配置 Splunk 数据源

文档

插件

Splunk 数据源

配置 Splunk 数据源

Grafana 为 Splunk 提供了多种配置选项。只有拥有管理员角色的用户才能向 Grafana 添加数据源。

添加 Splunk 数据源

要安装数据源，请参考安装 Grafana 插件。有关添加数据源的通用信息，请参阅添加数据源。

要添加 Splunk 数据源，请完成以下步骤

点击左侧菜单中的连接。
在连接下，点击添加新连接。
在搜索栏中输入 Splunk。
选择Splunk 数据源。
点击右上角的创建 Splunk 数据源。

您将被带到设置选项卡，您可以在其中设置 Splunk 配置。

配置选项

以下是 Splunk 的配置选项列表。

第一个要配置的选项是您的连接名称

名称 - 数据源名称。这是您在面板和查询中引用数据源的方式。示例：Splunk-1, Splunk_data。
默认 - 切换以将其选为仪表盘面板中的默认名称。当您进入仪表盘面板时，这将是默认选定的数据源。

HTTP 部分

URL - 您的 Splunk 服务器的 URL。如果您的 Splunk 服务器是本地的，请使用 <https://:8089>。如果它位于网络内的服务器上，这就是您运行 Prometheus 的 URL，带有端口号。示例：<http://splunk-server.example.orgname:8089>。
允许的 Cookie - 按名称指定应转发到数据源的 Cookie。Cookie 将以逗号分隔的 key=value 对列表的形式包含在 Cookies HTTP 头中，其中 key 是您在此字段中指定的名称，value 是存储在您浏览器中的相应值。如果未设置此字段，Grafana 代理默认删除所有转发的 Cookie。
超时 - HTTP 请求超时时间。这必须以秒为单位。没有默认值，因此此设置由您决定。

认证部分

您可以在认证部分选择几种认证方法。

注意
在使用 Splunk 时使用 TLS（传输层安全）以增加一层安全性。有关使用 Splunk 设置 TLS 加密的信息，请参阅保护 Splunk Enterprise。

基本认证 - 最常见的认证方法。使用您的 Splunk 用户名和 Splunk 密码进行连接。避免使用默认的管理员账户。（或者，您可以在 Splunk 详细信息部分使用认证令牌）。
替代认证 - 认证令牌是一种将 Splunk 平台用户认证到 Splunk 平台的方法。令牌让您可以访问环境而无需提供标准类型的凭据。在Splunk 文档中了解更多信息。
添加自签名证书 - 使用 CA 证书进行认证。按照 CA（证书颁发机构）的说明下载证书文件。用于验证自签名 TLS 证书。
TLS 客户端认证 - 切换开启以使用客户端认证。启用后，添加 Server name、Client cert 和 Client key。客户端提供一个由服务器验证的证书，以建立客户端的可信身份。客户端密钥对客户端和服务器之间的数据进行加密。
跳过 TLS 证书验证 - 切换开启以绕过 TLS 证书验证。

自定义 HTTP 头

您可以配置由 Grafana 配置系统管理的自定义 HTTP 头数据源。这样做允许您将 HTTP 头添加到发往该数据源的所有请求中。

头 - 添加自定义头。
值 - 添加自定义头值。

替代认证

认证令牌 - 使用在 Splunk 仪表盘中生成的认证令牌，而不是用户名和密码。

高级选项

结果限制 - 设置每次数据请求返回结果的限制。
预览模式 - 切换开启以在搜索结果可用时立即获取。在底层，此选项启用对 jobs/{search_id}/results_preview Splunk API 端点的轮询。
异步查询 - 切换开启以定期检查查询结果。
自动取消超时 - 作业在自动取消之前可以保持非活动的秒数。设置为 0 可禁用自动取消。默认值为 30 秒。
超时 - Grafana 超时时间，以秒为单位，控制查询在被取消之前可以运行多久。最小值为 1。
最大状态桶数 - 每个查询生成的最大时间线状态桶数。设置为 0 可禁用时间线。默认值为 30 秒。
过滤内部字段 - 切换开启以隐藏名称以 _ 开头的字段。
时间戳字段 - Grafana 用于确定事件时间戳的字段。更多信息请参阅时间戳和时间范围。
搜索模式 - 有 2 种搜索模式：fields 搜索模式和 variables 搜索模式。
- 设置字段搜索模式 - 设置字段的搜索模式。选项包括 quick 和 full。
- 设置变量搜索模式 - 设置变量的搜索模式。选项包括
  - fast - 对事件搜索关闭字段发现。对统计搜索不提供事件或字段数据。
  - smart - 对事件搜索开启字段发现。对统计搜索不提供事件或字段数据。
  - verbose - 所有事件和字段数据。
默认最早时间 - 没有时间范围的搜索（例如模板变量查询）的最早时间。默认值为 -1hr。

数据链接

数据链接通常用于 Grafana 的 Explore 模式。数据会显示一个链接，允许您将数据内部关联到其他 Grafana 数据源，或外部关联到通过 URL 获取的数据。

通过点击数据源设置中“数据链接”标题下的+ 添加按钮来设置数据链接。

字段 - 可以是确切的字段名称或与字段名称匹配的正则表达式模式。
标签 - 添加标签，为正则表达式匹配的数据提供有意义的标签。
正则表达式 - 使用正则表达式解析和捕获日志消息的一部分或关键词。该正则表达式是一个匹配正则表达式，因此您必须为匹配表达式提供一对括号。要匹配所有内容，请使用 /(.*)/。您必须将正则表达式用 // 包裹起来。
URL - 使用变量 ${__value.raw} 来保存通过正则表达式解析出来的数据值。使用此值构建 URL。
内部链接 - 切换开启以使用外部链接，并将一个数据源链接到 Grafana 内的另一个数据源。切换关闭内部链接以链接到基于从 Splunk 日志中解析出的值构建的 URL。

点击+ 添加以添加多个数据链接。点击红色 X 以移除先前添加的链接。

您可以将 Splunk 数据源定义和配置在 YAML 文件中，作为 Grafana 配置系统的一部分。有关配置数据源的更多信息以及可用的配置选项，请参阅配置 Grafana。

apiVersion: 1
datasources:
  - name: Splunk
    type: grafana-splunk-datasource
    access: proxy
    basicAuth: true
    basicAuthUser: user
    editable: true
    enabled: true
    jsonData:
      advancedOptions: true
      fieldSearchType: quick
      internalFieldsFiltration: true
      tlsSkipVerify: true
      variableSearchLevel: fast
      previewMode: false
      clusteringStrategy: 1
      maxResultCount: 999
    secureJsonData:
      basicAuthPassword: password
    url: splunk url
    version: 1