将 ClickHouse Cloud 审计日志存储到 Splunk

ClickHouse Supported

Splunk 是一个数据分析和监控平台。

此附加组件允许用户将 ClickHouse Cloud 审计日志 存储到 Splunk。它使用 ClickHouse Cloud API 下载审计日志。

此附加组件仅包含一个模块化输入，不提供其他用户界面。

安装

对于 Splunk Enterprise

从 Splunkbase 下载 ClickHouse Cloud 审计附加组件。

在 Splunk Enterprise 中，导航到 Apps -> Manage。然后点击从文件安装应用。

选择从 Splunkbase 下载的压缩文件并点击上传。

如果一切正常，您现在应该看到安装的 ClickHouse 审计日志应用。如果没有，请查阅 Splunkd 日志以查找任何错误。

模块化输入配置

要配置模块化输入，您首先需要从 ClickHouse Cloud 部署获取信息：

• 组织 ID
• 管理员 API Key

获取 ClickHouse Cloud 的信息

登录 ClickHouse Cloud 控制台。

导航到您的组织 -> 组织详情。在那里，您可以复制组织 ID。

然后，从左侧菜单导航到 API 密钥。

创建一个 API 密钥，给予一个有意义的名称，并选择 Admin 权限。点击生成 API 密钥。

将 API 密钥和密钥保存在安全的地方。

在 Splunk 中配置数据输入

返回 Splunk，导航到设置 -> 数据输入。

选择 ClickHouse Cloud 审计日志数据输入。

点击“新建”以配置数据输入的新实例。

输入所有信息后，点击下一步。

输入已配置，可以开始浏览审计日志。

使用

模块化输入将数据存储在 Splunk 中。要查看数据，您可以使用 Splunk 中的常规搜索视图。