Opsgenie を Splunk と統合する
Splunk アラートは、特定のイベントの監視と応答に使用できます。アラートは、保存された検索を使用して、リアルタイムまたはスケジュールに従ってイベントを検索します。検索結果が特定の条件を満たすと、アラートがトリガーされます。アラート アクションは、アラートがトリガーされたときに応答するために使用できます。
Opsgenie は Splunk ユーザーに何を提供しますか?
Opsgenie は Splunk との双方向のインテグレーションを提供します。Splunk の検索およびレポート アプリでは、ユーザーはデータの検索、データ モデルとピボットの作成、検索およびピボットのレポートとしての保存、アラートの設定、ダッシュボードの作成を行えます。Opsgenie アラート アプリを通じて、Splunk アラートを Opsgenie に転送します。Splunk インテグレーションにおいて、Opsgenie はこれらのアラートのディスパッチャーとして機能して、オンコール スケジュールに基づいて通知する適切な担当者を決定します。メール、テキスト メッセージ (SMS)、電話、iOS と Android のプッシュ通知によって通知し、アラートが確認されるかクローズされるまでアラートをエスカレートします。OEC (Opsgenie Edge Connector) を通じて、Opsgenie アラートを Splunk に追加のインデックス作成および検索イベントとして転送できます。
統合の機能性
Opsgenie には Splunk 固有のアラート アプリがあり、Splunk アラートを Opsgenie に送信します。Opsgenie には、Splunk インテグレーション固有の API もあり、Splunk は Opsgenie アラート アプリを介してアラートを Opsgenie に送信し、Opsgenie はアラートの自動作成を処理します。
Opsgenie アラートの Splunk イベントの作成が有効になっている場合、アラート固有のアクション ([アラートの作成]、[アラートの承認] など) が OECを通じてイベントとして Splunk に送信されます。
Opsgenie で Splunk インテグレーションを追加する
Opsgenie の Free プランまたは Essentials プランを使用している、または Jira Service Management の Standard プランで Opsgenie を使用している場合は、チーム ダッシュボードからのみこの統合を追加できます。 このプランでは、[設定] の [統合] ページが利用できません。
[チーム] に移動して自分のチームを選択します。
左側のナビゲーションで [統合] を選択し、[統合を追加] を選択します。
統合をチーム ダッシュボードから追加すると、そのチーム統合の所有者になります。Opsgenie では、この統合を通じて受信したアラートはそのチームのみに割り当てられます。このセクションの残りの手順に従って、統合を設定してください。
Go to Settings > Integrations. Search for Splunk and select Add.
Specify who is notified for Splunk alerts using the Responders field. Auto-complete suggestions are provided as you type.
API キーをコピーします。
[Save Integration (統合の保存)] を選択します。
Splunk での設定
Splunk で、Splunkbase から Opsgenie アプリをインストールします。
2. After installation, navigate to "Apps" and click Set Up to configure the Opsgenie App.
3. 「Opsgenie での Splunk インテグレーションを追加する」の章で以前コピーした API キーを貼り付けます。
API キーのアップデート
If using Splunk Cloud and need to update the API Key you've set in this step, please file a Splunk support case to uninstall the app.
4. Splunk で検索を実行して、アラートを作成します。
5. [ 名前を付けて保存 ] をクリックし、ドロップダウン リストから [アラート] を選択します。
6. アラートのタイトルを入力し、条件を指定します。
7. [+ アクションを追加] ボタンをクリックしてドロップダウン リストにアクセスし、[Opsgenie] を選択します。
8. [保存] をクリックします。
OEC を介した統合
Opsgenie の OEC と Splunk スクリプトを使用して Splunk のアラートをアップデートします。これによって、独自のスクリプトや機能をデプロイして提供された機能を変更し、カスタマイズしたアクションを Splunk 上で実行できます。
Splunk インテグレーション パッケージを使用するには、以下のセクションのステップを最後まで実行します。
OEC の最新バージョンをダウンロードする
To download the latest version of Splunk package, please use readme file of oec-scripts repository.
インストール
Red Hat ベースのディストリビューションの場合
次のコマンドを実行します。
rpm -i opsgenie-splunk-<your_version>.rpm
Debian ベースのディストリビューションの場合
次のコマンドを実行します。
dpkg -i opsgenie-splunk-<your_version>.deb
Windows の場合
Unzip opsgenie integration zip file which contains OEC package into a directory (C:\opsgenie\oec is the preferred path.) Follow the instructions here to install OEC on Windows.
OEC の実行方法について詳しくは、OEC の実行のドキュメントを参照してください。
Splunk でアクションを実行できるようにするには、OEC で設定ファイルから設定パラメーターを取得します。設定ファイルは、/home/opsgenie/oec/conf/conf/config.json の下にあり、Windows の場合は C:\opsgenie\oec\conf\config.json です
OEC 用の Splunk インテグレーションの設定
In order to use OEC utility for your Splunk integration, Send Via OEC in your integration settings.
Splunk に関する設定はオプションです。[OEC 経由で送信] を選択した場合、OEC 設定ファイルで設定できます。
Splunk Cloud 用の Splunk インテグレーションの設定
Splunk Cloud を使用している場合、Opsgenie が Splunk Cloud インスタンスにイベントを配信できるようになりました。
DO NOT select Send Via OEC and enter your Splunk Cloud Url and Splunk Token in the respective fields. Please enter Splunk Cloud Url along with port.
Splunk での設定
Splunk に管理者としてログインします。
ホーム ページから、[Add Data (データの追加)] を選択します。
3. 下から [監視] を選択します。
4. データ入力オプションから、[HTTP Event Collector (HTTP イベント コレクター)] を選択して新しいイベント コレクターに名前を付けます。
5. 必要な場合を除いて、残りの手順を変更せずに完了します。最後の手順で、Splunk によって提供されたトークン値を書き留めます。
6. HTTP 経由のデータ入力を有効にするには、上部バーから [ 設定 ] > [データ入力] の順に選択し、[HTTP イベント コレクター] に移動します。その後、「グローバル設定」メニューで「すべてのトークン」が有効に設定されていることを確認します。
これでコレクターが設定されました。Opsgenie がアラート関連のアクションを発行するたびに、Splunk がイベントを作成します。
OEC 設定
OEC の実行方法について詳しくは、OEC の実行のドキュメントを参照してください。
Splunk でイベントを作成できるように、OEC は統合設定から設定パラメーターを取得します。
設定パラメーター | 説明 | 場所 |
---|---|---|
Splunk URL | ポートを含む Splunk HTTP イベント コレクター サーバーの URL。例: http://<splunk_server>: | /home/opsgenie/oec/conf/config.json |
Splunk トークン | Splunk HTTP イベント コレクター データ入力のトークン | /home/opsgenie/oec/conf/config.json |
SSL の検証 | The request to your Splunk Server might fail if the SSL certificate verification fails. You can choose to not to verify ssl cert, default is false | /home/opsgenie/oec/conf/config.json |
Opsgenie の Splunk フィールドとドラッグ可能なフィールドから送信されるペイロードのサンプル
以下の内容の結果フィールドは、検索条件に一致する行のフィールドによって異なります。そのため、Opsgenie では利用可能なフィールドに結果オブジェクトの一般的なフィールドを提供します。一般的なフィールドの例には、Raw、Index、Serial、Source Type などがあります。
また、結果オブジェクトからカスタム フィールドを抽出できるようにするために、使用可能なフィールドに [結果オブジェクト] も追加しました。
たとえば、結果オブジェクトの date_month フィールドをアラートに配置するには、{{result.date_month}}
で問題が解決されます。
アラートのペイロードを作成します。
JSON
{
"session_key": "r41vK7psTN9iIp1HQXqgNxTHPz2AW_Ee3ELbdYM4FBqiBbI7L6f82o6f6IENt6Q_Xdq2V4jBSkjkyIfXIm56xbbcFcpWlcJNB0ZUZaezsImsTQ2lGWH26yiZ8l854Or8SPETrWuVgTKVeC",
"search_name": "fail",
"results_link": "http://Tuba-MacBook-Pro.local:8000/app/search/search?q=%7Cloadjob%20rt_scheduler__admin__search__fail_at_1464802733_32.0%20%7C%20head%201%20%7C%20tail%201&earliest=0&latest=now",
"app": "search",
"sid": "rt_scheduler__admin__search__fail_at_1464802733_32.0",
"configuration": {
"api_url": "http://4kmm916oxm9m.runscope.net"
},
"server_host": "Tuba-MacBook-Pro.local",
"owner": "admin",
"results_file": "/Applications/Splunk/var/run/splunk/dispatch/rt_scheduler__admin__search__fail_at_1464802733_32.0/per_result_alert/tmp_0.csv.gz",
"server_uri": "https://127.0.0.1:8089",
"result": {
"date_month": "may",
"index": "main",
"_indextime": "1464802756",
"date_minute": "15",
"date_hour": "0",
"splunk_server": "Tuba-MacBook-Pro.local",
"date_mday": "11",
"sourcetype": "secure",
"source": "tutorialdata copy 2.zip:./www1/secure.log",
"date_second": "2",
"_serial": "0",
"_sourcetype": "secure",
"date_year": "2016",
"eventtype": "",
"_kv": "1",
"timeendpos": "25",
"timestartpos": "4",
"linecount": "1",
"date_zone": "local",
"date_wday": "wednesday",
"punct": "____::__[]:________...___",
"_raw": "Thu May 11 2016 00:15:02 www1 sshd[4747]: Failed password for invalid user jabber from 118.142.68.222 port 3187 ssh2",
"_eventtype_color": "",
"_confstr": "source::tutorialdata copy 2.zip:./www1/secure.log|host::Tuba-MacBook-Pro.local|secure",
"_time": "1462914902",
"host": "Tuba-MacBook-Pro.local"
}
}
Splunk から送信されるペイロードのサンプル
JSON
{
"alertDetails":{
},
"customerDomain":"opsgenie",
"sendViaMarid":false,
"alertId":"2ce35c31-a8e1-4be5-a781-110564a45e75-1568102450408",
"url":"http://localhost:8088",
"type":"Splunk",
"alert":{
"alertId":"2ce35c31-a8e1-4be5-a781-110564a45e75-1568102450408"
},
"source":null,
"token":"4c40855d-a361-4a9b-984f-0ab46c91a35f",
"params":{
"alertDetails":{
},
"customerDomain":"opsgenie",
"sendViaMarid":false,
"alertId":"2ce35c31-a8e1-4be5-a781-110564a45e75-1568102450408",
"source":null,
"url":"http://localhost:8088",
"integrationName":"Splunk",
"alert":{
"alertId":"2ce35c31-a8e1-4be5-a781-110564a45e75-1568102450408"
},
"integrationId":"c345dce0-50e3-4498-9433-1fddd3f4f1fd",
"token":"4c40855d-a361-4a9b-984f-0ab46c91a35f",
"integrationType":"Splunk",
"action":"Create",
"mappedActionV2":{
"extraField":"",
"name":"createEvent"
},
"type":"Splunk",
"customerId":"5035e5cd-4791-4995-9154-037027f8e0b6"
},
"action":"Create",
"mappedActionV2":{
"extraField":"",
"name":"createEvent"
},
"integrationId":"c345dce0-50e3-4498-9433-1fddd3f4f1fd",
"integrationType":"Splunk",
"integrationName":"Splunk",
"customerId":"5035e5cd-4791-4995-9154-037027f8e0b6"
}
この内容はお役に立ちましたか?