Splunk是一个数据平台,允许开发人员和组织在安全最佳实践、DevOps和工作流程优化中利用更多的数据。它通过可定制的仪表盘和表格使数据更容易被人阅读,便于修改并与你的团队或客户分享。
我们最近在LinodeMarketplace中添加了Splunk,因此您可以轻松部署并开始构建您的自托管数据存储。您还可以为 Linode 帐户管理和事件创建高级监控,如跟踪维护事件或应用程序用户活动。
我们的开发人员体验团队专注于集成,使 Linode 更容易与支持工作负载的现有工具配合使用,包括LinodeTerraform Provider。该团队还为Splunk 开发了 LinodeAdd-On,允许您使用 Linode API 提取信息以自定义帐户监控。收集有关账户和计算实例的实时数据,包括创建、调整大小、登录、发票和其他通知。Splunk 附加组件确实依赖于Linode API,该 API 有大量的支持文档可供入门。
在 Marketplace 上部署 Splunk 实例后,以下是使用 Linode Splunk 附加组件的三个想法。 Splunk 是一款完美的应用程序:
- 创建一个可定制的某些Linode事件的日志
- 为你的Linode账户设置账户/用户监控
- 跟踪维修通知
创建 Splunk 帐户并部署 SplunkMarketplace 应用程序时,您将自动获得 60 天的免费试用期,其中包括 Splunk Enterprise 中的功能。试用期结束后,您可以继续使用免费版本或注册企业许可证。
使用Linode和Splunk
在 Linode 云管理器的配置文件下设置只读 API 令牌。您可以使用 API 令牌在 Splunk 中为以下事件创建不同的输入:
- Linode账户发票
- Linode账户支付
- Linode账户事件
- Linode服务转移
- Linode账户登录
- Linode账户通知
接下来,你可以为每个输入创建自定义查询,以搜索和跟踪你要找的信息。
追踪不同的事件
账户事件端点可以追溯导入90天以前的事件,但是一旦你在Splunk实例中保存了信息,你就可以收集实时数据,这些数据将被存储在与你的云基础设施相关的数据仓库中。
要查看所有Linode事件的时间线或日志,请输入 linode_account_events 作为你的资源类型,并根据你想知道的内容来定制字段。
如果你想跟踪一个特定类型的事件,你可以将搜索范围缩小到 action=linode_create.
Monitoring 用户活动
无论你是有多个用户以不同的权限共享一个Linode账户,还是你想要一个额外的账户监控以确保账户信息不被泄露,都可以通过Splunk来实现。
这方面的基本功能是跟踪谁在登录,他们什么时候登录,以及他们的IP地址,这样你就可以寻找任何登录行为的异常值。这是一个快速将你的搜索转换为表格的好例子。
为了跟踪不仅仅是用户登录,你需要创建和搜索一个事件输入。在你的搜索查询中,添加 username 以看到所有事件旁边的用户名。 输入。要将输出范围缩小到特定的用户,请添加 | spath username | search username=your_user | 来查看该用户的所有事件。
创建这样的日志并知道如何改变查询,可以帮助你在出现问题时排除故障,以及同事(或客户)采取的行动,这样你就可以得到重现或修复问题的初步步骤。
维修通知
要获取维护通知的一般日志,请创建一个通知端点并进行一般搜索,以查看过去有关 Linode 维护的消息。在此基础上,您可以按严重性、标签或通知 API 端点列表中的其他端点缩小搜索范围。
Linode API 在账户操作方面非常强大。将其与使用 Splunk 获取历史数据相结合,可为您提供更先进的账户监控,最终帮助您更有效地排除故障,并在可能的情况下减少资源。
在定义了一些有用的查询并确定了您想要监控的内容后,您可以按照Splunk 的官方文档了解更多有关构建可视化仪表盘、将搜索结果转换为表格以及创建自定义警报的信息。随着我们不断为 API 添加更多功能,您将能在 Splunk 中获得更深入的监控。
想为Splunk的Linode插件做贡献或帮助我们编写文档吗?请在GitHub上查看该项目。
注释