将 ClickHouse Cloud 审计日志存储到 Splunk
ClickHouse Supported
Splunk 是一个数据分析和监控平台。
此附加组件允许用户将 ClickHouse Cloud 审计日志 存储到 Splunk。它使用 ClickHouse Cloud API 下载审计日志。
此附加组件仅包含一个模块化输入,不提供其他用户界面。
安装
对于 Splunk Enterprise
从 Splunkbase 下载 ClickHouse Cloud 审计附加组件。

在 Splunk Enterprise 中,导航到 Apps -> Manage。然后点击从文件安装应用。

选择从 Splunkbase 下载的压缩文件并点击上传。

如果一切正常,您现在应该看到安装的 ClickHouse 审计日志应用。如果没有,请查阅 Splunkd 日志以查找任何错误。
模块化输入配置
要配置模块化输入,您首先需要从 ClickHouse Cloud 部署获取信息:
- 组织 ID
- 管理员 API Key
获取 ClickHouse Cloud 的信息
导航到您的组织 -> 组织详情。在那里,您可以复制组织 ID。

然后,从左侧菜单导航到 API 密钥。

创建一个 API 密钥,给予一个有意义的名称,并选择 Admin
权限。点击生成 API 密钥。

将 API 密钥和密钥保存在安全的地方。

在 Splunk 中配置数据输入
返回 Splunk,导航到设置 -> 数据输入。

选择 ClickHouse Cloud 审计日志数据输入。

点击“新建”以配置数据输入的新实例。

输入所有信息后,点击下一步。

输入已配置,可以开始浏览审计日志。
使用
模块化输入将数据存储在 Splunk 中。要查看数据,您可以使用 Splunk 中的常规搜索视图。
