Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Este conector se puede usar en Inteligencia en tiempo real en Microsoft Fabric. Use las instrucciones de este artículo con las siguientes excepciones:
- Si es necesario, cree una bases de datos con las instrucciones de Crear una base de datos KQL.
- Si es necesario, cree tablas con las instrucciones de Crear una tabla vacía.
- Obtenga los URI de consulta o ingesta mediante las instrucciones de Copiar URI.
- Ejecute consultas en un conjunto de consultas KQL .
Splunk Universal Forwarder es una versión ligera del software de Splunk Enterprise que permite ingerir datos de muchos orígenes simultáneamente. Está diseñado para recopilar y reenviar datos de registro y datos de máquina de varios orígenes a un servidor Splunk Enterprise central o una implementación de Splunk Cloud. Splunk Universal Forwarder actúa como agente que simplifica el proceso de recopilación y reenvío de datos, lo que lo convierte en un componente esencial en una implementación de Splunk. El Explorador de datos de Azure es un servicio de exploración de datos altamente escalable y rápido para datos de telemetría y registro.
En este artículo, aprenderá a usar kusto Splunk Universal Forwarder Connector para enviar datos a una tabla del clúster. Inicialmente, se crea una tabla y una asignación de datos, se dirige a Splunk para enviar datos a la tabla y, a continuación, validar los resultados.
Requisitos previos
- Splunk Universal Forwarder descargado en la misma máquina donde se originan los registros.
- Un clúster y la base de datos de Azure Data Explorer. Cree un clúster y una base de datos.
- Docker instalado en el sistema que ejecuta el conector Kusto Splunk Universal Forwarder.
- Una entidad de servicio de Microsoft Entra. Crear una entidad de servicio de Microsoft Entra.
Creación de una tabla de Azure Data Explorer
Cree una tabla para recibir los datos de Splunk Universal Forwarder y, a continuación, conceda a la entidad de servicio acceso a esta tabla.
En los pasos siguientes, creará una tabla denominada SplunkUFLogs con una sola columna (RawText). Esto se debe a que Splunk Universal Forwarder envía datos en formato de texto sin formato de forma predeterminada. Los comandos siguientes se pueden ejecutar en el editor de consultas de interfaz de usuario web.
Creación de una tabla:
.create table SplunkUFLogs (RawText: string)Compruebe que la tabla
SplunkUFLogsse creó y está vacía:SplunkUFLogs | countUse la entidad de servicio de los requisitos previos para conceder permiso para trabajar con la base de datos que contiene la tabla.
.add database YOUR_DATABASE_NAME admins ('aadapp=YOUR_APP_ID;YOUR_TENANT_ID') 'Entra service principal: Splunk UF'
Configuración del reenviador universal de Splunk
Al descargar Splunk Universal Forwarder, se abre un asistente para configurar el reenviador.
En el asistente, establezca el indexador receptor para que apunte al sistema que hospeda el conector Kusto Splunk Universal Forwarder. Escriba
127.0.0.1para el nombre de host o la dirección IP y9997para el puerto. Deje en blanco el indexador de destino.Para obtener más información, consulte Habilitación de un receptor para Splunk Enterprise.
Vaya a la carpeta donde está instalado Splunk Universal Forwarder y, a continuación, a la carpeta /etc/system/local. Cree o modifique el archivo inputs.conf para permitir que el reenviador lea los registros:
[default] index = default disabled = false [monitor://C:\Program Files\Splunk\var\log\splunk\modinput_eventgen.log*] sourcetype = modinput_eventgenPara obtener más información, consulte Supervisión de archivos y directorios con inputs.conf.
Vaya a la carpeta donde está instalado Splunk Universal Forwarder y, a continuación, a la carpeta /etc/system/local. Cree o modifique el archivo outputs.conf para determinar la ubicación de destino de los registros, que es el nombre de host y el puerto del sistema que hospeda el conector Kusto Splunk Universal Forwarder:
[tcpout] defaultGroup = default-autolb-group sendCookedData = false [tcpout:default-autolb-group] server = 127.0.0.1:9997 [tcpout-server://127.0.0.1:9997]Para obtener más información, consulte Configuración del reenvío con outputs.conf.
Reinicie el reenviador universal de Splunk.
Configuración del conector Kusto Splunk Universal
Para configurar el conector Kusto Splunk Universal para enviar registros a la tabla de Azure Data Explorer:
Descargue o clone el conector desde el repositoriode GitHub.
Vaya al directorio base del conector:
cd .\SplunkADXForwarder\Edite el config.yml para contener las siguientes propiedades:
ingest_url: <ingest_url> client_id: <ms_entra_app_client_id> client_secret: <ms_entra_app_client_secret> authority: <ms_entra_authority> database_name: <database_name> table_name: <table_name> table_mapping_name: <table_mapping_name> data_format: csvCampo Descripción ingest_urlDirección URL de ingesta del clúster de Azure Data Explorer. Puede encontrarlo en Azure Portal en el URI de ingesta de datos en la pestaña Información general del clúster. Debe tener este formato: https://ingest-<clusterName>.<region>.kusto.windows.net.client_idEl identificador de cliente del registro de la aplicación Microsoft Entra creado en la sección Requisitos previos. client_secretEl secreto de cliente del registro de la aplicación Microsoft Entra creado en la sección requisitos previos. authorityEl identificador del inquilino que contiene el registro de aplicación de Microsoft Entra creado en la secciónRequisitos previos. database_nameNombre de la base de datos de Azure Data Explorer. table_nameEl nombre de la tabla de destino de Azure Data Explorer. table_mapping_nameNombre del asignación de datos de ingesta para la tabla. Si no tiene una asignación, puede omitir esta propiedad del archivo de configuración. Siempre puede analizar los datos en varias columnas más adelante. data_formatFormato de datos esperado para los datos entrantes. Los datos entrantes están en formato de texto sin formato, por lo que el formato recomendado es csv, que asigna el texto sin formato al índice cero de forma predeterminada.Compile la imagen de Docker:
docker build -t splunk-forwarder-listenerEjecute el contenedor de Docker:
docker run -p 9997:9997 splunk-forwarder-listener
Comprobación de que los datos se ingieren en Azure Data Explorer
Una vez que se ejecuta Docker, los datos se envían a la tabla de Azure Data Explorer. Puede comprobar que los datos se ingieren ejecutando una consulta en el editor de consultas de interfaz de usuario web.
Ejecute la consulta siguiente para comprobar que los datos se ingieren en la tabla:
SplunkUFLogs | countEjecute la siguiente consulta para ver los datos:
SplunkUFLogs | take 100