan om de waarschuwing op te slaan.

8. Ga naar de pagina Waarschuwingen en controleer of uw waarschuwing wordt weergegeven in de lijst met waarschuwingen.

   

Controleer of gegevens worden opgenomen in Azure Data Explorer

Zodra de waarschuwing is geactiveerd, worden gegevens verzonden naar uw Azure Data Explorer-tabel. U kunt controleren of de gegevens worden opgenomen door een query uit te voeren in de queryeditor van de webgebruikersinterface.

1. Voer de volgende query uit om te controleren of gegevens worden opgenomen in de tabel:

   WeatherAlert
   | count
   

2. Voer de volgende query uit om de gegevens weer te geven:

   WeatherAlert
   | take 100
   

   

Gerelateerde inhoud

• Query's schrijven