将 ClickHouse Cloud 审计日志存储到 Splunk

Splunk 是一个数据分析和监控平台。

此附加组件允许用户将 ClickHouse Cloud 审计日志存储到 Splunk 中。它使用 ClickHouse Cloud API 下载审计日志。

此附加组件仅包含一个模块化输入，不提供额外的用户界面。

安装

从 Splunkbase 下载 ClickHouse Cloud 审计附加组件。

在 Splunk Enterprise 中，导航到应用 -> 管理。然后点击从文件安装应用。

选择从 Splunkbase 下载的压缩文件并点击上传。

如果一切顺利，您现在应该看到 ClickHouse 审计日志应用程序已安装。如果没有，请检查 Splunkd 日志以查找任何错误。

要配置模块化输入，您首先需要您的 ClickHouse Cloud 部署中的信息：

导航到您的组织 -> 组织详细信息。在那里您可以复制组织 ID。

然后，从左侧菜单导航到 API 密钥。

创建一个 API 密钥，给它一个有意义的名称，并选择 管理员 权限。点击生成 API 密钥。

将 API 密钥和密钥安全地保存到某个地方。

返回 Splunk，导航到设置 -> 数据输入。

选择 ClickHouse Cloud 审计日志数据输入。

点击 "新建" 来配置新的数据输入实例。

输入所有信息后，点击下一步。

输入已配置，您可以开始浏览审计日志。

模块化输入将数据存储在 Splunk 中。要查看数据，您可以使用 Splunk 中的一般搜索视图。