Envoi de données vers Splunk Cloud à l’aide du collecteur d’événements HTTP (HEC)
Dans notre blog précédent, nous avons exploré comment configurer Splunk Cloud et indexer des données factices à l’aide de l’option de téléchargement. Maintenant que votre environnement Splunk Cloud est opérationnel, allons plus loin. Dans ce blog, nous aborderons le HTTP Event Collector (HEC), une fonctionnalité puissante de Splunk qui vous permet d’envoyer des données à Splunk via HTTP ou HTTPS. Ceci est particulièrement utile pour l’ingestion de données en temps réel provenant de diverses sources, telles que des applications ou des services cloud. Commençons !
Configuration du collecteur d’événements HTTP dans Splunk Cloud
1 : Activer HEC dans Splunk Cloud
- Connectez-vous à votre tableau de bord Splunk Cloud.
- Accédez au Paramètres menu et sélectionnez Entrées de données.
- Cliquez sur Collecteur d’événements HTTP et puis Paramètres globaux.
- Activez HEC en basculant le commutateur sur Activé.
- Cliquez Sauvegarder pour appliquer les modifications.
2 : Créer un nouveau jeton
- Dans le Collecteur d’événements HTTP page, cliquez sur Nouveau jeton.
- Entrez un nom pour votre jeton et configurez les paramètres nécessaires, tels que le type de source et l’index.
- Cliquez Suivant et vérifiez vos paramètres.
- Cliquez Finition pour créer le jeton. Assurez-vous de copier la valeur du jeton car vous en aurez besoin pour envoyer des données.
Important: Assurez-vous de copier et de stocker en toute sécurité la valeur du jeton. Vous en aurez besoin pour vous authentifier lors de l’envoi de données à Splunk Cloud.
3 : Envoi de données vers Splunk Cloud à l’aide de HEC
- Préparez vos données : Formatez vos données en tant que charge utile JSON. Voici un exemple :
{ 'event': 'Hello, world!', 'sourcetype': 'sourcetype-test', 'index': 'your_index' }
- Envoyer des données à l’aide de cURL : Utilisez la commande cURL suivante pour envoyer des données à Splunk
curl --location "https://<splunk-cloud-url>:8088/services/collector/event" --header "Authorization: Splunk <your-token>" --header "Content-Type: application/json" --data "{\"event\": \"Hello, world!\", \"sourcetype\": \"sourcetype-test\", \"index\": \"<your-index>\"}" -k
Remplacer
<your-splunk-cloud-url>
avec votre URL Splunk Cloud réelle et<your-token>
avec le jeton que vous avez créé précédemment.
4 : Vérification des données dans Splunk Cloud
Après avoir envoyé des données via HEC, il est crucial de vérifier qu’elles ont été indexées avec succès dans Splunk Cloud.
- Connectez-vous à votre tableau de bord Splunk Cloud.
- Utilisez la barre de recherche pour interroger vos données indexées. Par exemple, vous pouvez rechercher index= »logs ».
En suivant ces étapes, vous avez réussi à configurer le collecteur d’événements HTTP dans Splunk Cloud et à envoyer des données à l’aide de Curl. Cette fonctionnalité puissante vous permet d’intégrer de manière transparente des données provenant de diverses sources en temps réel, facilitant ainsi la surveillance et l’analyse de vos flux de données.
Source link