Inserire dati da Splunk ad Azure Esplora dati

Splunk Enterprise è una piattaforma software che consente di inserire dati da molte origini contemporaneamente. L'indicizzatore Splunk elabora i dati e li archivia per impostazione predefinita nell'indice principale o in un indice personalizzato specificato. La ricerca in Splunk usa i dati indicizzati per la creazione di metriche, dashboard e avvisi. Esplora dati di Azure è un servizio di esplorazione dati rapido e a scalabilità elevata per dati di log e di telemetria.

Questo articolo illustra come usare il componente aggiuntivo Azure Esplora dati Splunk per inviare dati da Splunk a una tabella nel cluster. Inizialmente si crea una tabella e un mapping dei dati, quindi si indirizza Splunk all'invio di dati nella tabella e quindi si convalidano i risultati.

Gli scenari seguenti sono più adatti per l'inserimento di dati in Azure Esplora dati:

• Dati con volumi elevati: Azure Esplora dati è progettato per gestire in modo efficiente grandi quantità di dati. Se l'organizzazione genera un volume significativo di dati che richiede l'analisi in tempo reale, Azure Esplora dati è una scelta appropriata.
• Dati delle serie temporali: Azure Esplora dati eccelle nella gestione dei dati delle serie temporali, ad esempio log, dati di telemetria e letture dei sensori. Organizza i dati in partizioni basate sul tempo, semplificando l'esecuzione di analisi e aggregazioni basate sul tempo.
• Analisi in tempo reale: se l'organizzazione richiede informazioni dettagliate in tempo reale dal flusso dei dati, le funzionalità quasi in tempo reale di Azure Esplora dati possono essere utili.

Prerequisiti

• Un account Microsoft o un'identità utente di Microsoft Entra. Non è necessaria una sottoscrizione di Azure.
• Un cluster e un database di Esplora dati di Azure. Creare un cluster e un database.
• Splunk Enterprise 9 o versione successiva.
• Un'entità servizio Microsoft Entra. Creare un'entità servizio Microsoft Entra.

Creare una tabella e un oggetto di mapping

Dopo aver creato un cluster e un database, creare una tabella con uno schema che corrisponda ai dati di Splunk. Si crea anche un oggetto di mapping usato per trasformare i dati in ingresso nello schema della tabella di destinazione.

Nell'esempio seguente viene creata una tabella denominata WeatherAlert con quattro colonne: Timestamp, TemperatureHumidity, e Weather. Si crea anche un nuovo mapping denominato WeatherAlert_Json_Mapping che estrae le proprietà dal json in ingresso come indicato dall'oggetto path e le restituisce all'oggetto specificato column.

Nell'editor di query dell'interfaccia utente Web eseguire i comandi seguenti per creare la tabella e il mapping:

1. Creare una tabella:

   .create table WeatherAlert (Timestamp: datetime, Temperature: string, Humidity: string, Weather: string)
   

2. Verificare che la tabella WeatherAlert sia stata creata ed è vuota:

   WeatherAlert
   | count
   

3. Creare un oggetto di mapping:

   .create table WeatherAlert ingestion json mapping "WeatherAlert_Json_Mapping"
       ```[{ "column" : "Timestamp", "datatype" : "datetime", "Properties":{"Path":"$.timestamp"}},
           { "column" : "Temperature", "datatype" : "string", "Properties":{"Path":"$.temperature"}},
           { "column" : "Humidity", "datatype" : "string", "Properties":{"Path":"$.humidity"}},
           { "column" : "Weather", "datatype" : "string", "Properties":{"Path":"$.weather_condition"}}
         ]```
   

4. Usare l'entità servizio dai prerequisiti per concedere l'autorizzazione per lavorare con il database.

   .add database YOUR_DATABASE_NAME admins  ('aadapp=YOUR_APP_ID;YOUR_TENANT_ID') 'Entra App'
   

Installare il componente aggiuntivo Splunk di Azure Esplora dati

Il componente aggiuntivo Splunk comunica con Azure Esplora dati e invia i dati alla tabella specificata.

1. Scaricare il componente aggiuntivo Azure Esplora dati.

2. Accedere all'istanza di Splunk come amministratore.

3. Passare a App>Gestisci app.

4. Selezionare Installa app dal file e quindi azure Esplora dati file del componente aggiuntivo scaricato.

5. Seguire le istruzioni per completare l'installazione.

6. Selezionare Riavvia ora.

7. Verificare che il componente aggiuntivo sia installato passando a Azioni avviso dashboard>e cercando il componente aggiuntivo azure Esplora dati.

   

Creare un nuovo indice in Splunk

Creare un indice in Splunk specificando i criteri per i dati da inviare ad Azure Esplora dati.

1. Accedere all'istanza di Splunk come amministratore.
2. Passare a Impostazioni>Indici.
3. Specificare un nome per l'indice e configurare i criteri per i dati da inviare ad Azure Esplora dati.
4. Configurare le proprietà rimanenti come richiesto e quindi salvare l'indice.

Configurare il componente aggiuntivo Splunk per inviare dati ad Azure Esplora dati

1. Accedere all'istanza di Splunk come amministratore.

2. Passare al dashboard e cercare usando l'indice creato in precedenza. Ad esempio, se è stato creato un indice denominato WeatherAlerts, cercare index="WeatherAlerts".

3. Selezionare Salva come>avviso.

4. Specificare il nome, l'intervallo e le condizioni necessari per l'avviso.

   

5. In Azioni trigger selezionare Aggiungi azioni>Invia a Microsoft Azure Esplora dati.

   

6. Configurare i dettagli delle connessioni, come indicato di seguito:

   Impostazione	Descrizione
   URL di inserimento cluster	Specificare l'URL di inserimento del cluster Esplora dati di Azure. Ad esempio: https://ingest-<mycluster>.<myregion>.kusto.windows.net.
   ID client	Specificare l'ID client dell'applicazione Microsoft Entra creata in precedenza.
   Segreto client	Specificare il segreto client dell'applicazione Microsoft Entra creata in precedenza.
   ID tenant	Specificare l'ID tenant dell'applicazione Microsoft Entra creata in precedenza.
   Database	Specificare il nome del database a cui si desidera inviare i dati.
   Tabella	Specificare il nome della tabella a cui si desidera inviare i dati.
   Mapping	Specificare il nome dell'oggetto di mapping creato in precedenza.
   Rimuovi campi aggiuntivi	Selezionare questa opzione per rimuovere i campi vuoti dai dati inviati al cluster.
   Modalità durevole	Selezionare questa opzione per abilitare la modalità di durabilità durante l'inserimento. Se impostato su true, la velocità effettiva di inserimento è interessata.

   

7. Selezionare Salva per salvare l'avviso.

8. Passare alla pagina Avvisi e verificare che l'avviso venga visualizzato nell'elenco degli avvisi.

   

Verificare che i dati vengano inseriti in Azure Esplora dati

Dopo l'attivazione dell'avviso, i dati vengono inviati alla tabella di Azure Esplora dati. È possibile verificare che i dati vengano inseriti eseguendo una query nell'editor di query dell'interfaccia utente Web.

1. Eseguire la query seguente per verificare che i dati vengano inseriti nella tabella:

   WeatherAlert
   | count
   

2. Eseguire il seguente codice per visualizzare i dati:

   WeatherAlert
   | take 100
   

   

Contenuto correlato

• Scrivere query