Adatok betöltése a Splunkból az Azure Data Explorer

A Splunk Enterprise egy szoftverplatform, amellyel egyszerre több forrásból is betölthet adatokat. A Splunk-indexelő feldolgozza az adatokat, és alapértelmezés szerint a fő indexben vagy egy megadott egyéni indexben tárolja azokat. A Splunkban való keresés az indexelt adatokat használja metrikák, irányítópultok és riasztások létrehozásához. Az Azure Adatkezelő egy gyors és hatékonyan skálázható adatáttekintési szolgáltatás napló- és telemetriaadatokhoz.

Ebből a cikkből megtudhatja, hogyan küldhet adatokat az Azure Data Explorer Splunk bővítménynek, hogy adatokat küldjön a Splunkból a fürt egy táblájához. Először létrehoz egy táblát és egy adatleképezést, majd arra utasítja a Splunkot, hogy adatokat küldjön a táblába, majd ellenőrizze az eredményeket.

A következő forgatókönyvek alkalmasak az adatok Azure-ba való betöltésére Data Explorer:

• Nagy mennyiségű adat: Az Azure Data Explorer nagy mennyiségű adat hatékony kezelésére készült. Ha a szervezete jelentős mennyiségű, valós idejű elemzést igénylő adatot hoz létre, az Azure Data Explorer megfelelő választás.
• Idősoros adatok: Az Azure Data Explorer jól kezeli az idősoros adatokat, például a naplókat, a telemetriai adatokat és az érzékelői adatokat. Időalapú partíciókba rendezi az adatokat, így könnyen elvégezheti az időalapú elemzéseket és aggregációkat.
• Valós idejű elemzés: Ha a szervezet valós idejű elemzéseket igényel a beáramló adatokból, az Azure Data Explorer közel valós idejű képességei hasznosak lehetnek.

Előfeltételek

• Microsoft-fiók vagy Microsoft Entra felhasználói identitás. Nincs szükség Azure-előfizetésre.
• Egy Azure-Data Explorer-fürt és -adatbázis. Hozzon létre egy fürtöt és egy adatbázist.
• Splunk Enterprise 9 vagy újabb.
• Egy Microsoft Entra szolgáltatásnév. Hozzon létre egy Microsoft Entra szolgáltatásnevet.

Tábla és leképezési objektum létrehozása

Miután létrehozta a fürtöt és az adatbázist, hozzon létre egy táblát a Splunk-adatoknak megfelelő sémával. Létrehoz egy leképezési objektumot is, amely a bejövő adatok céltáblasémává való átalakítására szolgál.

A következő példában egy nevű táblát WeatherAlert hoz létre négy oszloppal: Timestamp, Temperature, Humidityés Weather. Létre fog hozni egy nevű új leképezést WeatherAlert_Json_Mapping is, amely kinyeri a bejövő json tulajdonságait a által path feljegyzett módon, és megjeleníti őket a megadottnak column.

A webes felhasználói felület lekérdezésszerkesztőjében futtassa a következő parancsokat a tábla és a leképezés létrehozásához:

1. Hozzon létre egy táblát:

   .create table WeatherAlert (Timestamp: datetime, Temperature: string, Humidity: string, Weather: string)
   

2. Ellenőrizze, hogy a tábla WeatherAlert létrejött-e, és üres-e:

   WeatherAlert
   | count
   

3. Leképezési objektum létrehozása:

   .create table WeatherAlert ingestion json mapping "WeatherAlert_Json_Mapping"
       ```[{ "column" : "Timestamp", "datatype" : "datetime", "Properties":{"Path":"$.timestamp"}},
           { "column" : "Temperature", "datatype" : "string", "Properties":{"Path":"$.temperature"}},
           { "column" : "Humidity", "datatype" : "string", "Properties":{"Path":"$.humidity"}},
           { "column" : "Weather", "datatype" : "string", "Properties":{"Path":"$.weather_condition"}}
         ]```
   

4. Az Előfeltételek szolgáltatásnévvel adjon engedélyt az adatbázissal való munkához.

   .add database YOUR_DATABASE_NAME admins  ('aadapp=YOUR_APP_ID;YOUR_TENANT_ID') 'Entra App'
   

A Splunk Azure Data Explorer bővítmény telepítése

A Splunk bővítmény kommunikál az Azure Data Explorer, és elküldi az adatokat a megadott táblának.

1. Töltse le az Azure Data Explorer bővítményt.

2. Jelentkezzen be a Splunk-példányba rendszergazdaként.

3. Lépjen az Alkalmazások>kezelése területre.

4. Válassza az Alkalmazás telepítése fájlból lehetőséget, majd az Azure Data Explorer letöltött bővítményfájlt.

5. A telepítés befejezéséhez kövesse az utasításokat.

6. Válassza az Újraindítás most lehetőséget.

7. Ellenőrizze, hogy a bővítmény telepítve van-e. Ehhez lépjen azIrányítópult-riasztási> műveletek lapra, és keresse meg az Azure Data Explorer bővítményt.

   

Új index létrehozása a Splunkban

Hozzon létre egy indexet a Splunkban, amely megadja az Azure Data Explorer küldeni kívánt adatok feltételeit.

1. Jelentkezzen be a Splunk-példányba rendszergazdaként.
2. Lépjen a Beállítások>indexei területre.
3. Adja meg az index nevét, és konfigurálja az Azure Data Explorer küldeni kívánt adatok feltételeit.
4. Konfigurálja a többi tulajdonságot igény szerint, majd mentse az indexet.

A Splunk bővítmény konfigurálása adatok Azure-Data Explorer

1. Jelentkezzen be a Splunk-példányba rendszergazdaként.

2. Nyissa meg az irányítópultot, és keressen a korábban létrehozott index használatával. Ha például létrehozott egy nevű WeatherAlertsindexet, keressen rá a kifejezésre index="WeatherAlerts".

3. Válassza a Mentés riasztásként>lehetőséget.

4. Adja meg a riasztáshoz szükséges nevet, időközt és feltételeket.

   

5. A Trigger Actions (Aktiválási műveletek) területen válassza a Add ActionsSend to Microsoft Azure Data Explorer (Műveletek > küldése a Microsoft Azure-ba) lehetőséget.

   

6. Konfigurálja a kapcsolatok részleteit az alábbiak szerint:

   Beállítás	Leírás
   Fürtbetöltés URL-címe	Adja meg az Azure Data Explorer-fürt betöltési URL-címét. Például: https://ingest-<mycluster>.<myregion>.kusto.windows.net.
   Ügyfél-azonosító	Adja meg a korábban létrehozott Microsoft Entra alkalmazás ügyfél-azonosítóját.
   Titkos ügyfélkód	Adja meg a korábban létrehozott Microsoft Entra alkalmazás titkos ügyfélkódját.
   Bérlőazonosító	Adja meg a korábban létrehozott Microsoft Entra alkalmazás bérlőazonosítóját.
   Adatbázis	Adja meg annak az adatbázisnak a nevét, amelybe az adatokat el szeretné küldeni.
   Tábla	Adja meg annak a táblának a nevét, amelybe az adatokat el szeretné küldeni.
   Hozzárendelés	Adja meg a korábban létrehozott leképezési objektum nevét.
   További mezők eltávolítása	Ezzel a beállítással eltávolíthatja a fürtnek küldött adatok üres mezőit.
   Tartós mód	Ezzel a beállítással engedélyezheti a tartóssági módot a betöltés során. Ha igaz értékre van állítva, a betöltési átviteli sebesség hatással van.

   

7. A riasztás mentéséhez válassza a Mentés lehetőséget.

8. Nyissa meg a Riasztások lapot, és ellenőrizze, hogy a riasztás megjelenik-e a riasztások listájában.

   

Ellenőrizze, hogy az adatok be lesznek-e betöltve az Azure Data Explorer

A riasztás aktiválása után a rendszer adatokat küld az Azure Data Explorer táblába. Az adatok betöltésének ellenőrzéséhez futtasson egy lekérdezést a webes felhasználói felület lekérdezésszerkesztőjében.

1. Futtassa a következő lekérdezést annak ellenőrzéséhez, hogy az adatok be lesznek-e osztva a táblába:

   WeatherAlert
   | count
   

2. Az adatok megtekintéséhez futtassa a következő lekérdezést:

   WeatherAlert
   | take 100
   

   

Kapcsolódó tartalom

• Lekérdezések írása