Splunk インテグレーションガイド

Project Description

Splunk インテグレーションガイド

 

本記事は米国PagerDuty社のサイトで公開されているインテグレーションガイドをそのまま日本語に翻訳したものです。日本語環境での動作を保証するわけではありません。原文はこちらを参照してください。


Splunkは、ネットワークトラフィック、Webサーバー、カスタムアプリケーション、アプリケーションサーバー、ハイパーバイザー、GPSシステム、株式市場フィード、ソーシャルメディア、既存の構造化データベースなど、ご想像以上のあらゆるソースからデータを収集し、索引付けします。

 

この統合により、Splunkのネイティブwebhookを使用してPagerDutyにアラートが送信されます。 以前のPythonベースの統合を使用したい場合は、ここで見つけることができます。

 

 

PagerDutyでの設定

 

  1. ConfigurationメニューからServicesを選択します。

 

2.Servicesページでの操作:インテグレーション用の新しいサービスを作成する場合は、+Add New Serviceボタンをクリックします。

既存のサービスにインテグレーションを追加する場合は、サービスの名前をクリックします。その後、Integrationsタブをクリックし、+New Integrationボタンをクリックします。

 

 

3.Integration Typeメニューからアプリケーションを選択し、Integration Nameにインテグレーション名を入力します。インテグレーションのための新しいサービスを作成する場合は、General Settingsで、新しいサービスのNameを入力します。次に、Incident Settingsで、新しいサービスのEscalation PolicyNotification Urgency、およびIncident Behaviorを指定します。

 

4.Add Service またはAdd Integration ボタンをクリックして、新しいインテグレーションを保存します。すると、サービスのIntegrationsページにリダイレクトされます。

 

5.新しいインテグレーションのIntegration URLをコピーします。

 

Splunkでの設定

 

1.まず、SplunkbaseからPagerDuty Incidents アプリをインストールする必要があります。 あなたは、ページの左側にある+をクリックしてボックスを最初にクリックすることによってアプリを見つけることができます。

 

 

  1. Splunk用のPagerDuty App for Splunkを検索し、Installをクリックします。

 

 

3.アプリケーションがインストールされたら、Settingsメニューに進み、Alert actionsを選択します。

 

 

  1. PagerDutyアプリが Enabledなっていることを確認し、Setup PagerDuty Incidentsをクリックします。

 

 

  1. PagerDutyサービスの Integration URLを指定されたフィールドに貼り付けます。

 

 

6.アラートを作成するSplunkで検索を実行します。 テストのために、Splunkの内部ログで、失敗したログイン試行を検索することをおすすめします:

“index = _internal component = UiAuth action = login status = failure”

 

  1. Save As をクリックし、Alertを選択します。

 

 

8.新しいアラートのタイトルを追加し、アラートをトリガーして新しいトリガーアクションを追加する条件を指定します。 Trigger ActionタイプとしてPagerDutyを選択します。 デフォルトでは、PagerDutyアプリを設定する際に設定した統合URLが通知されます。

 

 

インテグレーションをテストしてみる

 

インテグレーションの動作を簡単な検索、例えば上で紹介したような例でテストすることをおすすめします。

index=_internal component=UiAuth action=login status=failure

 

これにより、失敗したログイン試行があったときにいつでも結果が得られますし、簡単に状況を再現することができます。

 

検索条件をスケジュール実行するか、リアルタイムで実行するかどちらかに設定し、しきい値を低く設定します(例えば、結果の数が0以上になるように)。

 

別のブラウザまたはシークレットウィンドウでSplunkを開き、ログイン試行にわざと失敗してみます。しばらくすると、PagerDutyアラートが表示されます。

 

 

インシデントの詳細をクリックすると、アラートの内訳が表示され、Splunkで検索を表示するためのリンクが表示されます。

 

 

よくある質問

 

Splunkは複数のPagerDutyサービスにアラートを送信できますか?

 

はい。 PagerDutyで別のSplunkサービスに通知させたい場合は、新しいアラートを作成するときに、Trigger Actionsの下にあるオプションのIntegration URLフィールドに、そのサービスのインテグレーションURLを貼り付けることができます。 これは、PagerDuty Incidentsアプリを設定するときに設定されたグローバルなPagerDuty Integration URL 設定を上書きします。

 

 

Splunk検索で結果が生成されなくなったら、PagerDutyインシデントは解決されますか?

 

いいえ、現時点では、PagerDutyのインシデントはPagerDutyから解決されなければなりません。

 

PagerDutyはSplunkから着信したアラートをどのようにグループ化しますか?

 

メインサービスビューからEdit Serviceを選択すると、検索名、コンポーネント、ホスト、ソース別にインシデントをグループ化するか、オープンしているインシデントに着信した全アラートを添付するかを選択できます。

 

Project Details