Хранение журналов аудита ClickHouse Cloud в Splunk

Splunk — это платформа для анализа и мониторинга данных.

Этот аддон позволяет пользователям сохранять журналы аудита ClickHouse Cloud в Splunk. Он использует ClickHouse Cloud API для загрузки журналов аудита.

Этот аддон содержит только модульный ввод, никаких дополнительных пользовательских интерфейсов не предусмотрено.

Установка

Для Splunk Enterprise

Скачайте аддон для аудита ClickHouse Cloud для Splunk с Splunkbase.

В Splunk Enterprise перейдите в Apps -> Manage. Затем нажмите на Установить приложение из файла.

Выберите архивированный файл, загруженный с Splunkbase, и нажмите на Загрузить.

Если все прошло хорошо, вы теперь должны видеть установленное приложение журналов аудита ClickHouse. Если нет, проверьте логи Splunkd на наличие ошибок.

Конфигурация модульного ввода

Для настройки модульного ввода вам сначала потребуется информация из вашего развертывания ClickHouse Cloud:

• ID организации
• Ключ API

Получение информации из ClickHouse Cloud

Войдите в консоль ClickHouse Cloud.

Перейдите в вашу Организацию -> Детали организации. Там вы сможете скопировать ID организации.

Затем перейдите в API Keys в левом меню.

Создайте API ключ, дайте ему понятное имя и выберите права Admin. Нажмите на Генерировать API ключ.

Сохраните API ключ и секрет в надежном месте.

Настройка ввода данных в Splunk

Вернувшись в Splunk, перейдите в Настройки -> Вводы данных.

Выберите ввод данных журналов аудита ClickHouse Cloud.

Нажмите "Новый", чтобы настроить новый экземпляр ввода данных.

После ввода всей информации нажмите Далее.

Ввод настроен, вы можете начать просматривать журналы аудита.

Использование

Модульный ввод хранит данные в Splunk. Чтобы просмотреть данные, вы можете использовать общий вид поиска в Splunk.