Splunk是一个数据平台,允许开发人员和组织在安全最佳实践、DevOps和工作流程优化中利用更多的数据。它通过可定制的仪表盘和表格使数据更容易被人阅读,便于修改并与你的团队或客户分享。
我们最近将Splunk添加到Linode市场,因此您可以轻松部署并开始构建您的自我托管的数据存储。您还可以为Linode账户管理和事件创建高级监控,如跟踪维护事件或应用程序用户活动。
我们的开发者体验团队专注于整合,使Linode更容易与您现有的支持工作负载的工具一起使用,包括LinodeTerraform Provider。这个团队还建立了用于Splunk的Linode插件,它允许你使用LinodeAPI 拉取信息,以定制账户监控。收集关于你的账户和计算实例的实时数据,包括创建、调整大小、登录、发票和其他通知。Splunk附加组件确实依赖于LinodeAPI,它有大量的支持文件可以开始使用。
以下是在 市场上部署 Splunk实例后,使用Linode Splunk Add-On的三个想法。Splunk是完美的应用:
- 创建一个可定制的某些Linode事件的日志
- 为你的Linode账户设置账户/用户监控
- 跟踪维修通知
当创建一个Splunk账户并部署Splunk Marketplace应用时,你会自动获得60天的免费试用期,其中包括Splunk Enterprise中的功能。试用期过后,你可以继续使用免费版本或注册企业许可证。
使用Linode和Splunk
在Linode云管理器中,在您的配置文件下设置一个只读的API 令牌。您可以使用API 令牌在 Splunk 中为以下事件创建不同的输入:
- Linode账户发票
- Linode账户支付
- Linode账户事件
- Linode服务转移
- Linode账户登录
- Linode账户通知
接下来,你可以为每个输入创建自定义查询,以搜索和跟踪你要找的信息。
追踪不同的事件
账户事件端点可以追溯导入90天以前的事件,但是一旦你在Splunk实例中保存了信息,你就可以收集实时数据,这些数据将被存储在与你的云基础设施相关的数据仓库中。
要查看所有Linode事件的时间线或日志,请输入 linode_account_events 作为你的资源类型,并根据你想知道的内容来定制字段。
如果你想跟踪一个特定类型的事件,你可以将搜索范围缩小到 action=linode_create.
监测用户活动
无论你是有多个用户以不同的权限共享一个Linode账户,还是你想要一个额外的账户监控以确保账户信息不被泄露,都可以通过Splunk来实现。
这方面的基本功能是跟踪谁在登录,他们什么时候登录,以及他们的IP地址,这样你就可以寻找任何登录行为的异常值。这是一个快速将你的搜索转换为表格的好例子。
为了跟踪不仅仅是用户登录,你需要创建和搜索一个事件输入。在你的搜索查询中,添加 username 以看到所有事件旁边的用户名。 输入。要将输出范围缩小到特定的用户,请添加 | spath username | search username=your_user | 来查看该用户的所有事件。
创建这样的日志并知道如何改变查询,可以帮助你在出现问题时排除故障,以及同事(或客户)采取的行动,这样你就可以得到重现或修复问题的初步步骤。
维修通知
要获得维护通知的一般日志,请创建一个通知端点并进行一般搜索,以查看过去有关Linode维护的消息。在那里,你可以按严重程度、标签或通知API 端点列表中的其他端点缩小你的搜索范围。
LinodeAPI 在账户操作方面非常强大。结合使用Splunk获取历史数据,可以为您提供更高级的账户监控,最终可以帮助您更有效地排除故障,并在可能时减少资源。
在定义了一些有用的查询并弄清楚你想要监控的具体内容后,你可以按照Splunk的官方文档来了解更多关于建立可视化仪表盘、将搜索结果转换为表格以及创建自定义警报的信息。随着我们继续为我们的API ,你将能够在Splunk中获得更多的深度监控。
想为Splunk的Linode插件做贡献或帮助我们编写文档吗?请在GitHub上查看该项目。
注释