Сохранение журналов аудита ClickHouse Cloud в Splunk
Splunk — это платформа для аналитики и мониторинга данных.
Этот аддон позволяет пользователям сохранять журналы аудита ClickHouse Cloud в Splunk. Он использует ClickHouse Cloud API для загрузки журналов аудита.
Этот аддон содержит только модульный ввод, дополнительный интерфейс не предоставляется.
Установка
Для Splunk Enterprise
Скачайте аддон ClickHouse Cloud Audit для Splunk с Splunkbase.
В Splunk Enterprise перейдите в Apps -> Manage. Затем нажмите на Install app from file.
Выберите загруженный архивированный файл из Splunkbase и нажмите Upload.
Если все прошло хорошо, вы должны увидеть установленное приложение ClickHouse Audit logs. Если нет, проверьте журналы Splunkd на наличие ошибок.
Конфигурация модульного ввода
Чтобы настроить модульный ввод, вам сначала потребуется информация из вашего развертывания ClickHouse Cloud:
- Идентификатор организации
- Админский API Key
Получение информации из ClickHouse Cloud
Войдите в консоль ClickHouse Cloud.
Перейдите в вашу Организацию -> Подробности организации. Там вы можете скопировать Идентификатор организации.
Затем перейдите в API Keys в левом меню.
Создайте API Key, дайте ему понятное имя и выберите привилегии Admin. Нажмите на Generate API Key.
Сохраните API Key и секретное значение в безопасном месте.
Настройка ввода данных в Splunk
Вернувшись в Splunk, перейдите в Settings -> Data inputs.
Выберите ввод данных ClickHouse Cloud Audit Logs.
Нажмите "New", чтобы настроить новый экземпляр ввода данных.
После того как вы ввели всю информацию, нажмите Next.
Ввод настроен, вы можете начать просматривать журналы аудита.
Использование
Модульный ввод хранит данные в Splunk. Чтобы просмотреть данные, вы можете использовать общий режим поиска в Splunk.
