Splunk Evrensel İletici'den Azure Veri Gezgini'e veri alma
Önemli
Bu bağlayıcı, Microsoft Fabric'teki Gerçek Zamanlı Zeka'da kullanılabilir. Aşağıdaki özel durumlar için bu makaledeki yönergeleri kullanın:
- Gerekirse, KQL veritabanı oluşturma başlığındaki yönergeleri kullanarak veritabanları oluşturun.
- Gerekirse, Boş tablo oluşturma başlığındaki yönergeleri kullanarak tablolar oluşturun.
- Kopyalama URI'sindeki yönergeleri kullanarak sorgu veya alma URI'lerini alın.
- KQL sorgu kümesinde sorgu çalıştırma.
Splunk Evrensel İletici, Splunk Enterprise yazılımının birçok kaynaktan aynı anda veri almanızı sağlayan basit bir sürümüdür. Günlük verilerini ve makine verilerini çeşitli kaynaklardan toplayıp merkezi bir Splunk Enterprise sunucusuna veya Splunk Bulut dağıtımına iletmek için tasarlanmıştır. Splunk Evrensel İletici, veri toplama ve iletme işlemini basitleştiren bir aracı görevi görerek splunk dağıtımında önemli bir bileşendir. Azure Veri Gezgini, günlük ve telemetri verileri için hızlı ve yüksek oranda ölçeklenebilir veri keşfetme hizmetidir.
Bu makalede Kusto Splunk Evrensel İletici Bağlayıcısı'nı kullanarak kümenizdeki bir tabloya veri göndermeyi öğrenin. Başlangıçta bir tablo ve veri eşlemesi oluşturur, ardından Splunk'u tabloya veri göndermeye yönlendirir ve ardından sonuçları doğrularsınız.
Önkoşullar
- Splunk Evrensel İletici , günlüklerin kaynaklandığı makineye indirildi.
- Azure Veri Gezgini kümesi ve veritabanı. Küme ve veritabanı oluşturma.
- Docker , Kusto Splunk Evrensel İletici bağlayıcısını çalıştıran sistemde yüklüdür.
- Microsoft Entra hizmet sorumlusu. Microsoft Entra hizmet sorumlusu oluşturun.
Azure Veri Gezgini tablosu oluşturma
Splunk Evrensel İletici'den verileri almak için bir tablo oluşturun ve ardından hizmet sorumlusuna bu tabloya erişim verin.
Aşağıdaki adımlarda, tek sütunlu ()RawText adlı SplunkUFLogs bir tablo oluşturursunuz. Bunun nedeni Splunk Evrensel İletici'nin verileri varsayılan olarak ham metin biçiminde göndermesidir. Aşağıdaki komutlar web kullanıcı arabirimi sorgu düzenleyicisinde çalıştırılabilir.
Tablo oluşturma:
.create table SplunkUFLogs (RawText: string)Tablonun
SplunkUFLogsoluşturulduğunu ve boş olduğunu doğrulayın:SplunkUFLogs | countTablonuzu içeren veritabanıyla çalışma izni vermek için Önkoşullar'dan hizmet sorumlusunu kullanın.
.add database YOUR_DATABASE_NAME admins ('aadapp=YOUR_APP_ID;YOUR_TENANT_ID') 'Entra service principal: Splunk UF'
Splunk Evrensel İleticisini yapılandırma
Splunk Evrensel İletici'yi indirdiğinizde, ileticiyi yapılandırmak için bir sihirbaz açılır.
Sihirbazda, Alıcı Dizin Oluşturucu'nu Kusto Splunk Evrensel İletici bağlayıcısını barındıran sisteme işaret etmek üzere ayarlayın. Konak adı veya IP ve
9997bağlantı noktası için girin127.0.0.1. Hedef Dizin oluşturucuyu boş bırakın.Daha fazla bilgi için bkz . Splunk Enterprise için alıcıyı etkinleştirme.
Splunk Evrensel İletici'nin yüklü olduğu klasöre ve ardından /etc/system/local klasörüne gidin. İleticinin günlükleri okumasına izin vermek için inputs.conf dosyasını oluşturun veya değiştirin:
[default] index = default disabled = false [monitor://C:\Program Files\Splunk\var\log\splunk\modinput_eventgen.log*] sourcetype = modinput_eventgenDaha fazla bilgi için bkz . Inputs.conf ile dosyaları ve dizinleri izleme.
Splunk Evrensel İletici'nin yüklü olduğu klasöre ve ardından /etc/system/local klasörüne gidin. Kusto Splunk Evrensel İletici bağlayıcısını barındıran sistemin konak adı ve bağlantı noktası olan günlüklerin hedef konumunu belirlemek için outputs.conf dosyasını oluşturun veya değiştirin:
[tcpout] defaultGroup = default-autolb-group sendCookedData = false [tcpout:default-autolb-group] server = 127.0.0.1:9997 [tcpout-server://127.0.0.1:9997]Daha fazla bilgi için bkz . outputs.conf ile iletmeyi yapılandırma.
Splunk Evrensel İleticiyi yeniden başlatın.
Kusto Splunk Evrensel bağlayıcısını yapılandırma
Kusto Splunk Evrensel bağlayıcısını Azure Veri Gezgini tablonuza günlük gönderecek şekilde yapılandırmak için:
GitHub deposundan bağlayıcıyı indirin veya kopyalayın.
Bağlayıcının temel dizinine gidin:
cd .\SplunkADXForwarder\config.yml aşağıdaki özellikleri içerecek şekilde düzenleyin:
ingest_url: <ingest_url> client_id: <ms_entra_app_client_id> client_secret: <ms_entra_app_client_secret> authority: <ms_entra_authority> database_name: <database_name> table_name: <table_name> table_mapping_name: <table_mapping_name> data_format: csvAlan Açıklama ingest_urlAzure Veri Gezgini kümenizin alma URL'si. Bunu Azure portalında kümenizin Genel Bakış sekmesindeki Veri alımı URI'sinin altında bulabilirsiniz. https://ingest-<clusterName>.<region>.kusto.windows.netbiçiminde olmalıdır.client_idÖnkoşullar bölümünde oluşturulan Microsoft Entra uygulama kaydınızın istemci kimliği. client_secretÖnkoşullar bölümünde oluşturulan Microsoft Entra uygulama kaydınızın istemci gizli dizisi. authorityÖnkoşullar bölümünde oluşturulan Microsoft Entra uygulama kaydınızı barındıran kiracının kimliği. database_nameAzure Veri Gezgini veritabanınızın adı. table_nameAzure Veri Gezgini hedef tablonuzun adı. table_mapping_nameTablonuz için veri alımı eşlemesinin adı. Eşlemeniz yoksa bu özelliği yapılandırma dosyasından atlayabilirsiniz. Verileri daha sonra istediğiniz zaman çeşitli sütunlar halinde ayrıştırabilirsiniz. data_formatGelen veriler için beklenen veri biçimi. Gelen veriler ham metin biçiminde olduğundan, önerilen biçim ham metni varsayılan olarak sıfır dizinine eşleyen biçimidir csv.Docker görüntüsünü oluşturun:
docker build -t splunk-forwarder-listenerDocker kapsayıcısını çalıştırın:
docker run -p 9997:9997 splunk-forwarder-listener
Verilerin Azure Veri Gezgini'a alındığını doğrulayın
Docker çalıştırıldıktan sonra veriler Azure Veri Gezgini tablonuza gönderilir. Web kullanıcı arabirimi sorgu düzenleyicisinde bir sorgu çalıştırarak verilerin alındığını doğrulayabilirsiniz.
Verilerin tabloya alındığını doğrulamak için aşağıdaki sorguyu çalıştırın:
SplunkUFLogs | countVerileri görüntülemek için aşağıdaki sorguyu çalıştırın:
SplunkUFLogs | take 100