Splunk — это платформа для анализа данных и мониторинга.
Это дополнение позволяет хранить журналы аудита ClickHouse Cloud в Splunk. Для загрузки журналов аудита используется ClickHouse Cloud API.
Это дополнение включает только модульный ввод; дополнительный пользовательский интерфейс не предусмотрен.
Установка
Для Splunk Enterprise
Загрузите ClickHouse Cloud Audit Add-on for Splunk с Splunkbase.
В Splunk Enterprise перейдите в раздел Apps -> Manage. Затем нажмите Install app from file.
Выберите архив, загруженный с Splunkbase, и нажмите Upload.
Если всё прошло успешно, вы должны увидеть установленное приложение ClickHouse Audit logs. В противном случае проверьте логи Splunkd на наличие ошибок.
Модульная конфигурация входных данных
Чтобы настроить модульный ввод, вам сначала понадобится информация из вашего развертывания ClickHouse Cloud:
- Идентификатор организации
- Административный API Key
Получение информации из ClickHouse Cloud
Войдите в консоль ClickHouse Cloud.
Перейдите в Organization → Organization details. Здесь вы можете скопировать идентификатор организации (Organization ID).
Затем в меню слева перейдите в раздел API Keys.
Создайте новый API Key, задайте ему понятное имя и выберите привилегии Admin. Нажмите Generate API Key.
Сохраните API Key и секрет в надежном месте.
Настройка источника данных в Splunk
Вернувшись в Splunk, перейдите в Settings -> Data inputs.
Выберите источник данных ClickHouse Cloud Audit Logs.
Нажмите «New», чтобы настроить новый источник данных.
После того как вы введёте все данные, нажмите «Next».
Источник данных настроен, можно приступать к просмотру журналов аудита.
Использование
Модульный ввод данных сохраняет данные в Splunk. Для их просмотра используйте стандартный интерфейс поиска Splunk.
