Connecteur Splunk

Modifié par jhurst le 2024/04/02 14:25

Documentation

Prérequis

  • Un serveur Splunk avec les identifiants de connexion (voir ci-après)

Sélection de la source de données Splunk

DigDash Enterprise vous permet de récupérer des informations provenant de votre compte Splunk.

Sélectionnez le type de rapport souhaité dans la barre d'outils en bas de la page.

splunk_connector_fr_html_1074d530141bae54.gif

splunk_connector_fr_html_ef32df04e52ef80e.png

Capture : Sélection de la source de données Salesforce via la barre d’outils

OU sélectionnez la source de données souhaitée dans l'onglet Source de données figurant dans la barre d'outils en haut de la page puis cliquez sur Nouvelle source dans le gestionnaire de source de données et choisissez Splunk.

splunk_connector_fr_html_17c95214ff46c822.png

splunk_connector_fr_html_bc5f4392897ff0aa.png

Capture : Sélection de la source de données Splunk via l’onglet Source de données

Authentification

splunk_connector_fr_html_2bd276a22aa7b294.png

Capture : Authentification Splunk via DigDash

Le mode d’authentification de Digdash pour accéder à Splunk exige les champs de connexion suivants :

  • URL du serveur : il s’agit de renseigner l’URL du serveur Splunk sous la forme <protocole>://<hôte>:<port>
  • Utilisateur : il s’agit de votre nom d’utilisateur Splunk.
  • Mot de passe : il s’agit de votre mot de passe Splunk.

Entrez les informations dans les champs du connecteur prévus à cet effet.

Liste des index Splunk

Une liste déroulante dans l’interface permet d’afficher un aperçu de tous les index du serveur Splunk après authentification.

splunk_connector_fr_html_b71223e4d2226baf.png

Capture : Liste déroulante affichant tous les index du serveur Splunk après authentification

Champ de recherche Splunk

La récupération des informations Splunk via DigDash s’effectue via lignes de commande dans la zone de recherche.

splunk_connector_fr_html_2149273585fefabd.png

Capture : Zone de recherche Splunk

La syntaxe se rapproche beaucoup de la manière dont la recherche fonctionne sur la version Web 

http://docs.splunk.com/Documentation/SplunkCloud/latest/SearchReference/CLIsearchsyntax

Des éléments sont à prendre en compte cependant.

Commande search

Les recherches Splunk doivent impérativement débuter par la commande search. Cependant, vous pouvez omettre (ou pas) cette commande, puisque la commande search est prise en compte implicitement par DigDash lors de l’écriture de votre recherche Splunk.

Exemple :

La saisie de la recherche

« index=_internal * | head 10 »

est équivalente à la recherche

« search index=_internal * | head 10 »

Sélection de l’index

La sélection d’un index insère automatiquement le filtre « index=<index-name> » dans votre requête après la commande search.

Exemples : On considère que l’index « _internal » est sélectionné dans la liste des index.

splunk_connector_fr_html_24883d351c40dd65.png

Capture : Sélection de l’index « _internal »

1/ La saisie de la recherche

« * | head 10 »

est équivalente à la recherche

« search index=_internal * | head 10 »

2/ La saisie de la recherche

« search * | head 10 »

est équivalente à la recherche

« search index=_internal * | head 10 »

Dans le cas où aucun index n’est sélectionné, vous pouvez directement indiquer le nom de l’index dans votre recherche.

Exemple : On considère qu’aucun index n’est sélectionné dans la liste des index.

splunk_connector_fr_html_9776a9bc407b74d7.png

Capture : Aucun index n’est sélectionné

La saisie de la recherche

« index=_internal * | head 10 »

est équivalente à la recherche

« search index=_internal * | head 10 »

Dates

Tout comme la version Web, il vous est possible de filtrer vos résultats sur une période donnée en mentionnant deux filtres dans votre recherche : earliest et latest.

Si aucune mention de ces deux filtres n’est mentionnée dans votre recherche, ce sont les filtres earliest=-1h et latest=now qui sont pris en compte.

Il vous est possible de renseigner, comme dans la version web, deux types de période de temps :

- Par des dates absolues

- Par des périodes de temps relatives

Vous pouvez retrouver les différentes syntaxes dans la documentation officielle Splunk :

https://docs.splunk.com/Documentation/Splunk/7.1.2/Search/Specifytimemodifiersinyoursearch

Valeurs entréesValeurs prises en compte
earliestlatestearliestlatest
10/19/2017:0:0:010/27/2017:0:0:010/19/2017:0:0:010/27/2017:0:0:0
10/19/2017:0:0:0Ø10/19/2017:0:0:0now
ØØ-1hnow

Tableau : dates prises en compte pour la recherche Splunk

Nombre de lignes retournées

Par défaut, et par soucis de rapidité de réponse, le nombre de lignes retourné est de 10 000 maximum. Il vous est cependant possible de personnaliser ce nombre en incluant dans votre recherche l’opération « head <integer> » comme suit :

Exemple : la saisie de la recherche « search index=_internal * | head 10 » retourne les 10 premiers résultats de la recherche.