本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 连接 Splunk
## Built-in,单向集成
目前, AWS DevOps Agent 通过内置的单向集成支持 Splunk 用户,可实现以下功能:
+ **自动触发调查**-可以将 Splunk 事件配置为通过代理 webhook 触发 AWS DevOps AWS DevOps 代理事件解决调查。
+ **遥测内省**- AWS DevOps 代理可以在通过每个提供商的远程 MCP 服务器调查问题时反省 Splunk 遥测数据。
## 先决条件
### 获取 Splunk API 代币
你需要一个 MCP 网址和令牌才能连接 Splunk。
### Splunk 管理员步骤
您的 Splunk 管理员需要执行以下步骤:
+ 启用 [REST API 访问权限](https://docs.splunk.com/Documentation/SplunkCloud/latest/RESTTUT/RESTandCloud)
+ 在部署时@@ [启用令牌身份验证](https://help.splunk.com/en/splunk-cloud-platform/administer/manage-users-and-security/9.2.2406/authenticate-into-the-splunk-platform-with-tokens/enable-or-disable-token-authentication)。
+ 创建新角色 “mcp\_user”,新角色不需要具备任何能力。
+ 将角色 “mcp\_user” 分配给部署中有权使用 MCP 服务器的所有用户。
+ 如果用户无权自己创建令牌,则为受众群体为 “mcp” 的授权用户创建令牌,并设置适当的到期时间。
### Splunk 用户步骤
Splunk 用户需要执行以下步骤:
+ 从 Splunk 管理员那里获取适当的令牌,或者如果他们有权限,则自己创建一个。代币的受众必须是 “mcp”。
## 信息载入
### 第 1 步:Connect
使用账户访问凭证与您的 Splunk 远程 MCP 端点建立连接
#### 配置
1. 转到**能力提供者**页面(可从侧面导航栏访问)
1. **在 “**遥测” 下的 “**可用**提供商” 部分中找到 **Splunk**,然后单击** “注册”**
1. 输入您的 Splunk MCP 服务器详细信息:
+ **服务器名称**-唯一标识符(例如,my-splunk-server)
+ **端点 URL**-您的 Splunk MCP 服务器端点:
`https://.api.scs.splunk.com//mcp/v1/`
+ **描述**-可选的服务器描述
+ **令牌名称**-用于身份验证的不记名令牌的名称:`my-splunk-token`
+ **令牌值**用于身份验证的持有者令牌值
### 步骤 2:启用
在特定的代理空间中激活 Splunk 并配置适当的作用域
#### 配置
1. 在座席空间页面上,选择一个座席空间,然后按查看详情(如果您尚未创建座席空间,请参阅[创建代理空间](getting-started-with-aws-devops-agent-creating-an-agent-space.md))
1. 选择 “权能” 选项卡
1. 向下滚动到 “遥测” 部分
1. 按添加
1. 选择 Splunk
1. 下一步
1. 查看并按保存
1. 复制 Webhook 网址和 API 密钥
### 步骤 3:配置 Webhook
使用 Webhook 网址和 API 密钥,您可以将 Splunk 配置为发送事件以触发调查,例如从警报中触发调查。
Splunk 网络挂钩使用不记名令牌身份验证。有关完整的 webhook 请求格式、有效负载架构和示例代码,请参阅[通过 Webhook 调用 DevOps 代理](configuring-capabilities-for-aws-devops-agent-invoking-devops-agent-through-webhook.md)。使用版本 2(持有者令牌身份验证)示例,使用步骤 2 中的 API 密钥设置`Authorization: Bearer `标头。
使用 Splunk 发送 webhook [https://help.splunk.com/en/splunk-enterprise/alert-and-respond/alerting-manual/9.4/configure-alert-actions/use-a-webhook-alert-action](https://help.splunk.com/en/splunk-enterprise/alert-and-respond/alerting-manual/9.4/configure-alert-actions/use-a-webhook-alert-action)(注意选择不授权,改用自定义标题选项)
### 了解更多:
+ Splunk 的 MCP 服务器文档:[https://help.splunk.com/en/splunk-cloud-platform/mcp-server-for-splunk-platform/about-mcp-server-for-splunk-platform](https://help.splunk.com/en/splunk-cloud-platform/mcp-server-for-splunk-platform/about-mcp-server-for-splunk-platform)
+ Splunk 云平台 REST API 的访问要求和限制:[https://docs.splunk.com/Documentation/SplunkCloud/latest/RESTTUT/RESTandCloud](https://docs.splunk.com/Documentation/SplunkCloud/latest/RESTTUT/RESTandCloud)
+ 在 Splunk 云平台中管理身份验证令牌:[https://help.splunk.com/en/splunk-cloud-platform/administer/manage-users-and-security/9.3.2411/authenticate-into-the-splunk-platform-with-tokens/manage-or-delete-authentication-tokens](https://help.splunk.com/en/splunk-cloud-platform/administer/manage-users-and-security/9.3.2411/authenticate-into-the-splunk-platform-with-tokens/manage-or-delete-authentication-tokens)
+ 使用 Splunk Web 创建和管理角色:[https://docs.splunk.com/Documentation/SplunkCloud/latest/Security/Addandeditroles](https://docs.splunk.com/Documentation/SplunkCloud/latest/Security/Addandeditroles)
## 移除
遥测源在两个级别上连接,分别是代理空间级别和账户级别。要将其完全删除,必须先将其从所有使用它的代理空间中移除,然后才能将其取消注册。
### 步骤 1:从代理空间中移除
1. 在座席空间页面上,选择一个座席空间,然后按查看详情
1. 选择 “权能” 选项卡
1. 向下滚动到 “遥测” 部分
1. 选择 Splunk
1. 按移除
### 第 2 步:注销账号
1. 转到**能力提供者**页面(可从侧面导航栏访问)
1. 滚动到 “**当前注册**” 部分。
1. 检查代理空间计数是否为零(如果不是,请在其他代理空间中重复上述步骤 1)
1. 按 Splunk 旁边的 “取消注册”