기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Splunk 연결
기본 제공, 단방향 통합
현재 AWS DevOps Agent는 기본 제공 단방향 통합을 통해 Splunk 사용자를 지원하므로 다음을 사용할 수 있습니다.
자동 조사 트리거 - Splunk 이벤트는 AWS DevOps 에이전트 웹후크를 통해 AWS DevOps 에이전트 인시던트 해결 조사를 트리거하도록 구성할 수 있습니다.
원격 측정 내부 검사 - AWS DevOps Agent는 각 공급자의 원격 MCP 서버를 통해 문제를 조사할 때 Splunk 원격 측정을 내부 검사할 수 있습니다.
사전 조건
Splunk API 토큰 가져오기
Splunk를 연결하려면 MCP URL과 토큰이 필요합니다.
Splunk 관리자 단계
Splunk 관리자는 다음 단계를 수행해야 합니다.
REST API 액세스
활성화 배포에서 토큰 인증을 활성화합니다
. 새 역할 'mcp_user'를 생성하면 새 역할에 기능이 없어도 됩니다.
MCP 서버를 사용할 권한이 있는 배포의 모든 사용자에게 'mcp_user' 역할을 할당합니다.
대상을 'mcp'로 하는 권한 있는 사용자에 대한 토큰을 생성하고, 사용자에게 토큰을 직접 생성할 권한이 없는 경우 적절한 만료를 설정합니다.
Splunk 사용자 단계
Splunk 사용자는 다음 단계를 수행해야 합니다.
Splunk 관리자로부터 적절한 토큰을 가져오거나 권한이 있는 경우 직접 토큰을 생성합니다. 토큰의 대상은 'mcp'여야 합니다.
온보딩
1단계: 연결
계정 액세스 자격 증명을 사용하여 Splunk 원격 MCP 엔드포인트에 대한 연결 설정
구성
기능 공급자 페이지로 이동(측면 탐색에서 액세스 가능)
사용 가능한 공급자 섹션의 원격 측정에서 Splunk를 찾고 등록을 클릭합니다.
Splunk MCP 서버 세부 정보를 입력합니다.
서버 이름 - 고유 식별자(예: my-splunk-server)
엔드포인트 URL - Splunk MCP 서버 엔드포인트:
https://<YOUR_SPLUNK_DEPLOYMENT_NAME>.api.scs.splunk.com/<YOUR_SPLUNK_DEPLOYMENT_NAME>/mcp/v1/
설명 - 선택적 서버 설명
토큰 이름 - 인증을 위한 보유자 토큰의 이름:
my-splunk-token토큰 값 인증을 위한 보유자 토큰 값
2단계: 활성화
특정 에이전트 공간에서 Splunk를 활성화하고 적절한 범위 지정을 구성합니다.
구성
에이전트 스페이스 페이지에서 에이전트 스페이스를 선택하고 세부 정보 보기를 누릅니다(에이전트 스페이스를 아직 생성하지 않은 경우 참조에이전트 스페이스 생성).
기능 탭을 선택합니다.
아래로 스크롤하여 원격 측정 섹션으로 이동합니다.
추가를 누릅니다.
Splunk 선택
다음
검토 후 저장을 누릅니다.
Webhook URL 및 API 키 복사
3단계: 웹후크 구성
Webhook URL 및 API 키를 사용하여 경보에서와 같이 조사를 트리거하는 이벤트를 보내도록 Splunk를 구성할 수 있습니다.
DevOps 에이전트가 전송된 이벤트를 사용할 수 있도록 하려면 웹후크로 전송된 데이터가 아래에 지정된 데이터 스키마와 일치하는지 확인합니다. 이 스키마와 일치하지 않는 이벤트는 DevOps Agent에서 무시할 수 있습니다.
메서드 및 헤더 설정
method: "POST", headers: { "Content-Type": "application/json", "Authorization": "Bearer <Token>", },
본문을 JSON 문자열로 전송합니다.
{ eventType: 'incident'; incidentId: string; action: 'created' | 'updated' | 'closed' | 'resolved'; priority: "CRITICAL" | "HIGH" | "MEDIUM" | "LOW" | "MINIMAL"; title: string; description?: string; timestamp?: string; service?: string; // The original event generated by service is attached here. data?: object; }
Splunk https://help.splunk.com/en/splunk-enterprise/alert-and-respond/alerting-manual/9.4/configure-alert-actions/use-a-webhook-alert-action
자세히 알아보기:
Splunk의 MCP 서버 설명서: https://help.splunk.com/en/splunk-cloud-platform/mcp-server-for-splunk-platform/about-mcp-server-for-splunk-platform
Splunk Cloud Platform REST API의 액세스 요구 사항 및 제한 사항: https://docs.splunk.com/Documentation/SplunkCloud/latest/RESTTUT/RESTandCloud
Splunk Cloud Platform에서 인증 토큰 관리: https://help.splunk.com/en/splunk-cloud-platform/administer/manage-users-and-security/9.3.2411/authenticate-into-the-splunk-platform-with-tokens/manage-or-delete-authentication-tokens
Splunk Web을 사용하여 역할 생성 및 관리: https://docs.splunk.com/Documentation/SplunkCloud/latest/Security/Addandeditroles
제거
원격 측정 소스는 에이전트 공간 수준과 계정 수준에서 두 가지 수준으로 연결됩니다. 완전히 제거하려면 먼저 에이전트 공간이 사용되는 모든 에이전트 공간에서 제거한 다음 등록을 취소할 수 있습니다.
1단계: 에이전트 공간에서 제거
에이전트 공간 페이지에서 에이전트 공간을 선택하고 세부 정보 보기를 누릅니다.
기능 탭을 선택합니다.
아래로 스크롤하여 원격 측정 섹션으로 이동합니다.
Splunk 선택
제거를 누릅니다.
2단계: 계정에서 등록 취소
기능 공급자 페이지로 이동(측면 탐색에서 액세스 가능)
현재 등록된 섹션으로 스크롤합니다.
에이전트 공간 수가 0인지 확인합니다(다른 에이전트 공간에서 위의 1단계를 반복하지 않는 경우).
Splunk 옆의 등록 취소를 누릅니다.
