Opsgenie を Splunk と統合する

Splunk アラートは、特定のイベントの監視と応答に使用できます。アラートは、保存された検索を使用して、リアルタイムまたはスケジュールに従ってイベントを検索します。検索結果が特定の条件を満たすと、アラートがトリガーされます。アラートアクションは、アラートがトリガーされたときに応答するために使用できます。

Opsgenie は Splunk ユーザーに何を提供しますか?

Opsgenie は Splunk との双方向のインテグレーションを提供します。Splunk の検索およびレポートアプリでは、ユーザーはデータの検索、データモデルとピボットの作成、検索およびピボットのレポートとしての保存、アラートの設定、ダッシュボードの作成を行えます。Opsgenie アラートアプリを通じて、Splunk アラートを Opsgenie に転送します。Splunk インテグレーションにおいて、Opsgenie はこれらのアラートのディスパッチャーとして機能して、オンコールスケジュールに基づいて通知する適切な担当者を決定します。メール、テキストメッセージ (SMS)、電話、iOS と Android のプッシュ通知によって通知し、アラートが確認されるかクローズされるまでアラートをエスカレートします。OEC (Opsgenie Edge Connector) を通じて、Opsgenie アラートを Splunk に追加のインデックス作成および検索イベントとして転送できます。

統合の機能性

Opsgenie には Splunk 固有のアラートアプリがあり、Splunk アラートを Opsgenie に送信します。Opsgenie には、Splunk インテグレーション固有の API もあり、Splunk は Opsgenie アラートアプリを介してアラートを Opsgenie に送信し、Opsgenie はアラートの自動作成を処理します。
Opsgenie アラートの Splunk イベントの作成が有効になっている場合、アラート固有のアクション ([アラートの作成]、[アラートの承認] など) が OECを通じてイベントとして Splunk に送信されます。

Opsgenie で Splunk インテグレーションを追加する

Opsgenie の Free プランまたは Essentials プランを使用している、または Jira Service Management の Standard プランで Opsgenie を使用している場合は、チームダッシュボードからのみこの統合を追加できます。このプランでは、[設定] の [統合] ページが利用できません。

[チーム] に移動して自分のチームを選択します。
左側のナビゲーションで [統合] を選択し、[統合を追加] を選択します。

統合をチームダッシュボードから追加すると、そのチーム統合の所有者になります。Opsgenie では、この統合を通じて受信したアラートはそのチームのみに割り当てられます。このセクションの残りの手順に従って、統合を設定してください。

[設定] > [統合] の順に移動します。Splunk を検索して [追加] を選択します。
[応答者] フィールドによって Splunk アラートの通知先を指定します。入力し始めると、オートコンプリートの候補が表示されます。
API キーをコピーします。
[Save Integration (統合の保存)] を選択します。

Splunk での設定

Splunk で、Splunkbase から Opsgenie アプリをインストールします。

2. インストール後、[アプリ] に移動し、[セットアップ] をクリックして Opsgenie アプリを設定します。

3. 「Opsgenie での Splunk インテグレーションを追加する」の章で以前コピーした API キーを貼り付けます。

API キーのアップデート

Splunk Cloud を使用していて、この手順で設定した API キーをアップデートする必要がある場合は、Splunk サポートケースを提出してアプリをアンインストールしてください。

4. Splunk で検索を実行して、アラートを作成します。

5. [ 名前を付けて保存 ] をクリックし、ドロップダウンリストから [アラート] を選択します。

6. アラートのタイトルを入力し、条件を指定します。

7. [+ アクションを追加] ボタンをクリックしてドロップダウンリストにアクセスし、[Opsgenie] を選択します。

8. [保存] をクリックします。

OEC を介した統合

Opsgenie の OEC と Splunk スクリプトを使用して Splunk のアラートをアップデートします。これによって、独自のスクリプトや機能をデプロイして提供された機能を変更し、カスタマイズしたアクションを Splunk 上で実行できます。

Splunk インテグレーションパッケージを使用するには、以下のセクションのステップを最後まで実行します。

OEC の最新バージョンをダウンロードする

Splunk パッケージの最新バージョンをダウンロードするには、oec-scripts リポジトリの readme ファイルを使用してください。

インストール

Red Hat ベースのディストリビューションの場合

次のコマンドを実行します。rpm -i opsgenie-splunk-<your_version>.rpm

Debian ベースのディストリビューションの場合

次のコマンドを実行します。dpkg -i opsgenie-splunk-<your_version>.deb

Windows の場合

OEC パッケージを含む Opsgenie インテグレーションの zip ファイルをディレクトリ内に解凍します (C:\opsgenie\oec は優先パスです)。Windows に OEC をインストールするには、こちらの指示に従います。
OEC の実行方法について詳しくは、OEC の実行のドキュメントを参照してください。

Splunk でアクションを実行できるようにするには、OEC で設定ファイルから設定パラメーターを取得します。設定ファイルは、/home/opsgenie/oec/conf/conf/config.json の下にあり、Windows の場合は C:\opsgenie\oec\conf\config.json です

OEC 用の Splunk インテグレーションの設定

Splunk インテグレーションに OEC ユーティリティを使用するには、統合設定で [OEC 経由で送信] を使用します。
Splunk に関する設定はオプションです。[OEC 経由で送信] を選択した場合、OEC 設定ファイルで設定できます。

Splunk Cloud 用の Splunk インテグレーションの設定

Splunk Cloud を使用している場合、Opsgenie が Splunk Cloud インスタンスにイベントを配信できるようになりました。
[OEC 経由で送信] を選択せず、対応するフィールドに Splunk Cloud URL と Splunk トークンを入力してください。Splunk Cloud URL とポートを入力してください 。

Splunk での設定

Splunk に管理者としてログインします。
ホームページから、[Add Data (データの追加)] を選択します。

3. 下から [監視] を選択します。

4. データ入力オプションから、[HTTP Event Collector (HTTP イベントコレクター)] を選択して新しいイベントコレクターに名前を付けます。

5. 必要な場合を除いて、残りの手順を変更せずに完了します。最後の手順で、Splunk によって提供されたトークン値を書き留めます。

6. HTTP 経由のデータ入力を有効にするには、上部バーから [ 設定 ] > [データ入力] の順に選択し、[HTTP イベントコレクター] に移動します。その後、[グローバル設定] メニューで [すべてのトークン] が有効に設定されていることを確認します。

これでコレクターが設定されました。Opsgenie がアラート関連のアクションを発行するたびに、Splunk がイベントを作成します。

OEC 設定

OEC の実行方法について詳しくは、OEC の実行のドキュメントを参照してください。

Splunk でイベントを作成できるように、OEC は統合設定から設定パラメーターを取得します。

設定パラメーター	説明	場所
Splunk URL	ポートを含む Splunk HTTP イベントコレクターサーバーの URL。例: http://<splunk_server>:	/home/opsgenie/oec/conf/config.json
Splunk トークン	Splunk HTTP イベントコレクターデータ入力のトークン	/home/opsgenie/oec/conf/config.json
SSL の検証	SSL 証明書の検証に失敗すると、Splunk サーバーへのリクエストが失敗することがあります。SSL 証明書を検証しないことを選択できます。デフォルトは false です。	/home/opsgenie/oec/conf/config.json

Opsgenie の Splunk フィールドとドラッグ可能なフィールドから送信されるペイロードのサンプル

以下の内容の結果フィールドは、検索条件に一致する行のフィールドによって異なります。そのため、Opsgenie では利用可能なフィールドに結果オブジェクトの一般的なフィールドを提供します。一般的なフィールドの例には、Raw、Index、Serial、Source Type などがあります。

また、結果オブジェクトからカスタムフィールドを抽出できるようにするために、使用可能なフィールドに [結果オブジェクト] も追加しました。

たとえば、結果オブジェクトの date_month フィールドをアラートに配置するには、{{result.date_month}} で問題が解決されます。

アラートのペイロードを作成します。

JSON

{
    "session_key": "r41vK7psTN9iIp1HQXqgNxTHPz2AW_Ee3ELbdYM4FBqiBbI7L6f82o6f6IENt6Q_Xdq2V4jBSkjkyIfXIm56xbbcFcpWlcJNB0ZUZaezsImsTQ2lGWH26yiZ8l854Or8SPETrWuVgTKVeC",
    "search_name": "fail",
    "results_link": "http://Tuba-MacBook-Pro.local:8000/app/search/search?q=%7Cloadjob%20rt_scheduler__admin__search__fail_at_1464802733_32.0%20%7C%20head%201%20%7C%20tail%201&earliest=0&latest=now",
    "app": "search",
    "sid": "rt_scheduler__admin__search__fail_at_1464802733_32.0",
    "configuration": {
        "api_url": "http://4kmm916oxm9m.runscope.net"
    },
    "server_host": "Tuba-MacBook-Pro.local",
    "owner": "admin",
    "results_file": "/Applications/Splunk/var/run/splunk/dispatch/rt_scheduler__admin__search__fail_at_1464802733_32.0/per_result_alert/tmp_0.csv.gz",
    "server_uri": "https://127.0.0.1:8089",
    "result": {
        "date_month": "may",
        "index": "main",
        "_indextime": "1464802756",
        "date_minute": "15",
        "date_hour": "0",
        "splunk_server": "Tuba-MacBook-Pro.local",
        "date_mday": "11",
        "sourcetype": "secure",
        "source": "tutorialdata copy 2.zip:./www1/secure.log",
        "date_second": "2",
        "_serial": "0",
        "_sourcetype": "secure",
        "date_year": "2016",
        "eventtype": "",
        "_kv": "1",
        "timeendpos": "25",
        "timestartpos": "4",
        "linecount": "1",
        "date_zone": "local",
        "date_wday": "wednesday",
        "punct": "____::__[]:________...___",
        "_raw": "Thu May 11 2016 00:15:02 www1 sshd[4747]: Failed password for invalid user jabber from 118.142.68.222 port 3187 ssh2",
        "_eventtype_color": "",
        "_confstr": "source::tutorialdata copy 2.zip:./www1/secure.log|host::Tuba-MacBook-Pro.local|secure",
        "_time": "1462914902",
        "host": "Tuba-MacBook-Pro.local"
    }
}

Splunk から送信されるペイロードのサンプル

JSON

{ 
    "alertDetails":{ 

    },
    "customerDomain":"opsgenie",
    "sendViaMarid":false,
    "alertId":"2ce35c31-a8e1-4be5-a781-110564a45e75-1568102450408",
    "url":"http://localhost:8088",
    "type":"Splunk",
    "alert":{ 
        "alertId":"2ce35c31-a8e1-4be5-a781-110564a45e75-1568102450408"
    },
    "source":null,
    "token":"4c40855d-a361-4a9b-984f-0ab46c91a35f",
    "params":{ 
        "alertDetails":{ 

        },
        "customerDomain":"opsgenie",
        "sendViaMarid":false,
        "alertId":"2ce35c31-a8e1-4be5-a781-110564a45e75-1568102450408",
        "source":null,
        "url":"http://localhost:8088",
        "integrationName":"Splunk",
        "alert":{ 
            "alertId":"2ce35c31-a8e1-4be5-a781-110564a45e75-1568102450408"
        },
        "integrationId":"c345dce0-50e3-4498-9433-1fddd3f4f1fd",
        "token":"4c40855d-a361-4a9b-984f-0ab46c91a35f",
        "integrationType":"Splunk",
        "action":"Create",
        "mappedActionV2":{ 
            "extraField":"",
            "name":"createEvent"
        },
        "type":"Splunk",
        "customerId":"5035e5cd-4791-4995-9154-037027f8e0b6"
    },
    "action":"Create",
    "mappedActionV2":{ 
        "extraField":"",
        "name":"createEvent"
    },
    "integrationId":"c345dce0-50e3-4498-9433-1fddd3f4f1fd",
    "integrationType":"Splunk",
    "integrationName":"Splunk",
    "customerId":"5035e5cd-4791-4995-9154-037027f8e0b6"
}

この内容はお役に立ちましたか?

正確ではなかった

明確ではなかった

関係なかった

さらにヘルプが必要ですか?

アトラシアンコミュニティをご利用ください。

コミュニティに質問