Guide d'intégration Splunk

Avantages de Splunk + PagerDuty

• Envoyez des données d'événements richement formatées de Splunk à PagerDuty, vous permettant d'engager les bonnes personnes, d'accélérer la résolution et d'améliorer l'apprentissage.
• Envoyez des charges utiles personnalisées dans PagerDuty, permettant des alertes et des analyses plus robustes.
• Créez des incidents d’urgence élevée et faible en fonction de la gravité de l’événement à partir de la charge utile de l’événement Splunk.

Comment ça marche

• Cette intégration utilise les webhooks natifs de Splunk pour envoyer des événements à PagerDuty.
• Les événements de Splunk déclencheront un nouvel incident sur le PagerDuty correspondant service , ou grouper comme alertes dans un incident existant.

Exigences

• Dans Splunk Cette intégration prend en charge Splunk Enterprise et Cloud. À partir de la version 4, des autorisations supplémentaires sont requises par Splunk. Tout utilisateur Splunk souhaitant enregistrer des recherches Splunk sous forme d'alertes envoyant des événements à PagerDuty doit disposer du rôle list_storage_passwords. documentation officielle ).
• Dans PagerDuty : Cette intégration nécessite un rôle de base de Gestionnaire ou supérieur pour être configurée. Si vous ne savez pas quel rôle vous avez ou si vous souhaitez ajuster vos autorisations, consultez nos sections sur Vérification de votre rôle d'utilisateur ou Modification des rôles des utilisateurs.

Procédure d'intégration

Dans PagerDuty

Il existe deux manières de s'intégrer à PagerDuty: via routage global des événements ou directement via un intégration sur un service PagerDuty L'intégration avec le routage global des événements peut être utile si vous souhaitez créer différentes règles de routage en fonction des événements provenant de l'outil intégré. L'intégration directe avec un service PagerDuty peut également être avantageuse si vous n'avez pas besoin de router les alertes de l'outil intégré vers différents intervenants en fonction de la charge utile de l'événement.

Intégration avec le routage global des événements

1. De la Menu d'automatisation, sélectionnez Règles de l'événement et cliquez sur votre Ensemble de règles globales par défaut.
2. Sur l'écran Règles de l'événement, copiez votre Clé d'intégration.
   
   
3. Une fois que vous avez votre clé d’intégration, le URL d'intégration sera:
   https://events.pagerduty.com/x-ere/[VOTRE_CLÉ_D'INTÉGRATION_ICI]

Vous pouvez maintenant passer à la Dans Splunk section ci-dessous.

Intégration avec un service PagerDuty

1. De la Menu des services, sélectionnez Annuaire des services.
2. Si vous ajoutez votre intégration à un service existant , cliquez sur le nom du service auquel vous souhaitez ajouter l'intégration. Sélectionnez ensuite l'option Onglet Intégrations et cliquez sur le Ajouter une nouvelle intégration.
   
   Si vous créez un nouveau service pour votre intégration, veuillez lire notre documentation dans la section Configuration des services et des intégrations et suivez les étapes décrites dans le Créer une nouvelle section de service.
3. Sélectionnez Splunk dans le Type d'intégration menu.
4. Cliquez Ajouter un service ou Ajouter une intégration Pour enregistrer votre nouvelle intégration, vous serez redirigé vers l'onglet « Intégrations » de votre service.
5. Recherchez votre intégration dans la liste et cliquez sur ∨ à droite. Copiez le URL d'intégration et conservez-le dans un endroit sûr pour une utilisation ultérieure.

Dans Splunk

1. Cliquez sur le + dans le menu de gauche pour télécharger l'application PagerDuty Incidents depuis Splunkbase.
2. Rechercher le Application PagerDuty pour Splunk, puis cliquez sur Installer.
3. Une fois l'application PagerDuty installée, accédez à l' Paramètres menu et choisir Actions d'alerte .
4. Assurez-vous que le statut de l'application PagerDuty est Activé puis cliquez sur Configuration de PagerDuty sur la droite.
5. Collez le URL d'intégration (générée dans le Dans la section PagerDuty (ci-dessus) pour votre service PagerDuty dans le champ fourni.
   
6. Exécutez la recherche dans Splunk pour laquelle vous souhaitez créer une alerte. Nous vous recommandons de tester en consultant les journaux internes de Splunk pour identifier les tentatives de connexion infructueuses : index=_composant interne=UiAuth action=état de connexion=échec
7. Cliquez sur le Enregistrer sous dans le menu déroulant à droite et sélectionnez Alerte .
8. Ajoutez un titre à la nouvelle alerte, spécifiez les conditions de déclenchement et ajoutez une nouvelle action de déclenchement. Sélectionnez « PagerDuty » comme type d'action de déclenchement et cliquez sur « Enregistrer ». Par défaut, l'URL d'intégration que vous avez définie lors de la configuration de l'application PagerDuty (étape 5 ci-dessus) sera notifiée. Le titre sera utilisé pour l'incident dans PagerDuty.
9. Afin d'activer la recherche sur les alertes Splunk, saisissez ce qui suit dans le champ Détails personnalisés champ:
   
10. Vous pouvez éventuellement ajouter des détails personnalisés en fonction de votre cas d'utilisation. Cela permet aux utilisateurs d'astreinte de disposer de davantage d'informations pour résoudre une alerte. Sur l'écran d'incident PagerDuty , accédez à l'onglet Détails section et entrez vos informations personnalisées dans le Détails personnalisés champ pour les informations envoyées. Note :Ceci doit être dans un format JSON valide.

Tester votre intégration

Nous vous recommandons de tester votre intégration avec une recherche simple et facile à manipuler, comme celle référencée ci-dessus :

index=_composant interne=UiAuth action=état de connexion=échec

Cela produira des résultats à chaque tentative de connexion infructueuse, et cette situation est facile à reproduire. Configurez votre recherche pour qu'elle s'exécute de manière planifiée ou en temps réel, et définissez un seuil bas (par exemple, un nombre de résultats supérieur à 0). Ouvrez Splunk dans un autre navigateur ou en mode navigation privée et effectuez quelques tentatives de connexion infructueuses. Peu après, vous devriez voir un nouvel incident PagerDuty .

En cliquant sur les détails de l'incident, vous obtiendrez une ventilation de l'alerte et un lien pour afficher la recherche dans Splunk.

Création d'un déclencheur personnalisé - Splunk Enterprise uniquement

Nous allons créer un détail personnalisé pour accompagner la même recherche simple référencée ci-dessus :

index=_composant interne=UiAuth action=état de connexion=échec

En tant qu'étape supplémentaire à l'étape 9, nous devrons remplir le Détails personnalisés Section de l'action de déclenchement PagerDuty . Comme indiqué précédemment, il doit s'agir d'un fichier JSON valide. Par exemple :

Jeton d'alerte client et être utilisé, vous pouvez en apprendre davantage ici . Les alertes JSON valides apparaîtront dans PagerDuty Détails section sous forme de tableau :

Un JSON non valide apparaîtra dans PagerDuty Détails section sous forme de chaîne

FAQ

Existe-t-il d’autres moyens par lesquels Splunk peut envoyer des alertes à plusieurs services PagerDuty ?

Oui. Outre l'utilisation du champ URL d'intégration sous « Actions de déclenchement », il est possible d'intégrer des règles d'événement globales à l'étape 5 et d'acheminer vers différents services en fonction de ces règles.

Les incidents PagerDuty seront-ils résolus une fois que la recherche Splunk ne produira plus de résultats ?

Non. À ce stade, l'incident PagerDuty doit être résolu à partir de PagerDuty.

Comment PagerDuty regroupe-t-il les alertes entrantes de Splunk ?

Si vous sélectionnez Modifier le service à partir de la vue principale du service, vous pourrez choisir de regrouper les incidents par nom de recherche, composant, hôte, source ou de joindre toutes les alertes entrantes à un incident ouvert.

L'intégration fonctionne-t-elle avec Search Head Clustering ?

Oui, c'est le cas. La version 2.0.3 ou supérieure est requise.