Splunk Enterprise
是一個軟體平臺,可讓您同時擷取來自許多來源的數據。 Splunk 索引器會處理數據,並預設將其儲存在主要索引或指定的自定義索引中。 在 Splunk 中搜尋會使用索引數據來建立計量、儀錶板和警示。 Azure 資料總管是一項快速又可高度調整的資料探索服務,可用於處理記錄和遙測資料。
在本文中,您將瞭解如何使用 Azure Data Explorer Splunk 附加元件,將數據從 Splunk 傳送到叢集中的數據表。 您一開始會建立數據表和數據對應,然後指示 Splunk 將數據傳送至數據表,然後驗證結果。
下列案例最適合將數據內嵌至 Azure Data Explorer:
大量數據
:Azure Data Explorer 是建置來有效率地處理大量數據。 如果您的組織產生大量需要即時分析的數據,Azure Data Explorer 是適合的選擇。
時間序列數據
:Azure Data Explorer 處理時間序列數據時的 Excel,例如記錄、遙測數據和感測器讀數。 它會將數據組織在以時間為基礎的分割區中,讓您輕鬆執行以時間為基礎的分析和匯總。
即時分析
:如果您的組織需要來自數據流的即時深入解析,Azure Data Explorer 的近乎即時功能可能會很有説明。
Microsoft 帳戶或 Microsoft Entra 使用者身分識別。 不需要 Azure 訂用帳戶。
Azure 資料總管叢集和資料庫。
建立叢集和資料庫
。
Splunk Enterprise 9 或更新版本。
Microsoft Entra 服務主體。
建立 Microsoft Entra 服務主體
。
建立數據表和對應物件
在您擁有叢集和資料庫之後,請使用符合 Splunk 數據的架構來建立數據表。 您也會建立對應物件,用來將傳入數據轉換成目標數據表架構。
在下列範例中,您會建立名為 且具有四個數據行的
WeatherAlert
數據表:
Timestamp
、
Temperature
、
Humidity
和
Weather
。 您也會建立名為
WeatherAlert_Json_Mapping
的新對應,從傳入 json 擷取屬性,如所
path
註明,並將其輸出至指定的
column
。
在
Web UI 查詢編輯器
中,執行下列命令來建立資料表和對應:
建立資料表:
.create table WeatherAlert (Timestamp: datetime, Temperature: string, Humidity: string, Weather: string)
確認資料表 WeatherAlert 已建立且為空白:
WeatherAlert
| count
建立對應物件:
.create table WeatherAlert ingestion json mapping "WeatherAlert_Json_Mapping"
```[{ "column" : "Timestamp", "datatype" : "datetime", "Properties":{"Path":"$.timestamp"}},
{ "column" : "Temperature", "datatype" : "string", "Properties":{"Path":"$.temperature"}},
{ "column" : "Humidity", "datatype" : "string", "Properties":{"Path":"$.humidity"}},
{ "column" : "Weather", "datatype" : "string", "Properties":{"Path":"$.weather_condition"}}
使用 必要條件 中的服務主體來授與使用資料庫的許可權。
.add database YOUR_DATABASE_NAME admins ('aadapp=YOUR_APP_ID;YOUR_TENANT_ID') 'Entra App'
安裝Splunk Azure Data Explorer附加元件
Splunk 附加元件會與 Azure Data Explorer 通訊,並將數據傳送至指定的數據表。
下載 Azure Data Explorer 附加元件。
以系統管理員身分登入您的Splunk實例。
移至 [應用程式>管理應用程式]。
選取 [從檔案安裝應用程式],然後選取 [Azure Data Explorer 您下載的附加元件檔案。
請遵循提示來完成安裝。
選取 [立即重新啟動]。
移至 [儀錶板>警示動作] 並尋找 Azure Data Explorer 附加元件,確認已安裝附加元件。
以系統管理員身分登入您的Splunk實例。
移至儀錶板,並使用您稍早建立的索引進行搜尋。 例如,如果您建立名為 的 WeatherAlerts索引,請搜尋 index="WeatherAlerts"。
選取 [ 另存新>檔警示]。
指定警示所需的名稱、間隔和條件。
在 [觸發程序動作] 底下,選取 [新增動作>傳送至 Microsoft Azure Data Explorer]。
設定連線詳細數據,如下所示:
Description
叢集擷取 URL
指定 Azure Data Explorer 叢集的擷取 URL。 例如: https://ingest-<mycluster>.<myregion>.kusto.windows.net 。
用戶端識別碼
指定您稍早建立之 Microsoft Entra 應用程式的用戶端識別碼。
用戶端祕密
指定您稍早建立之 Microsoft Entra 應用程式的客戶端密碼。
租用戶識別碼
指定您稍早建立之 Microsoft Entra 應用程式的租用戶標識碼。
指定您要傳送資料的資料庫名稱。
指定您要傳送資料的數據表名稱。
指定您稍早建立的對應物件名稱。
拿掉額外欄位
選取此選項可從傳送至叢集的數據中移除任何空白欄位。
選取此選項可在擷取期間啟用持久性模式。 設定為 true 時,擷取輸送量會受到影響。
確認數據已內嵌至 Azure Data Explorer
觸發警示之後,數據就會傳送至您的 Azure Data Explorer 數據表。 您可以在 Web UI 查詢編輯器中執行查詢,以確認數據已擷取。
執行下列查詢,以確認資料已內嵌到資料表中:
WeatherAlert
| count
執行下列查詢以檢視資料:
WeatherAlert
| take 100
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應
