本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
连接 Splunk
Built-in,单向集成
目前, AWS DevOps Agent 通过内置的单向集成支持 Splunk 用户,可实现以下功能:
自动触发调查-可以将 Splunk 事件配置为通过代理 webhook 触发 AWS DevOps AWS DevOps 代理事件解决调查。
遥测内省- AWS DevOps 代理可以在通过每个提供商的远程 MCP 服务器调查问题时反省 Splunk 遥测数据。
先决条件
获取 Splunk API 代币
你需要一个 MCP 网址和令牌才能连接 Splunk。
Splunk 管理员步骤
您的 Splunk 管理员需要执行以下步骤:
在部署时@@ 启用令牌身份验证
。 创建新角色 “mcp_user”,新角色不需要具备任何能力。
将角色 “mcp_user” 分配给部署中有权使用 MCP 服务器的所有用户。
如果用户无权自己创建令牌,则为受众群体为 “mcp” 的授权用户创建令牌,并设置适当的到期时间。
Splunk 用户步骤
Splunk 用户需要执行以下步骤:
从 Splunk 管理员那里获取适当的令牌,或者如果他们有权限,则自己创建一个。代币的受众必须是 “mcp”。
信息载入
第 1 步:Connect
使用账户访问凭证与您的 Splunk 远程 MCP 端点建立连接
配置
转到能力提供者页面(可从侧面导航栏访问)
在 “遥测” 下的 “可用提供商” 部分中找到 Splunk,然后单击 “注册”
输入您的 Splunk MCP 服务器详细信息:
服务器名称-唯一标识符(例如,my-splunk-server)
端点 URL-您的 Splunk MCP 服务器端点:
https://<YOUR_SPLUNK_DEPLOYMENT_NAME>.api.scs.splunk.com/<YOUR_SPLUNK_DEPLOYMENT_NAME>/mcp/v1/
描述-可选的服务器描述
令牌名称-用于身份验证的不记名令牌的名称:
my-splunk-token令牌值用于身份验证的持有者令牌值
步骤 2:启用
在特定的代理空间中激活 Splunk 并配置适当的作用域
配置
在座席空间页面上,选择一个座席空间,然后按查看详情(如果您尚未创建座席空间,请参阅创建代理空间)
选择 “权能” 选项卡
向下滚动到 “遥测” 部分
按添加
选择 Splunk
下一步
查看并按保存
复制 Webhook 网址和 API 密钥
步骤 3:配置 Webhook
使用 Webhook 网址和 API 密钥,您可以将 Splunk 配置为发送事件以触发调查,例如从警报中触发调查。
Splunk 网络挂钩使用不记名令牌身份验证。有关完整的 webhook 请求格式、有效负载架构和示例代码,请参阅通过 Webhook 调用 DevOps 代理。使用版本 2(持有者令牌身份验证)示例,使用步骤 2 中的 API 密钥设置Authorization: Bearer <Token>标头。
使用 Splunk 发送 webhook https://help.splunk.com/en/splunk-enterprise/alert-and-respond/alerting-manual/9.4/configure-alert-actions/use-a-webhook-alert-action
了解更多:
Splunk 的 MCP 服务器文档:https://help.splunk.com/en/splunk-cloud-platform/mcp-server-for-splunk-platform/about-mcp-server-for-splunk-platform
Splunk 云平台 REST API 的访问要求和限制:https://docs.splunk.com/Documentation/SplunkCloud/latest/RESTTUT/RESTandCloud
在 Splunk 云平台中管理身份验证令牌:https://help.splunk.com/en/splunk-cloud-platform/administer/manage-users-and-security/9.3.2411/authenticate-into-the-splunk-platform-with-tokens/manage-or-delete-authentication-tokens
使用 Splunk Web 创建和管理角色:https://docs.splunk.com/Documentation/SplunkCloud/latest/Security/Addandeditroles
移除
遥测源在两个级别上连接,分别是代理空间级别和账户级别。要将其完全删除,必须先将其从所有使用它的代理空间中移除,然后才能将其取消注册。
步骤 1:从代理空间中移除
在座席空间页面上,选择一个座席空间,然后按查看详情
选择 “权能” 选项卡
向下滚动到 “遥测” 部分
选择 Splunk
按移除
第 2 步:注销账号
转到能力提供者页面(可从侧面导航栏访问)
滚动到 “当前注册” 部分。
检查代理空间计数是否为零(如果不是,请在其他代理空间中重复上述步骤 1)
按 Splunk 旁边的 “取消注册”
