알림 API를 사용하여 Splunk에서 기록된 향후 알림 보기
소개
2018년에 도입된 새로운 알림 API를 통해 고객은 프로그래밍 방식으로 기록된 미래 알림에 액세스할 수 있습니다. 이 지원 페이지에서는 Splunk 통합 클라이언트가 알림 API를 사용하여 Splunk에 알림을 통합하는 방법에 대해 간략하게 설명합니다. 알림 API 사용 방법에 대한 일반적인 개요는 이 지원 페이지를 참조하세요.
이 추가 기능의 경우 Recorded Future의 (핵심) Splunk Enterprise 통합 애플리케이션( https://splunkbase.splunk.com/app/2629/ 참조)의 3.x 버전이 설치되어 있다고 가정합니다. 또한 이 통합 애플리케이션의 v4.x(2018년 9월 출시)에서는 "알림" 대시보드가 표준 패키지에 통합됩니다.
기본 지침
- alerts.py 파일은 녹화된 미래 앱의 bin 디렉터리에 위치해야 합니다.
- 파일을 splunk:splunk로 chown해야 할 수 있습니다.
- 파일을 755로 변경해야 할 수 있습니다.
- .conf 파일을 녹화된 미래 앱의 로컬 디렉토리에 배치해야 합니다.
- 파일을 splunk:splunk로 chown해야 할 수 있습니다.
- splunk 홈 디렉터리가 /opt/splunk/가 아닌 경우 파일 경로를 조정해야 할 수 있습니다.
- xml 파일을 Recorded Future 앱의 local/data/ui/views 디렉토리에 복사합니다.
- 파일을 splunk:splunk로 chown해야 할 수 있습니다.
- 액세스 권한 조정, 전체 보기 설정(모든 앱, 모든 사용자 읽기, 관리자 쓰기)이 필요할 수 있습니다.
- 앱에서 표시하려면 기본 탐색에 추가해야 합니다.
스크립트는 kv 저장소에 저장된 API 키를 가져와야 하며, 아무것도 입력할 필요가 없습니다. 설정 또는 구성 중에 문제가 발생하면 계정 팀을 통해 원격 세션을 예약하세요. API에서 알림을 가져오려면 API 키의 사용자에게 알림이 공유되어 있어야 합니다.