本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
连接 Splunk
内置,单向集成
目前, AWS DevOps Agent 通过内置的单向集成支持 Splunk 用户,可实现以下功能:
自动触发调查-可以将 Splunk 事件配置为通过代理 webhook 触发 AWS DevOps AWS DevOps 代理事件解决调查。
遥测内省- AWS DevOps 代理可以在通过每个提供商的远程 MCP 服务器调查问题时反省 Splunk 遥测数据。
先决条件
获取 Splunk API 代币
你需要一个 MCP 网址和令牌才能连接 Splunk。
Splunk 管理员步骤
您的 Splunk 管理员需要执行以下步骤:
在部署时@@ 启用令牌身份验证
。 创建新角色 “mcp_user”,新角色不需要具备任何能力。
将角色 “mcp_user” 分配给部署中有权使用 MCP 服务器的所有用户。
如果用户无权自己创建令牌,则为受众群体为 “mcp” 的授权用户创建令牌,并设置适当的到期时间。
Splunk 用户步骤
Splunk 用户需要执行以下步骤:
从 Splunk 管理员那里获取适当的令牌,或者如果他们有权限,则自己创建一个。代币的受众必须是 “mcp”。
信息载入
第 1 步:Connect
使用账户访问凭证与您的 Splunk 远程 MCP 端点建立连接
配置
转到 “能力提供者” 页面(可从侧面导航栏访问)
在 “遥测” 下的 “可用提供商” 部分中找到 Splunk,然后单击 “注册”
输入您的 Splunk MCP 服务器详细信息:
服务器名称-唯一标识符(例如 my-splunk-server)
端点 URL-您的 Splunk MCP 服务器端点:
https://<YOUR_SPLUNK_DEPLOYMENT_NAME>.api.scs.splunk.com/<YOUR_SPLUNK_DEPLOYMENT_NAME>/mcp/v1/
描述-可选的服务器描述
令牌名称-用于身份验证的不记名令牌的名称:
my-splunk-token令牌值用于身份验证的持有者令牌值
步骤 2:启用
在特定的代理空间中激活 Splunk 并配置适当的作用域
配置
在座席空间页面上,选择一个座席空间,然后按查看详情(如果您尚未创建座席空间,请参阅创建代理空间)
选择 “权能” 选项卡
向下滚动到 “遥测” 部分
按添加
选择 Splunk
下一步
查看并按保存
复制 Webhook 网址和 API 密钥
步骤 3:配置 Webhook
使用 Webhook 网址和 API 密钥,您可以将 Splunk 配置为发送事件以触发调查,例如从警报中触发调查。
为确保 DevOps 代理可以使用发送的事件,请确保传输到 webhook 的数据与下面指定的数据架构相匹配。 DevOps 代理可以忽略与此架构不匹配的事件。
设置方法和标题
method: "POST", headers: { "Content-Type": "application/json", "Authorization": "Bearer <Token>", },
将正文作为 JSON 字符串发送。
{ eventType: 'incident'; incidentId: string; action: 'created' | 'updated' | 'closed' | 'resolved'; priority: "CRITICAL" | "HIGH" | "MEDIUM" | "LOW" | "MINIMAL"; title: string; description?: string; timestamp?: string; service?: string; // The original event generated by service is attached here. data?: object; }
使用 https://help.splunk.com/en/Splunk splunk-enterprise/alert-and-respond/alerting-manual/9.4/configure-alert-actions/use-发送 webhook a-webhook-alert-action
了解更多:
Splunk 的 MCP 服务器文档:https://help.splunk.com/en/splunk-cloud-platform/-platform/ mcp-server-for-splunk
-splunk-platform about-mcp-server-for Splunk 云平台 REST API 的访问要求和限制:https://docs.splunk.com/Documentation/SplunkCloud/latest/RESTTUT/RESTandCloud
在 Splunk 云平台中管理身份验证令牌:https://help.splunk.com/en/splunk-cloud-platform/administer/manage-users-and-security/9.3.2411/authenticate-into-the-splunk-platform-with-tokens/manage
-or-delete-authentication-tokens 使用 Splunk Web 创建和管理角色:https://docs.splunk.com/Documentation/SplunkCloud/latest/Security/Addandeditroles
移除
遥测源在两个级别上连接,分别是代理空间级别和账户级别。要将其完全删除,必须先将其从所有使用它的代理空间中移除,然后才能将其取消注册。
步骤 1:从代理空间中移除
在座席空间页面上,选择一个座席空间,然后按查看详情
选择 “权能” 选项卡
向下滚动到 “遥测” 部分
选择 Splunk
按移除
第 2 步:注销账号
转到 “能力提供者” 页面(可从侧面导航栏访问)
滚动到 “当前注册” 部分。
检查代理空间计数是否为零(如果不是,请在其他代理空间中重复上述步骤 1)
按 Splunk 旁边的 “取消注册”
