Inserire dati da Splunk Universal Forwarder ad Azure Esplora dati
Importante
Questo connettore può essere usato in Intelligenza in tempo reale in Microsoft Fabric. Usare le istruzioni in questo articolo con le eccezioni seguenti:
- Se necessario, creare database usando le istruzioni riportate in Creare un database KQL.
- Se necessario, creare tabelle usando le istruzioni riportate in Creare una tabella vuota.
- Ottenere URI di query o inserimento usando le istruzioni in URI di copia.
- Eseguire query in un set di query KQL.
Splunk Universal Forwarder è una versione leggera del software Splunk Enterprise che consente di inserire dati da molte origini contemporaneamente. È progettato per raccogliere e inoltrare dati di log e computer da varie origini a un server Splunk Enterprise centrale o a una distribuzione di Splunk Cloud. Splunk Universal Forwarder funge da agente che semplifica il processo di raccolta e inoltro dei dati, rendendolo un componente essenziale in una distribuzione Splunk. Esplora dati di Azure è un servizio di esplorazione dati rapido e a scalabilità elevata per dati di log e di telemetria.
Questo articolo illustra come usare il connettore di inoltro universale Kusto Splunk per inviare dati a una tabella nel cluster. Inizialmente si crea una tabella e un mapping dei dati, quindi si indirizza Splunk all'invio di dati nella tabella e quindi si convalidano i risultati.
Prerequisiti
- Splunk Universal Forwarder scaricato nello stesso computer in cui hanno origine i log.
- Un cluster e un database di Esplora dati di Azure. Creare un cluster e un database.
- Docker installato nel sistema che esegue il connettore Kusto Splunk Universal Forwarder.
- Un'entità servizio Microsoft Entra. Creare un'entità servizio Microsoft Entra.
Creare una tabella Esplora dati di Azure
Creare una tabella per ricevere i dati da Splunk Universal Forwarder e quindi concedere all'entità servizio l'accesso a questa tabella.
Nei passaggi seguenti viene creata una tabella denominata SplunkUFLogs con una singola colonna (RawText). Questo perché Splunk Universal Forwarder invia i dati in un formato di testo non elaborato per impostazione predefinita. I comandi seguenti possono essere eseguiti nell'editor di query dell'interfaccia utente Web.
Creare una tabella:
.create table SplunkUFLogs (RawText: string)Verificare che la tabella
SplunkUFLogssia stata creata ed è vuota:SplunkUFLogs | countUsare l'entità servizio dei prerequisiti per concedere l'autorizzazione per lavorare con il database contenente la tabella.
.add database YOUR_DATABASE_NAME admins ('aadapp=YOUR_APP_ID;YOUR_TENANT_ID') 'Entra service principal: Splunk UF'
Configurare splunk Universal Forwarder
Quando si scarica Splunk Universal Forwarder, viene aperta una procedura guidata per configurare il server d'inoltro.
Nella procedura guidata impostare l'indicizzatore ricevente in modo che punti al sistema che ospita il connettore Kusto Splunk Universal Forwarder. Immettere
127.0.0.1per Nome host o IP e9997per la porta. Lasciare vuoto l'indicizzatore di destinazione.Per altre informazioni, vedere Abilitare un ricevitore per Splunk Enterprise.
Passare alla cartella in cui è installato Splunk Universal Forwarder e quindi alla cartella /etc/system/local . Creare o modificare il file inputs.conf per consentire al server d'inoltro di leggere i log:
[default] index = default disabled = false [monitor://C:\Program Files\Splunk\var\log\splunk\modinput_eventgen.log*] sourcetype = modinput_eventgenPer altre informazioni, vedere Monitorare file e directory con inputs.conf.
Passare alla cartella in cui è installato Splunk Universal Forwarder e quindi alla cartella /etc/system/local . Creare o modificare il file outputs.conf per determinare il percorso di destinazione per i log, ovvero il nome host e la porta del sistema che ospita il connettore Kusto Splunk Universal Forwarder:
[tcpout] defaultGroup = default-autolb-group sendCookedData = false [tcpout:default-autolb-group] server = 127.0.0.1:9997 [tcpout-server://127.0.0.1:9997]Per altre informazioni, vedere Configurare l'inoltro con outputs.conf.
Riavviare Splunk Universal Forwarder.
Configurare il connettore Universale di Kusto Splunk
Per configurare il connettore Universale Kusto Splunk per inviare i log alla tabella di Azure Esplora dati:
Scaricare o clonare il connettore dal repository GitHub.
Passare alla directory di base del connettore:
cd .\SplunkADXForwarder\Modificare il config.yml in modo da contenere le proprietà seguenti:
ingest_url: <ingest_url> client_id: <ms_entra_app_client_id> client_secret: <ms_entra_app_client_secret> authority: <ms_entra_authority> database_name: <database_name> table_name: <table_name> table_mapping_name: <table_mapping_name> data_format: csvCampo Descrizione ingest_urlURL di inserimento per il cluster di azure Esplora dati. È possibile trovarla nella portale di Azure sotto l'URI di inserimento dati nella scheda Panoramica del cluster. Deve essere nel formato https://ingest-<clusterName>.<region>.kusto.windows.net.client_idID client della registrazione dell'applicazione Microsoft Entra creata nella sezione Prerequisiti . client_secretSegreto client della registrazione dell'applicazione Microsoft Entra creata nella sezione Prerequisiti . authorityID del tenant che contiene la registrazione dell'applicazione Microsoft Entra creata nella sezione Prerequisiti . database_nameNome del database Esplora dati di Azure. table_nameNome della tabella di destinazione di Azure Esplora dati. table_mapping_nameNome del mapping dei dati di inserimento per la tabella. Se non si dispone di un mapping, è possibile omettere questa proprietà dal file di configurazione. È sempre possibile analizzare i dati in varie colonne in un secondo momento. data_formatFormato dati previsto per i dati in ingresso. I dati in ingresso sono in formato testo non elaborato, quindi il formato consigliato è csv, che esegue il mapping del testo non elaborato all'indice zero per impostazione predefinita.Compilare l'immagine Docker:
docker build -t splunk-forwarder-listenerEseguire il contenitore Docker:
docker run -p 9997:9997 splunk-forwarder-listener
Verificare che i dati vengano inseriti in Azure Esplora dati
Dopo l'esecuzione di Docker, i dati vengono inviati alla tabella di Azure Esplora dati. È possibile verificare che i dati vengano inseriti eseguendo una query nell'editor di query dell'interfaccia utente Web.
Eseguire la query seguente per verificare che i dati vengano inseriti nella tabella:
SplunkUFLogs | countEseguire il seguente codice per visualizzare i dati:
SplunkUFLogs | take 100