跳到主要内容
跳到主要内容

将 ClickHouse Cloud 审计日志存储到 Splunk

ClickHouse Supported

Splunk 是一个数据分析和监控平台。

此附加组件允许用户将 ClickHouse Cloud 审计日志 存储到 Splunk。它使用 ClickHouse Cloud API 下载审计日志。

此附加组件仅包含一个模块化输入,不提供其他用户界面。

安装

对于 Splunk Enterprise

Splunkbase 下载 ClickHouse Cloud 审计附加组件。

Splunkbase 网站显示 ClickHouse Cloud 审计附加组件的下载页面

在 Splunk Enterprise 中,导航到 Apps -> Manage。然后点击从文件安装应用。

Splunk Enterprise 界面显示带有从文件安装应用选项的应用管理页面

选择从 Splunkbase 下载的压缩文件并点击上传。

Splunk 应用安装对话框,用于上传 ClickHouse 附加组件

如果一切正常,您现在应该看到安装的 ClickHouse 审计日志应用。如果没有,请查阅 Splunkd 日志以查找任何错误。

模块化输入配置

要配置模块化输入,您首先需要从 ClickHouse Cloud 部署获取信息:

获取 ClickHouse Cloud 的信息

登录 ClickHouse Cloud 控制台

导航到您的组织 -> 组织详情。在那里,您可以复制组织 ID。

ClickHouse Cloud 控制台显示组织详情页面,其中包含组织 ID

然后,从左侧菜单导航到 API 密钥。

ClickHouse Cloud 控制台显示左侧导航菜单中的 API 密钥部分

创建一个 API 密钥,给予一个有意义的名称,并选择 Admin 权限。点击生成 API 密钥。

ClickHouse Cloud 控制台显示带有已选 Admin 权限的 API 密钥创建界面

将 API 密钥和密钥保存在安全的地方。

ClickHouse Cloud 控制台显示生成的 API 密钥和需要保存的密钥

在 Splunk 中配置数据输入

返回 Splunk,导航到设置 -> 数据输入。

Splunk 界面显示带有数据输入选项的设置菜单

选择 ClickHouse Cloud 审计日志数据输入。

Splunk 数据输入页面显示 ClickHouse Cloud 审计日志选项

点击“新建”以配置数据输入的新实例。

Splunk 界面用于配置新的 ClickHouse Cloud 审计日志数据输入

输入所有信息后,点击下一步。

Splunk 配置页面,带有完成的 ClickHouse 数据输入设置

输入已配置,可以开始浏览审计日志。

使用

模块化输入将数据存储在 Splunk 中。要查看数据,您可以使用 Splunk 中的常规搜索视图。

Splunk 搜索界面显示 ClickHouse 审计日志数据