• 使用を開始する
  • 関連ドキュメント

Opsgenie を Splunk と統合する

Splunk のロゴ

Splunk アラートは、特定のイベントの監視と応答に使用できます。アラートは、保存された検索を使用して、リアルタイムまたはスケジュールに従ってイベントを検索します。検索結果が特定の条件を満たすと、アラートがトリガーされます。アラート アクションは、アラートがトリガーされたときに応答するために使用できます。

Opsgenie は Splunk ユーザーに何を提供しますか?

OpsgenieSplunk との双方向のインテグレーションを提供します。Splunk の検索およびレポート アプリでは、ユーザーはデータの検索、データ モデルとピボットの作成、検索およびピボットのレポートとしての保存、アラートの設定、ダッシュボードの作成を行えます。Opsgenie アラート アプリを通じて、Splunk アラートを Opsgenie に転送します。Splunk インテグレーションにおいて、Opsgenie はこれらのアラートのディスパッチャーとして機能して、オンコール スケジュールに基づいて通知する適切な担当者を決定します。メール、テキスト メッセージ (SMS)、電話、iOS と Android のプッシュ通知によって通知し、アラートが確認されるかクローズされるまでアラートをエスカレートします。OEC (Opsgenie Edge Connector) を通じて、Opsgenie アラートを Splunk に追加のインデックス作成および検索イベントとして転送できます。

統合の機能性

  • Opsgenie には Splunk 固有のアラート アプリがあり、Splunk アラートを Opsgenie に送信します。Opsgenie には、Splunk インテグレーション固有の API もあり、SplunkOpsgenie アラート アプリを介してアラートを Opsgenie に送信し、Opsgenie はアラートの自動作成を処理します。

  • Opsgenie アラートの Splunk イベントの作成が有効になっている場合、アラート固有のアクション ([アラートの作成]、[アラートの承認] など) が OECを通じてイベントとして Splunk に送信されます。

Opsgenie で Splunk インテグレーションを追加する

Opsgenie の Free プランまたは Essentials プランを使用している、または Jira Service Management の Standard プランで Opsgenie を使用している場合は、チーム ダッシュボードからのみこの統合を追加できます。 このプランでは、[設定] の [統合] ページが利用できません。

  1. [チーム] に移動して自分のチームを選択します。

  2. 左側のナビゲーションで [統合] を選択し、[統合を追加] を選択します。

統合をチーム ダッシュボードから追加すると、そのチーム統合の所有者になります。Opsgenie では、この統合を通じて受信したアラートはそのチームのみに割り当てられます。このセクションの残りの手順に従って、統合を設定してください。

  1. Go to Settings > Integrations. Search for Splunk and select Add.

  2. Specify who is notified for Splunk alerts using the Responders field. Auto-complete suggestions are provided as you type.

  3. API キーをコピーします。

  4. [Save Integration (統合の保存)] を選択します。

Splunk での設定

  1. Splunk で、Splunkbase から Opsgenie アプリをインストールします。

Splunk アプリのインストール

2. After installation, navigate to "Apps" and click Set Up to configure the Opsgenie App.

Splunk アプリのセットアップ

3. 「Opsgenie での Splunk インテグレーションを追加する」の章で以前コピーした API キーを貼り付けます。

Splunk アプリのセットアップ

API キーのアップデート

If using Splunk Cloud and need to update the API Key you've set in this step, please file a Splunk support case to uninstall the app.

4. Splunk で検索を実行して、アラートを作成します。

5. [ 名前を付けて保存 ] をクリックし、ドロップダウン リストから [アラート] を選択します。

Splunk アラート

6. アラートのタイトルを入力し、条件を指定します。

7. [+ アクションを追加] ボタンをクリックしてドロップダウン リストにアクセスし、[Opsgenie] を選択します。

Splunk トリガー アクション
Splunk トリガー アクション

8. [保存] をクリックします。

OEC を介した統合

Opsgenie の OEC と Splunk スクリプトを使用して Splunk のアラートをアップデートします。これによって、独自のスクリプトや機能をデプロイして提供された機能を変更し、カスタマイズしたアクションを Splunk 上で実行できます。

Splunk インテグレーション パッケージを使用するには、以下のセクションのステップを最後まで実行します。

OEC の最新バージョンをダウンロードする

To download the latest version of Splunk package, please use readme file of oec-scripts repository.

インストール

Red Hat ベースのディストリビューションの場合

  • 次のコマンドを実行します。rpm -i opsgenie-splunk-<your_version>.rpm

Debian ベースのディストリビューションの場合

  • 次のコマンドを実行します。dpkg -i opsgenie-splunk-<your_version>.deb

Windows の場合

  • Unzip opsgenie integration zip file which contains OEC package into a directory (C:\opsgenie\oec is the preferred path.) Follow the instructions here to install OEC on Windows.

  • OEC の実行方法について詳しくは、OEC の実行のドキュメントを参照してください。

Splunk でアクションを実行できるようにするには、OEC で設定ファイルから設定パラメーターを取得します。設定ファイルは、/home/opsgenie/oec/conf/conf/config.json の下にあり、Windows の場合は C:\opsgenie\oec\conf\config.json です

OEC 用の Splunk インテグレーションの設定

  • In order to use OEC utility for your Splunk integration, Send Via OEC in your integration settings.

  • Splunk に関する設定はオプションです。[OEC 経由で送信] を選択した場合、OEC 設定ファイルで設定できます。

Splunk OEC

Splunk Cloud 用の Splunk インテグレーションの設定

  • Splunk Cloud を使用している場合、OpsgenieSplunk Cloud インスタンスにイベントを配信できるようになりました。

  • DO NOT select Send Via OEC and enter your Splunk Cloud Url and Splunk Token in the respective fields. Please enter Splunk Cloud Url along with port.

Splunk OEC の設定

Splunk での設定

  1. Splunk に管理者としてログインします。

  2. ホーム ページから、[Add Data (データの追加)] を選択します。

Splunk データの追加

3. 下から [監視] を選択します。

Splunk 監視

4. データ入力オプションから、[HTTP Event Collector (HTTP イベント コレクター)] を選択して新しいイベント コレクターに名前を付けます。

Splunk HTTP イベント コレクター

5. 必要な場合を除いて、残りの手順を変更せずに完了します。最後の手順で、Splunk によって提供されたトークン値を書き留めます。

Splunk トークンが作成されました。

6. HTTP 経由のデータ入力を有効にするには、上部バーから [ 設定 ] > [データ入力] の順に選択し、[HTTP イベント コレクター] に移動します。その後、「グローバル設定」メニューで「すべてのトークン」が有効に設定されていることを確認します。

Splunk グローバル設定の編集

これでコレクターが設定されました。Opsgenie がアラート関連のアクションを発行するたびに、Splunk がイベントを作成します。

OEC 設定

Splunk でイベントを作成できるように、OEC は統合設定から設定パラメーターを取得します。

設定パラメーター

説明

場所

Splunk URL

ポートを含む Splunk HTTP イベント コレクター サーバーの URL。例: http://<splunk_server>:

/home/opsgenie/oec/conf/config.json

Splunk トークン

Splunk HTTP イベント コレクター データ入力のトークン

/home/opsgenie/oec/conf/config.json

SSL の検証

The request to your Splunk Server might fail if the SSL certificate verification fails. You can choose to not to verify ssl cert, default is false

/home/opsgenie/oec/conf/config.json

Opsgenie の Splunk フィールドとドラッグ可能なフィールドから送信されるペイロードのサンプル

以下の内容の結果フィールドは、検索条件に一致する行のフィールドによって異なります。そのため、Opsgenie では利用可能なフィールドに結果オブジェクトの一般的なフィールドを提供します。一般的なフィールドの例には、Raw、Index、Serial、Source Type などがあります。

また、結果オブジェクトからカスタム フィールドを抽出できるようにするために、使用可能なフィールドに [結果オブジェクト] も追加しました。

たとえば、結果オブジェクトの date_month フィールドをアラートに配置するには、{{result.date_month}} で問題が解決されます。

アラートのペイロードを作成します。

JSON

{ "session_key": "r41vK7psTN9iIp1HQXqgNxTHPz2AW_Ee3ELbdYM4FBqiBbI7L6f82o6f6IENt6Q_Xdq2V4jBSkjkyIfXIm56xbbcFcpWlcJNB0ZUZaezsImsTQ2lGWH26yiZ8l854Or8SPETrWuVgTKVeC", "search_name": "fail", "results_link": "http://Tuba-MacBook-Pro.local:8000/app/search/search?q=%7Cloadjob%20rt_scheduler__admin__search__fail_at_1464802733_32.0%20%7C%20head%201%20%7C%20tail%201&earliest=0&latest=now", "app": "search", "sid": "rt_scheduler__admin__search__fail_at_1464802733_32.0", "configuration": { "api_url": "http://4kmm916oxm9m.runscope.net" }, "server_host": "Tuba-MacBook-Pro.local", "owner": "admin", "results_file": "/Applications/Splunk/var/run/splunk/dispatch/rt_scheduler__admin__search__fail_at_1464802733_32.0/per_result_alert/tmp_0.csv.gz", "server_uri": "https://127.0.0.1:8089", "result": { "date_month": "may", "index": "main", "_indextime": "1464802756", "date_minute": "15", "date_hour": "0", "splunk_server": "Tuba-MacBook-Pro.local", "date_mday": "11", "sourcetype": "secure", "source": "tutorialdata copy 2.zip:./www1/secure.log", "date_second": "2", "_serial": "0", "_sourcetype": "secure", "date_year": "2016", "eventtype": "", "_kv": "1", "timeendpos": "25", "timestartpos": "4", "linecount": "1", "date_zone": "local", "date_wday": "wednesday", "punct": "____::__[]:________...___", "_raw": "Thu May 11 2016 00:15:02 www1 sshd[4747]: Failed password for invalid user jabber from 118.142.68.222 port 3187 ssh2", "_eventtype_color": "", "_confstr": "source::tutorialdata copy 2.zip:./www1/secure.log|host::Tuba-MacBook-Pro.local|secure", "_time": "1462914902", "host": "Tuba-MacBook-Pro.local" } }
Splunk アラート フィールド

Splunk から送信されるペイロードのサンプル

JSON

{ "alertDetails":{ }, "customerDomain":"opsgenie", "sendViaMarid":false, "alertId":"2ce35c31-a8e1-4be5-a781-110564a45e75-1568102450408", "url":"http://localhost:8088", "type":"Splunk", "alert":{ "alertId":"2ce35c31-a8e1-4be5-a781-110564a45e75-1568102450408" }, "source":null, "token":"4c40855d-a361-4a9b-984f-0ab46c91a35f", "params":{ "alertDetails":{ }, "customerDomain":"opsgenie", "sendViaMarid":false, "alertId":"2ce35c31-a8e1-4be5-a781-110564a45e75-1568102450408", "source":null, "url":"http://localhost:8088", "integrationName":"Splunk", "alert":{ "alertId":"2ce35c31-a8e1-4be5-a781-110564a45e75-1568102450408" }, "integrationId":"c345dce0-50e3-4498-9433-1fddd3f4f1fd", "token":"4c40855d-a361-4a9b-984f-0ab46c91a35f", "integrationType":"Splunk", "action":"Create", "mappedActionV2":{ "extraField":"", "name":"createEvent" }, "type":"Splunk", "customerId":"5035e5cd-4791-4995-9154-037027f8e0b6" }, "action":"Create", "mappedActionV2":{ "extraField":"", "name":"createEvent" }, "integrationId":"c345dce0-50e3-4498-9433-1fddd3f4f1fd", "integrationType":"Splunk", "integrationName":"Splunk", "customerId":"5035e5cd-4791-4995-9154-037027f8e0b6" }

 

さらにヘルプが必要ですか?

アトラシアン コミュニティをご利用ください。