Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Conexión de Splunk
Integración unidireccional integrada
Actualmente, AWS DevOps Agent apoya a los usuarios de Splunk con una integración unidireccional integrada, que permite lo siguiente:
Activación automática de las investigaciones: los eventos de Splunk se pueden configurar para activar las investigaciones de resolución de incidentes por parte del AWS DevOps agente mediante AWS DevOps los webhooks de los agentes.
Introspección telemétrica: el AWS DevOps agente puede realizar una introspección de la telemetría de Splunk mientras investiga un problema a través del servidor MCP remoto de cada proveedor.
Requisitos previos
Obtener un token de API de Splunk
Necesitará una URL y un token del MCP para conectarse a Splunk.
Pasos para el administrador de Splunk
Su administrador de Splunk debe realizar los siguientes pasos:
habilitar el acceso a la API REST
habilite la autenticación mediante token
en la implementación. cree un nuevo rol 'mcp_user', el nuevo rol no necesita tener ninguna capacidad.
asigne el rol «mcp_user» a todos los usuarios de la implementación que estén autorizados a usar el servidor MCP.
cree el token para los usuarios autorizados con el nombre de «mcp» y establezca la caducidad adecuada si el usuario no tiene permiso para crear los tokens por sí mismo.
Pasos para usar Splunk
Un usuario de Splunk debe realizar los siguientes pasos:
Obtenga un token apropiado del administrador de Splunk o cree uno por sí mismo, si tiene el permiso. La audiencia del token debe ser «mcp».
Incorporación
Paso 1: Conectar
Establezca la conexión con su terminal MCP remoto de Splunk con las credenciales de acceso a la cuenta
Configuración
Vaya a la página de proveedores de capacidades (a la que se puede acceder desde la barra de navegación lateral)
Busque Splunk en la sección Proveedores disponibles, en Telemetría, y haga clic en Registrar
Introduzca los detalles de su servidor MCP de Splunk:
Nombre del servidor: identificador único (por ejemplo,) my-splunk-server
URL del punto final: el punto final de su servidor MCP de Splunk:
https://<YOUR_SPLUNK_DEPLOYMENT_NAME>.api.scs.splunk.com/<YOUR_SPLUNK_DEPLOYMENT_NAME>/mcp/v1/
Descripción: descripción del servidor opcional
Nombre del token: el nombre del token portador para la autenticación:
my-splunk-tokenValor del token: el valor del token del portador para la autenticación
Paso 2: Habilitar
Active Splunk en un espacio de agente específico y configure el alcance adecuado
Configuración
En la página de espacios de agentes, seleccione un espacio de agentes y pulse ver los detalles (si aún no ha creado un espacio de agentes, consulte) Creación de un espacio de agentes
Seleccione la pestaña Capacidades
Desplázate hacia abajo hasta la sección de telemetría
Presiona Agregar
Selecciona Splunk
Next
Revise y pulse Guardar
Copia la URL y la clave de API de Webhook
Paso 3: Configurar los webhooks
Con la URL y la clave de API de Webhook, puede configurar Splunk para que envíe eventos que inicien una investigación, por ejemplo, a partir de una alarma.
Para garantizar que el DevOps agente pueda utilizar los eventos enviados, asegúrese de que los datos transmitidos al webhook coincidan con el esquema de datos que se especifica a continuación. El DevOps agente puede ignorar los eventos que no coincidan con este esquema.
Establezca el método y los encabezados
method: "POST", headers: { "Content-Type": "application/json", "Authorization": "Bearer <Token>", },
Envía el cuerpo como una cadena JSON.
{ eventType: 'incident'; incidentId: string; action: 'created' | 'updated' | 'closed' | 'resolved'; priority: "CRITICAL" | "HIGH" | "MEDIUM" | "LOW" | "MINIMAL"; title: string; description?: string; timestamp?: string; service?: string; // The original event generated by service is attached here. data?: object; }
Envía webhooks con Splunk https://help.splunk.com/en/splunk- enterprise/alert-and-respond/alerting-manual/9.4/configure-alert-actions/use - a-webhook-alert-action
Más información:
Requisitos y limitaciones de acceso a la API REST de la plataforma Splunk Cloud: https://docs.splunk.com/Documentation/SplunkCloud/latest/RESTTUT/RESTandCloud
Cree y gestione funciones con Splunk Web: https://docs.splunk.com/Documentation/SplunkCloud/latest/Security/Addandeditroles
Eliminación
La fuente de telemetría está conectada en dos niveles: a nivel de espacio de agente y a nivel de cuenta. Para eliminarla por completo, primero debe eliminarla de todos los espacios de agentes en los que se utilice y, a continuación, podrá anular su registro.
Paso 1: Eliminar del espacio de agentes
En la página de espacios de agentes, selecciona un espacio de agentes y pulsa ver detalles
Seleccione la pestaña Capacidades
Desplázate hacia abajo hasta la sección de telemetría
Selecciona Splunk
Presiona eliminar
Paso 2: Anular el registro de la cuenta
Vaya a la página de proveedores de capacidades (a la que se puede acceder desde la barra de navegación lateral)
Desplázate hasta la sección Registrados actualmente.
Comprueba que el número de espacios para agentes sea cero (si no, repite el paso 1 anterior en los demás espacios para agentes)
Presiona Cancelar registro junto a Splunk
