将 ClickHouse Cloud 审计日志存储到 Splunk
ClickHouse Supported
Splunk 是一个数据分析和监控平台。
此插件允许用户将 ClickHouse Cloud 审计日志 存储到 Splunk 中。它使用 ClickHouse Cloud API 下载审计日志。
此插件仅包含一个模块化输入,不提供其他 UI。
安装
对于 Splunk Enterprise
从 Splunkbase 下载 ClickHouse Cloud 审计插件。

在 Splunk Enterprise 中,导航到 Apps -> Manage。然后单击从文件安装应用程序。

选择从 Splunkbase 下载的压缩文件,然后单击上传。

如果一切顺利,您现在应该看到安装的 ClickHouse 审计日志应用程序。如果没有,请查看 Splunkd 日志以获取任何错误。
模块化输入配置
要配置模块化输入,您首先需要从您的 ClickHouse Cloud 部署中获取信息:
- 组织 ID
- 一个管理员 API Key
从 ClickHouse Cloud 获取信息
登录到 ClickHouse Cloud 控制台。
导航到您的组织 -> 组织详情。在那里您可以复制组织 ID。

然后,从左侧菜单中导航到 API 密钥。

创建一个 API 密钥,给出一个有意义的名称并选择 Admin
权限。单击生成 API 密钥。

将 API 密钥和密钥保存在安全的地方。

在 Splunk 中配置数据输入
回到 Splunk,导航到设置 -> 数据输入。

选择 ClickHouse Cloud 审计日志的数据输入。

单击“新建”以配置数据输入的新实例。

输入所有信息后,单击下一步。

输入已配置,您可以开始浏览审计日志。
使用
该模块化输入将数据存储在 Splunk 中。要查看数据,您可以使用 Splunk 中的一般搜索视图。
