Splunk 集成 - 连接报告

Back to support overview

本文适用于 Splunk Enterprise 客户。

前提条件

下载/安装/配置 Splunk Enterprise

https://www.splunk.com/en_us/download/splunk-enterprise.html

下载/安装/配置 Splunk REST API Modular Input v1.4

这是 Splunk Modular Input，可用于查询 REST API 和为响应编制索引。

https://splunkbase.splunk.com/app/1546/#/details

相关性

Splunk 5.0+

支持 Windows、Linux、MacOS、Solaris、FreeBSD、HP-UX、AIX

设置

解压到您的 $SPLUNK_HOME/etc/apps 目录 （Windows 用户建议使用 7zip）
重新启动 Splunk
浏览管理器 ➜ 数据输入 ➜ REST并设置您的输入

记录

任何模块化输入日志错误将被写入$SPLUNK_HOME/var/log/splunk/splunkd.log

故障排除

您在使用 Splunk 5+？

查找 $SPLUNK_HOME/var/log/splunk/splunkd.log 中的任何错误？

防火墙屏蔽了外发 HTTP 调用？

您的 REST URL、标题、URL 参数是否正确？

您的身份验证设置是否正确？

发出 HTTP 请求

1. 创建调用 TeamViewer (Classic) API 的应用程序口令

登录 MCO ➜ 管理员“公司配置文件” ➜ 应用程序 ➜ 创建脚本口令
- 名称：Splunk 集成（您的偏好）
- 描述：可选
- 连接报告：查看连接条目

2. 请查看 TeamViewer (Classic) 的API文件页面，确认是否有其他请求：https://www.teamviewer.com/en/for-developers/

登录 Splunk Web 界面
输入适当的字段：
- 端点 URL：https://webapi.teamviewer.com/api/v1/reports/connections
- HTTP 法：GET
- HTTP 标头属性：authorization=Bearer XXXXXX-XXXXXXXXXXXXXXXXX <- 您的口令
- 响应类型：json
- 查询时间间隔：（可选，Splunk 每 60 秒查询一次）
- 设置源类型：手册
- 源类型：_json
- 保存

3. 查看结果

在左上角选择应用程序 ➜ 搜索 & 报告 ➜ 数据汇总 ➜ 来源（中间选项卡） ➜ REST（“报告名称”）
建议从“原始”视图更改为“表格”视图，以获得有意义的结果

根据我们的一些优秀用户的反馈，我们想分享一下，因为Splunk可能会截断连接报告JSON，建议将连接报告限制在特定的时间段内。

时间戳格式为YYY-MM-DDTHH：MM：SSZ。具有时间限制的示例连接报告请求URL将是https：//webapi.teamviewer.com/api/v1/reports/connections？from_date = 2019-01-31T19：20：30Z＆to_date = 2019 ...

有关TeamViewer (Classic) Reporting API参数的更多信息，请访问https://www.teamviewer.com/en/integrations/api/。