Dela via

Mata in data från Splunk Universal Forwarder till Azure Data Explorer

  • Artikel

Viktigt

Den här anslutningsappen kan användas i realtidsanalys i Microsoft Fabric. Följ anvisningarna i den här artikeln med följande undantag:

Splunk Universal Forwarder är en förenklad version av Splunk Enterprise-programvaran som gör att du kan mata in data från många källor samtidigt. Den är utformad för att samla in och vidarebefordra loggdata och datordata från olika källor till en central Splunk Enterprise-server eller en Splunk Cloud-distribution. Splunk Universal Forwarder fungerar som en agent som förenklar processen för datainsamling och vidarebefordran, vilket gör den till en viktig komponent i en Splunk-distribution. Azure Data Explorer är en snabb och mycket skalbar datautforskningstjänst för logg- och telemetridata.

I den här artikeln får du lära dig hur du använder Kusto Splunk Universal Forwarder Connector för att skicka data till en tabell i klustret. Du skapar först en tabell och datamappning, sedan dirigerar du Splunk för att skicka data till tabellen och validerar sedan resultatet.

Förutsättningar

Skapa en Azure Data Explorer-tabell

Skapa en tabell för att ta emot data från Splunk Universal Forwarder och ge sedan tjänstens huvudnamn åtkomst till den här tabellen.

I följande steg skapar du en tabell med namnet SplunkUFLogs med en enda kolumn (RawText). Det beror på att Splunk Universal Forwarder som standard skickar data i ett rådataformat. Följande kommandon kan köras i frågeredigeraren för webbgränssnittet.

  1. Skapa en tabell:

    .create table SplunkUFLogs (RawText: string)

  2. Kontrollera att tabellen SplunkUFLogs har skapats och är tom:

    SplunkUFLogs
| count

  3. Använd tjänstens huvudnamn från Förutsättningar för att bevilja behörighet att arbeta med databasen som innehåller din tabell.

    .add database YOUR_DATABASE_NAME admins ('aadapp=YOUR_APP_ID;YOUR_TENANT_ID') 'Entra service principal: Splunk UF'

Konfigurera Splunk Universal Forwarder

När du laddar ned Splunk Universal Forwarder öppnas en guide för att konfigurera vidarebefordraren.

  1. I guiden ställer du in Den mottagande indexeraren så att den pekar på det system som är värd för Kusto Splunk Universal Forwarder-anslutningsprogrammet. Ange 127.0.0.1 för värdnamnet eller IP-adressen och 9997 för porten. Lämna målindexeraren tom.

    Mer information finns i Aktivera en mottagare för Splunk Enterprise.

  2. Gå till mappen där Splunk Universal Forwarder är installerad och sedan till mappen /etc/system/local . Skapa eller ändra filen inputs.conf så att vidarebefordraren kan läsa loggar:

    [default]
index = default
disabled = false

[monitor://C:\Program Files\Splunk\var\log\splunk\modinput_eventgen.log*]
sourcetype = modinput_eventgen

    Mer information finns i Övervaka filer och kataloger med inputs.conf.

  3. Gå till mappen där Splunk Universal Forwarder är installerad och sedan till mappen /etc/system/local . Skapa eller ändra filen outputs.conf för att fastställa målplatsen för loggarna, vilket är värdnamnet och porten för det system som är värd för Kusto Splunk Universal Forwarder-anslutningsprogrammet:

    [tcpout]
defaultGroup = default-autolb-group
sendCookedData = false

[tcpout:default-autolb-group]
server = 127.0.0.1:9997

[tcpout-server://127.0.0.1:9997]

    Mer information finns i Konfigurera vidarebefordran med outputs.conf.

  4. Starta om Splunk Universal Forwarder.

Konfigurera Kusto Splunk Universal-anslutningsappen

Så här konfigurerar du Kusto Splunk Universal-anslutningsappen för att skicka loggar till din Azure Data Explorer-tabell:

  1. Ladda ned eller klona anslutningsappen från GitHub-lagringsplatsen.

  2. Gå till baskatalogen för anslutningsappen:

    cd .\SplunkADXForwarder\

  3. Redigera config.yml så att den innehåller följande egenskaper:

    ingest_url: <ingest_url>
client_id: <ms_entra_app_client_id>
client_secret: <ms_entra_app_client_secret>
authority: <ms_entra_authority>
database_name: <database_name>
table_name: <table_name>
table_mapping_name: <table_mapping_name>
data_format: csv
    Fält Beskrivning
    ingest_url Inmatnings-URL:en för ditt Azure Data Explorer-kluster. Du hittar den i Azure Portal under URI för datainmatning på fliken Översikt i klustret. Versionsformatet ska vara https://ingest-<clusterName>.<region>.kusto.windows.net.
    client_id Klient-ID:t för din Microsoft Entra programregistrering som skapades i avsnittet Förutsättningar.
    client_secret Klienthemligheten för din Microsoft Entra programregistrering som skapades i avsnittet Förutsättningar.
    authority ID:t för den klientorganisation som innehåller din Microsoft Entra programregistrering som skapades i avsnittet Förutsättningar.
    database_name Namnet på din Azure Data Explorer-databas.
    table_name Namnet på din Azure Data Explorer-måltabell.
    table_mapping_name Namnet på datamappningen för inmatning för tabellen. Om du inte har någon mappning kan du utelämna den här egenskapen från konfigurationsfilen. Du kan alltid parsa data i olika kolumner senare.
    data_format Det förväntade dataformatet för inkommande data. Inkommande data är i rådataformat, så det rekommenderade formatet är csv, som mappar rådatatexten till nollindexet som standard.

  4. Skapa Docker-avbildningen:

    docker build -t splunk-forwarder-listener

  5. Kör Docker-containern:

    docker run -p 9997:9997 splunk-forwarder-listener

Kontrollera att data matas in i Azure Data Explorer

När Docker körs skickas data till din Azure Data Explorer-tabell. Du kan kontrollera att data matas in genom att köra en fråga i frågeredigeraren för webbgränssnittet.

  1. Kör följande fråga för att kontrollera att data matas in i tabellen:

    SplunkUFLogs
| count

  2. Kör följande fråga för att visa data:

    SplunkUFLogs
| take 100

Relaterat innehåll