サポート (英語のみ)

Splunk でのイベント作成

このドキュメントは外部ソースを参照します。

Nexthinkは、サードパーティのドキュメントや外部の更新の正確性について管理しておりません。その結果、矛盾が生じることがあります。

エラーや矛盾をNexthink サポートに報告してください。

このドキュメントは、Nexthink Webhookを設定してイベントをSplunkのHTTP Event Collector(HEC)に送信する方法を説明します。

Splunkにおいて

次のステップを完了してSplunk HTTP Event Collectorにデータを送信してください。

  1. Splunkサーバーにログインしてください。

  2. 設定に進み、次にデータ入力、そこからHTTPイベントコレクタを選択し、全体設定を選んでください。

  3. 全体設定を編集:

  • すべてのトークンオプションの有効ボタンをクリックしてください。

  • HTTPSを介してSplunkにデータを送信したい場合、SSLを有効にするチェックボックスをクリックしてください。 Transport Layer Security(TLS)を使用するようにデータストリーマーを設定する必要があります。

  • HTTPポート番号フィールドに、HECがリッスンするポート番号を指定してください。

  • 保存をクリック。

  1. 設定、次にデータ入力に進んでください。

  2. HTTPイベントコレクタ行で新規追加をクリックして、新しいHECトークンを作成してください。

  • 名前フィールドにHECトークンの名前を指定してください。

  • この入力が生成するイベントのソース名を変更する場合、ソース名のオーバーライドフィールドに値を指定してください。

  • 次に、インデックスセクションでSplunkがHECイベントデータを保存するインデックスを選択してください。 データを本番インデックスに送信する前に、テストインデックスを使用してデータを検証することをお勧めします。

Webhook情報をHECを使用してSplunkに送信するには、インデクサー承認の有効化を選択できません。

インデクサー承認をデフォルトで選択したままにした場合、システムはWebhookがサポートしていないカスタムヘッダー(X-Splunk-Request-Channel)が必要です。

詳細については、HECインデクサー承認に関するSplunkドキュメントを参照ください。 代わりにURLクエリパラメーターを使用することもできます。

Nexthinkにおいて

Nexthinkウェブインターフェースから:

Splunk用コネクタ資格情報の設定

コネクタ資格情報設定ページから、Splunkで作成した接続の情報を使用してフィールドに入力してください。

  1. プロトコルドロップダウンからHTTPSオプションを選択してください。

  2. ルートhttps://prdXXXXXXXX.splunkcloud.com:80XXURLアドレスフィールドにペーストしてください。

  3. 認証ドロップダウンからベアラートークンオプションを選択してください。

  4. ヘッダープレフィックスフィールドにSplunkと入力してください。

  5. Splunk接続からHECトークンをコピーしてトークンフィールドに貼り付けてください。

  6. 資格情報を保存してください。

Splunk用Webhookの設定

Webhook設定ページから、SplunkとNexthinkで定義したコネクタ資格情報を基にフィールドに入力してください。

  1. NQL条件を以下に従って記入してください: Webhook NQL条件の設定 ドキュメント。 以下のクエリをご覧ください。

device_performance.system_crashes
| list error_code, time, label

  1. Splunk用に作成したコネクタ資格情報資格情報ドロップダウンから選択してください。

  2. メソッドドロップダウンからPOSTを選択してください。

  3. Splunk接続から、URLアドレスを含まないURLエンドポイントをリソースフィールドにコピーして貼り付けてください。 例えば: services/collector

  4. ペイロードに送信したいメッセージを追加してください。 以下の例をご覧ください。

  • ペイロードに含まれるプロパティの一部をクエリパラメータとして追加することができます。

    例えば、リソースフィールドでindexをクエリパラメータとして指定できます: services/collector?index=main

{
  "time": {{device_performance.crashes.time}},
  "index":"main",
  "event": "metric",
  "source": "metrics",
  "sourcetype": "perflog",
  "host": "host_1.splunk.com",
  "fields": {
    "region": "us-west-1",
    "datacenter": "dc2",
    "rack": "63",
    "Crashes count": "{{device_performance.crashes.count}}",
    "Crashes error code": "{{device_performance.crashes.error_code}}",
    "Crashes label": "{{device_performance.crashes.label}}"
  }
}

Webhookフィールドの設定: メソッド、リソース、ペイロードについてさらに詳しく知るには参照してください。

  1. テスト送信を行い、情報がSplunkに表示されるか確認してください。 以下の画像をご覧ください。

  • 検索タブを使用してSplunkでイベントを見つけてください。

Search results in Splunk

Last updated

Was this helpful?