Splunk verbinden - AWS DevOps Agentin
Integrierte 1-Wege-IntegrationVoraussetzungenOnboardingEntfernung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Splunk verbinden

Integrierte 1-Wege-Integration

Derzeit unterstützt AWS DevOps Agent Splunk-Benutzer mit einer integrierten 1-Wege-Integration, die Folgendes ermöglicht:

  • Automatisierte Auslösung von Ermittlungen — Splunk-Ereignisse können so konfiguriert werden, dass sie Untersuchungen zur Behebung von AWS DevOps Agentenvorfällen über Agenten-Webhooks auslösen. AWS DevOps

  • Telemetrie-Introspektion — AWS DevOps Der Agent kann die Splunk-Telemetrie während der Untersuchung eines Problems über den Remote-MCP-Server jedes Anbieters überprüfen.

Voraussetzungen

Ein Splunk-API-Token abrufen

Sie benötigen eine MCP-URL und ein Token, um Splunk zu verbinden.

Schritte des Splunk-Administrators

Ihr Splunk-Administrator muss die folgenden Schritte ausführen:

  • REST-API-Zugriff aktivieren

  • aktivieren Sie die Token-Authentifizierung für die Bereitstellung.

  • erstellen Sie eine neue Rolle 'mcp_user', die neue Rolle muss keine Funktionen haben.

  • weisen Sie die Rolle 'mcp_user' allen Benutzern in der Bereitstellung zu, die berechtigt sind, den MCP-Server zu verwenden.

  • erstellen Sie das Token für die autorisierten Benutzer mit der Zielgruppe „mcp“ und legen Sie das entsprechende Ablaufdatum fest, falls der Benutzer nicht berechtigt ist, selbst Token zu erstellen.

Schritte für Splunk-Benutzer

Ein Splunk-Benutzer muss die folgenden Schritte ausführen:

  • Besorgen Sie sich ein entsprechendes Token vom Splunk-Administrator oder erstellen Sie selbst eines, sofern er die entsprechende Erlaubnis hat. Die Zielgruppe für das Token muss „mcp“ sein.

Onboarding

Schritt 1: Connect

Stellen Sie mit den Zugangsdaten für Ihr Konto eine Verbindung zu Ihrem Splunk-Remote-MCP-Endpunkt her

Konfiguration

  1. Gehen Sie zur Seite Capability Providers (zugänglich über die Seitennavigation)

  2. Suchen Sie Splunk im Bereich Verfügbare Anbieter unter Telemetrie und klicken Sie auf Registrieren

  3. Geben Sie Ihre Splunk MCP-Serverdetails ein:

    • Servername — Eindeutiger Bezeichner (z. B. my-splunk-server

    • Endpunkt-URL — Ihr Splunk MCP-Serverendpunkt:

https://<YOUR_SPLUNK_DEPLOYMENT_NAME>.api.scs.splunk.com/<YOUR_SPLUNK_DEPLOYMENT_NAME>/mcp/v1/

  • Beschreibung — Optionale Serverbeschreibung

  • Tokenname — Der Name des Inhaber-Tokens für die Authentifizierung: my-splunk-token

  • Token-Wert: Der Wert des Bearer-Tokens für die Authentifizierung

Schritt 2: Aktivieren

Aktivieren Sie Splunk in einem bestimmten Agent-Bereich und konfigurieren Sie das entsprechende Scoping

Konfiguration

  1. Wählen Sie auf der Seite „Agentenbereiche“ einen Agentenbereich aus und klicken Sie auf „Details anzeigen“ (falls Sie noch keinen Agentenbereich erstellt haben, siehe) Einen Agentenbereich erstellen

  2. Wählen Sie die Registerkarte Funktionen

  3. Scrollen Sie nach unten zum Abschnitt Telemetrie

  4. Drücken Sie auf Hinzufügen

  5. Wählen Sie Splunk

  6. Next

  7. Überprüfen Sie es und drücken Sie auf Speichern

  8. Kopieren Sie die Webhook-URL und den API-Schlüssel

Schritt 3: Webhooks konfigurieren

Mithilfe der Webhook-URL und des API-Schlüssels können Sie Splunk so konfigurieren, dass Ereignisse gesendet werden, um eine Untersuchung auszulösen, beispielsweise aufgrund eines Alarms.

Um sicherzustellen, dass die gesendeten Ereignisse vom DevOps Agenten verwendet werden können, stellen Sie sicher, dass die an den Webhook übertragenen Daten dem unten angegebenen Datenschema entsprechen. Ereignisse, die diesem Schema nicht entsprechen, können vom DevOps Agenten ignoriert werden.

Legen Sie die Methode und die Header fest

    method: "POST",
    headers: {
      "Content-Type": "application/json",
      "Authorization": "Bearer <Token>",
    },

Senden Sie den Text als JSON-Zeichenfolge.

{
    eventType: 'incident';
    incidentId: string;
    action: 'created' | 'updated' | 'closed' | 'resolved';
    priority: "CRITICAL" | "HIGH" | "MEDIUM" | "LOW" | "MINIMAL";
    title: string;
    description?: string;
    timestamp?: string;
    service?: string;
    // The original event generated by service is attached here.
    data?: object;
}

Senden Sie Webhooks mit Splunk https://help.splunk.com/en/splunk- enterprise/alert-and-respond/alerting-manual/9.4/configure-alert-actions/use - a-webhook-alert-action (beachten Sie, dass Sie keine Autorisierung auswählen und stattdessen die benutzerdefinierte Header-Option verwenden)

Weitere Informationen:

Entfernung

Die Telemetriequelle ist auf zwei Ebenen miteinander verbunden, auf der Ebene des Agentenbereichs und auf der Kontoebene. Um sie vollständig zu entfernen, müssen Sie sie zunächst aus allen Agentenbereichen entfernen, in denen sie verwendet wird. Anschließend kann die Registrierung aufgehoben werden.

Schritt 1: Aus dem Agentenbereich entfernen

  1. Wählen Sie auf der Seite „Agentenbereiche“ einen Agentbereich aus und klicken Sie auf „Details anzeigen“

  2. Wählen Sie die Registerkarte Funktionen

  3. Scrollen Sie nach unten zum Abschnitt Telemetrie

  4. Wählen Sie Splunk

  5. Drücken Sie auf Entfernen

Schritt 2: Vom Konto abmelden

  1. Gehen Sie zur Seite Capability Providers (zugänglich über die Seitennavigation)

  2. Scrollen Sie zum Abschnitt Aktuell registriert.

  3. Vergewissern Sie sich, dass die Anzahl der Agentenplätze Null ist (falls nicht, wiederholen Sie Schritt 1 oben in Ihren anderen Agentenbereichen)

  4. Klicken Sie neben Splunk auf Abmelden