Connecteur Splunk
Documentation
- Prérequis
- Sélection de la source de données Splunk
- Authentification
- Liste des index Splunk
- Champ de recherche Splunk
Prérequis
- Un serveur Splunk avec les identifiants de connexion (voir ci-après)
Sélection de la source de données Splunk
DigDash Enterprise vous permet de récupérer des informations provenant de votre compte Splunk.
Sélectionnez le type de rapport souhaité dans la barre d'outils en bas de la page.
Capture : Sélection de la source de données Salesforce via la barre d’outils
OU sélectionnez la source de données souhaitée dans l'onglet Source de données figurant dans la barre d'outils en haut de la page puis cliquez sur Nouvelle source dans le gestionnaire de source de données et choisissez Splunk.
Capture : Sélection de la source de données Splunk via l’onglet Source de données
Authentification
Capture : Authentification Splunk via DigDash
Le mode d’authentification de Digdash pour accéder à Splunk exige les champs de connexion suivants :
- URL du serveur : il s’agit de renseigner l’URL du serveur Splunk sous la forme <protocole>://<hôte>:<port>
- Utilisateur : il s’agit de votre nom d’utilisateur Splunk.
- Mot de passe : il s’agit de votre mot de passe Splunk.
Entrez les informations dans les champs du connecteur prévus à cet effet.
Liste des index Splunk
Une liste déroulante dans l’interface permet d’afficher un aperçu de tous les index du serveur Splunk après authentification.
Capture : Liste déroulante affichant tous les index du serveur Splunk après authentification
Champ de recherche Splunk
La récupération des informations Splunk via DigDash s’effectue via lignes de commande dans la zone de recherche.
Capture : Zone de recherche Splunk
La syntaxe se rapproche beaucoup de la manière dont la recherche fonctionne sur la version Web
http://docs.splunk.com/Documentation/SplunkCloud/latest/SearchReference/CLIsearchsyntax
Des éléments sont à prendre en compte cependant.
Commande search
Les recherches Splunk doivent impérativement débuter par la commande search. Cependant, vous pouvez omettre (ou pas) cette commande, puisque la commande search est prise en compte implicitement par DigDash lors de l’écriture de votre recherche Splunk.
Exemple :
La saisie de la recherche
« index=_internal * | head 10 »
est équivalente à la recherche
« search index=_internal * | head 10 »
Sélection de l’index
La sélection d’un index insère automatiquement le filtre « index=<index-name> » dans votre requête après la commande search.
Exemples : On considère que l’index « _internal » est sélectionné dans la liste des index.
Capture : Sélection de l’index « _internal »
1/ La saisie de la recherche
« * | head 10 »
est équivalente à la recherche
« search index=_internal * | head 10 »
2/ La saisie de la recherche
« search * | head 10 »
est équivalente à la recherche
« search index=_internal * | head 10 »
Dans le cas où aucun index n’est sélectionné, vous pouvez directement indiquer le nom de l’index dans votre recherche.
Exemple : On considère qu’aucun index n’est sélectionné dans la liste des index.
Capture : Aucun index n’est sélectionné
La saisie de la recherche
« index=_internal * | head 10 »
est équivalente à la recherche
« search index=_internal * | head 10 »
Dates
Tout comme la version Web, il vous est possible de filtrer vos résultats sur une période donnée en mentionnant deux filtres dans votre recherche : earliest et latest.
Si aucune mention de ces deux filtres n’est mentionnée dans votre recherche, ce sont les filtres earliest=-1h et latest=now qui sont pris en compte.
Il vous est possible de renseigner, comme dans la version web, deux types de période de temps :
- Par des dates absolues
- Par des périodes de temps relatives
Vous pouvez retrouver les différentes syntaxes dans la documentation officielle Splunk :
https://docs.splunk.com/Documentation/Splunk/7.1.2/Search/Specifytimemodifiersinyoursearch
| Valeurs entrées | Valeurs prises en compte | ||
| earliest | latest | earliest | latest |
| 10/19/2017:0:0:0 | 10/27/2017:0:0:0 | 10/19/2017:0:0:0 | 10/27/2017:0:0:0 |
| 10/19/2017:0:0:0 | Ø | 10/19/2017:0:0:0 | now |
| Ø | Ø | -1h | now |
Tableau : dates prises en compte pour la recherche Splunk
Nombre de lignes retournées
Par défaut, et par soucis de rapidité de réponse, le nombre de lignes retourné est de 10 000 maximum. Il vous est cependant possible de personnaliser ce nombre en incluant dans votre recherche l’opération « head <integer> » comme suit :
Exemple : la saisie de la recherche « search index=_internal * | head 10 » retourne les 10 premiers résultats de la recherche.