알림 API를 사용하여 Splunk에서 기록된 향후 알림 보기
소개
With the new Alert API introduced in 2018, clients can access their Recorded Future alerts programmatically. In this support page, we outline how Splunk Integration clients can use the Alert API to incorporate alerts into Splunk. For a general overview of how to use the Alert API, check out this support page.
이 추가 기능의 경우 Recorded Future의 (핵심) Splunk Enterprise 통합 애플리케이션( https://splunkbase.splunk.com/app/2629/ 참조)의 3.x 버전이 설치되어 있다고 가정합니다. 또한 이 통합 애플리케이션의 v4.x(2018년 9월 출시)에서는 "알림" 대시보드가 표준 패키지에 통합됩니다.
기본 지침
- The alerts.py file should be places in the bin directory of the Recorded Future App.
- 파일을 splunk:splunk로 chown해야 할 수 있습니다.
- 파일을 755로 변경해야 할 수 있습니다.
- .conf files should be placed into local directory of the Recorded Future App.
- 파일을 splunk:splunk로 chown해야 할 수 있습니다.
- May need to adjust path in files if splunk home directory is not /opt/splunk/
- Copy xml file into the local/data/ui/views directory of the Recorded Future App.
- 파일을 splunk:splunk로 chown해야 할 수 있습니다.
- May need to adjust permissions for access, set global view (all apps, everyone read, admin write)
- Will need to add to default navigation for visibility in the app
The scripts should pull the api key stored in the kv store,
nothing should need to be entered. If you have any
issues during the setup or configuration, please schedule
a remote session through your account team. The user
for the API key must have alerts shared with them in order
to pull the alerts from the API.