Splunk集成指南

splunk + pagerduty益处

• 从Splunk到Pagerduty发送丰富格式的事件数据，使您能够与合适的人交往，加速分辨率并改善学习。
• 将自定义有效载荷发送到Pagerduty，允许更强大的警报和分析。
• 根据Splunk事件有效载荷的事件严重性，创建高和低紧迫性事件。

这个怎么运作

• 该集成使用Splunk的本机Webhooks将事件发送到Pagerduty。
• Splunk的事件将触发相应的Pagerduty的新事件服务， 或者小组作为警报进入现有事件。

要求

• 在Splunk：此集成支持Splunk Enterprise和Cloud。
• 在Pagerduty：此集成需要经理基础角色或更高的配置。如果您不确定自己的角色，或者需要调整权限，请访问我们的部分检查您的用户角色或者更改用户角色。

集成演练

在Pagerduty

有两种与Pagerduty集成的方法：通过全球事件路由或直接通过集成在Pagerduty服务。如果您想根据来自集成工具的事件构建不同的路由规则，则与全球事件路由集成可能会有益。如果您不需要根据事件有效负载将警报从集成工具路由到不同的响应者，则与PagerDuty服务集成可以直接有益。

与全球事件路由集成

1.从自动化菜单，选择事件规则并点击您默认全局规则集。

2.在事件规则屏幕上，复制您的集成密钥。

3.拥有集成密钥后，集成URL将会：

https://events.pagerduty.com/x-ere/ [your_integration_key_here这是给予的

您现在可以继续前进在Splunk下面的部分。

与Pagerduty服务集成

1.从服务菜单，选择服务目录。

2。如果您将集成添加到现有服务，单击要添加集成的服务名称。然后选择万博pc版下载集成选项卡然后单击添加新的集成。

如果您正在为您的集成创建新服务，请在部分中阅读我们的文档配置服务和集成万博pc版下载并按照概述的步骤创建新服务部分。

3.从集成类型菜单。

4。点击添加服务或者添加集成保存您的新集成。您将被重定向到服务的“集成”选项卡。万博pc版下载

5.在列表中找到您的集成，然后单击右侧。复制集成URL并将其保持在安全的地方以供以后使用。

在Splunk

1.单击+在左手菜单中，从Splunkbase下载Pagerduty事件应用程序。

2.搜索pagerduty应用程序splunk然后单击安装。

3.安装了PagerDuty应用程序后，导航到设置菜单和选择警报动作。

4.确保Pagerduty应用程序的状态为已启用然后单击设置pagerduty在右侧。

5.粘贴集成URL（在在Pagerduty上面的部分）将您的Pagerduty服务进入提供的字段。

6.在Splunk中运行搜索，您想为其创建警报。我们建议通过搜索Splunk的内部日志进行测试，以获取失败的登录尝试：index = _internal component = uiauth action =登录状态=失败

7.单击另存为右边的下拉菜单并选择警报。

8.添加一个标题对于新警报，指定条件您希望它触发警报并添加新的触发动作。选择Pagerduty作为触发操作类型，然后单击节省。默认情况下，这将通知您在设置PagerDuty应用程序时建立的集成URL（步骤5，上方）。这标题将用于事件标题Pagerduty。

9.为了启用在Splunk警报上的搜索，请在自定义详细信息场地：

10.您可以选择根据用例添加更多自定义详细信息。添加自定义详细信息可为呼叫用户提供更多信息，以对警报进行故障排除。在Pagerduty事件屏幕上，导航到细节部分并输入您的自定义详细信息自定义详细信息字段以获取信息。笔记：这必须是有效的JSON格式。

测试您的集成

我们建议使用简单的搜索来测试您的集成，该搜索易于操纵，就像上述所述：

index = _internal component = uiauth action =登录状态=失败

这将在登录尝试失败时产生结果，并且是一个容易复制的情况。将搜索设置为按时间表运行或实时运行，并设置阈值低（例如，结果数大于0）。在另一个浏览器或隐身窗口中打开Splunk，进行一些失败的登录尝试。不久之后，您应该看到一个新的Pagerduty事件。

单击事件详细信息将提供警报的故障，并将为您提供链接以查看Splunk中的搜索。

创建自定义触发器- 仅S​​plunk Enterprise

我们将创建一个自定义详细信息，以伴随上面引用的相同简单搜索：

index = _internal component = uiauth action =登录状态=失败

作为步骤9的额外步骤，我们需要填写自定义详细信息Pagerduty触发动作中的部分。如前所述，这应该是有效的JSON的一个例子：

客户警报令牌并使用，您可以了解更多这里。有效的JSON警报将出现在Pagerduty中细节作为表：

无效的JSON将出现在Pagerduty中细节部分作为字符串

常问问题

Splunk还可以将警报发送到多个Pagerduty服务吗？

是的。除了在触发操作下使用集成URL字段之外，可以在步骤5期间使用全局事件规则集成，并根据事件规则路由到不同的服务。

一旦Splunk搜索不再产生结果，Pagerduty事件会解决吗？

否。目前，必须从Pagerduty解决Pagerduty事件。

Pagerduty Group如何从Splunk发出警报？

如果您选择编辑服务从主服务视图中，您可以选择通过搜索名称，组件，主机，源或将所有传入的警报附加到开放事件中。

集成与搜索头聚类合作吗？

是的，它确实。需要2.0.3版或更高版本。