サポート (英語のみ)

Splunk でのイベント作成

このドキュメントは外部のソースを参照しています。&#x20

Nexthinkは、サードパーティのドキュメントや外部の更新による不一致の正確性を管理していません。

エラーや矛盾をNexthink サポートに報告してください。

このドキュメントでは、Nexthink Webhookを設定して、SplunkのHTTP Event Collector (HEC)にイベントを送信する方法を示しています。

Splunkで

データをSplunk HTTP Event Collectorに送信するために次のステップを完了してください。

  1. Splunk serverにログインします。

  2. Settings、次にData Inputs、その後HTTP Event Collectorに移動し、Global Settingsを選択します。

  3. グローバル設定を編集します。

  • All TokensオプションでEnabledボタンをクリックします。

  • HTTPSでデータをSplunkに送信したい場合は、Enable SSLチェックボックスをクリックします。 データストリーマーをTransport Layer Security (TLS) を使用するように構成する必要があります。

  • HTTP Port Numberフィールドに、HECが待ち受けるポート番号を指定します。

  • Saveをクリックします。

  1. Settingsに移動してからData Inputsに移動します。

  2. HTTP Event Collector行でAdd Newをクリックして新しいHECトークンを作成します。

  • NameフィールドでHECトークンの名前を指定します。

  • この入力で生成されるイベントのソース名を置き換えたい場合、Source name overrideフィールドに値を指定します。

  • 次にIndexセクションでSplunkがHECイベントデータを保存するインデックスを選択します。 データを本番インデックスにプッシュする前にテストインデックスを使用することをお勧めします。

HECを使用してWebhook情報をSplunkに送信するには、Enable indexer acknowledgmentを選択することはできません。

デフォルトでEnable indexer acknowledgmentを選択するには、Webhookがサポートしていないカスタムヘッダー(X-Splunk-Request-Channel)がシステムに必要です。

詳細については、HEC インデクサー承認 Splunkのドキュメントを参照してください。 代わりに、URLクエリパラメータを使用することもできます。

Nexthinkで

Nexthinkのwebインターフェースから:

Splunk用のコネクタ資格情報の設定

コネクタ資格情報の設定ページから、Splunkで作成した接続の情報を使用してフィールドを入力します。

  1. ProtocolのドロップダウンからHTTPSオプションを選択します。

  2. ルートhttps://prdXXXXXXXX.splunkcloud.com:80XXURL addressフィールドに貼り付けます。

  3. AuthorizationのドロップダウンからBearer tokenオプションを選択します。

  4. Header prefixフィールドにSplunkと入力します。

  5. Splunk接続からHECトークンをコピーしてTokenフィールドに貼り付けます。

  6. 資格情報をSaveします。

Splunk用のWebhookを設定

Webhook設定ページから、Splunkで作成した接続とNexthinkで定義されたコネクタ資格情報の情報を使用してフィールドを入力します。

  1. Webhook NQL条件の設定ドキュメントに従ってNQL Conditionを入力します。 以下のクエリを参照してください。

device_performance.system_crashes
| list error_code, time, label

  1. CredentialsドロップダウンからSplunk用に作成したコネクタ資格情報を選択します。

  2. MethodドロップダウンからPOSTを選択します。

  3. Splunk接続からURLアドレスなしのURL endpointをコピーしてResourcesフィールドに貼り付けます。 例えば:services/collector

  4. Payloadに送信したいメッセージを追加します。 以下の例を参照してください。

  • ペイロードに含まれるいくつかのプロパティをクエリパラメータとして追加できます。

    例えば、Resourcesフィールドにクエリパラメータとしてindexを以下のように指定することができます:services/collector?index=main

{
  "time": {{device_performance.crashes.time}},
  "index":"main",
  "event": "metric",
  "source": "metrics",
  "sourcetype": "perflog",
  "host": "host_1.splunk.com",
  "fields": {
    "region": "us-west-1",
    "datacenter": "dc2",
    "rack": "63",
    "Crashes count": "{{device_performance.crashes.count}}",
    "Crashes error code": "{{device_performance.crashes.error_code}}",
    "Crashes label": "{{device_performance.crashes.label}}"
  }
}

Webhookフィールドの設定: メソッド、リソース、およびペイロードを参考にして、ペイロードの許可されたプレースホルダーについて詳しく学んでください。

  1. Sent testを行い、情報がSplunkに表示されることを確認してください。 下の画像を参照してください。&#x20

  • Searchタブを使用してSplunkでイベントを見つけます。

Search results in Splunk

Last updated

Was this helpful?