Splunk でのイベント作成
このドキュメントは外部ソースを参照します。
Nexthinkは、サードパーティのドキュメントや外部の更新の正確性について管理しておりません。その結果、矛盾が生じることがあります。
エラーや矛盾をNexthink サポートに報告してください。
このドキュメントは、Nexthink Webhookを設定してイベントをSplunkのHTTP Event Collector(HEC)に送信する方法を説明します。
Splunkにおいて
次のステップを完了してSplunk HTTP Event Collectorにデータを送信してください。
Splunkサーバーにログインしてください。
設定に進み、次にデータ入力、そこからHTTPイベントコレクタを選択し、全体設定を選んでください。
全体設定を編集:
すべてのトークンオプションの有効ボタンをクリックしてください。
HTTPSを介してSplunkにデータを送信したい場合、SSLを有効にするチェックボックスをクリックしてください。 Transport Layer Security(TLS)を使用するようにデータストリーマーを設定する必要があります。
HTTPポート番号フィールドに、HECがリッスンするポート番号を指定してください。
保存をクリック。
設定、次にデータ入力に進んでください。
HTTPイベントコレクタ行で新規追加をクリックして、新しいHECトークンを作成してください。
名前フィールドにHECトークンの名前を指定してください。
この入力が生成するイベントのソース名を変更する場合、ソース名のオーバーライドフィールドに値を指定してください。
次に、インデックスセクションでSplunkがHECイベントデータを保存するインデックスを選択してください。 データを本番インデックスに送信する前に、テストインデックスを使用してデータを検証することをお勧めします。
Webhook情報をHECを使用してSplunkに送信するには、インデクサー承認の有効化を選択できません。
インデクサー承認をデフォルトで選択したままにした場合、システムはWebhookがサポートしていないカスタムヘッダー(X-Splunk-Request-Channel
)が必要です。
詳細については、HECインデクサー承認に関するSplunkドキュメントを参照ください。 代わりにURLクエリパラメーターを使用することもできます。
Nexthinkにおいて
Nexthinkウェブインターフェースから:
Splunk用コネクタ資格情報の設定
コネクタ資格情報設定ページから、Splunkで作成した接続の情報を使用してフィールドに入力してください。
プロトコルドロップダウンからHTTPSオプションを選択してください。
ルート
https://prdXXXXXXXX.splunkcloud.com:80XX
をURLアドレスフィールドにペーストしてください。認証ドロップダウンからベアラートークンオプションを選択してください。
ヘッダープレフィックスフィールドに
Splunk
と入力してください。Splunk接続からHECトークンをコピーしてトークンフィールドに貼り付けてください。
資格情報を保存してください。
Splunk用Webhookの設定
Webhook設定ページから、SplunkとNexthinkで定義したコネクタ資格情報を基にフィールドに入力してください。
NQL条件を以下に従って記入してください: Webhook NQL条件の設定 ドキュメント。 以下のクエリをご覧ください。
NQL条件を記入した後、システムはペイロードの許可されたプレースホルダーを一覧します。
device_performance.system_crashes
| list error_code, time, label
Splunk用に作成したコネクタ資格情報を資格情報ドロップダウンから選択してください。
メソッドドロップダウンからPOSTを選択してください。
Splunk接続から、URLアドレスを含まないURLエンドポイントをリソースフィールドにコピーして貼り付けてください。 例えば:
services/collector
ペイロードに送信したいメッセージを追加してください。 以下の例をご覧ください。
ペイロードに含まれるプロパティの一部をクエリパラメータとして追加することができます。
例えば、リソースフィールドで
index
をクエリパラメータとして指定できます:services/collector?index=main
{
"time": {{device_performance.crashes.time}},
"index":"main",
"event": "metric",
"source": "metrics",
"sourcetype": "perflog",
"host": "host_1.splunk.com",
"fields": {
"region": "us-west-1",
"datacenter": "dc2",
"rack": "63",
"Crashes count": "{{device_performance.crashes.count}}",
"Crashes error code": "{{device_performance.crashes.error_code}}",
"Crashes label": "{{device_performance.crashes.label}}"
}
}
テスト送信を行い、情報がSplunkに表示されるか確認してください。 以下の画像をご覧ください。
検索タブを使用してSplunkでイベントを見つけてください。

Last updated
Was this helpful?