Integrazione unidirezionale integrata Prerequisiti Onboarding Rimozione

Connessione a Splunk

Integrazione unidirezionale integrata

Attualmente, AWS DevOps Agent supporta gli utenti Splunk con un'integrazione unidirezionale integrata, che consente quanto segue:

Attivazione automatica delle indagini: gli eventi Splunk possono essere configurati per attivare le indagini sulla risoluzione degli incidenti degli AWS DevOps agenti tramite i webhook degli agenti. AWS DevOps
Introspezione telemetrica: l' AWS DevOps agente può analizzare la telemetria di Splunk mentre analizza un problema tramite il server MCP remoto di ciascun provider.

Prerequisiti

Ottenere un token API Splunk

Avrai bisogno di un URL e di un token MCP per connettere Splunk.

Procedura dell'amministratore di Splunk

L'amministratore Splunk deve eseguire le seguenti operazioni:

abilitare l'accesso all'API REST
abilita l'autenticazione tramite token sulla distribuzione.
crea un nuovo ruolo 'mcp_user', il nuovo ruolo non deve avere alcuna funzionalità.
assegna il ruolo 'mcp_user' a tutti gli utenti della distribuzione autorizzati a utilizzare il server MCP.
crea il token per gli utenti autorizzati con audience come 'mcp' e imposta la scadenza appropriata, se l'utente non ha l'autorizzazione per creare i token da solo.

Procedure per utenti Splunk

Un utente Splunk deve eseguire i seguenti passaggi:

Ottieni un token appropriato dall'amministratore Splunk o creane uno lui stesso, se ne ha l'autorizzazione. Il pubblico del token deve essere 'mcp'.

Onboarding

Fase 1: Connect

Stabilisci la connessione all'endpoint MCP remoto Splunk con le credenziali di accesso all'account

Configurazione

Vai alla pagina Capability Provider (accessibile dalla barra di navigazione laterale)
Trova Splunk nella sezione Provider disponibili sotto Telemetria e clicca su Registra
Inserisci i dettagli del tuo server MCP Splunk:
- Nome del server: identificatore univoco (ad es.) my-splunk-server
- URL dell'endpoint - L'endpoint del server Splunk MCP:

https://<YOUR_SPLUNK_DEPLOYMENT_NAME>.api.scs.splunk.com/<YOUR_SPLUNK_DEPLOYMENT_NAME>/mcp/v1/

Descrizione: descrizione opzionale del server
Nome token: il nome del token portatore per l'autenticazione: my-splunk-token
Valore del token Il valore del token portatore per l'autenticazione

Fase 2: Abilita

Attiva Splunk in uno spazio specifico dell'agente e configura l'ambito appropriato

Configurazione

Dalla pagina Agent Space, seleziona uno spazio agente e premi Visualizza dettagli (se non hai ancora creato uno spazio agente, consulta) Creazione di uno spazio per agenti
Seleziona la scheda Funzionalità
Scorri verso il basso fino alla sezione Telemetria
Premi Aggiungi
Seleziona Splunk
Next
Rivedi e premi Salva
Copia l'URL del Webhook e la chiave API

Fase 3: Configurare i webhook

Utilizzando l'URL e la chiave API del Webhook, puoi configurare Splunk per inviare eventi per avviare un'indagine, ad esempio a partire da un allarme.

Per garantire che gli eventi inviati possano essere utilizzati dall' DevOps agente, assicurati che i dati trasmessi al webhook corrispondano allo schema di dati specificato di seguito. Gli eventi che non corrispondono a questo schema possono essere ignorati dall' DevOps agente.

Imposta il metodo e le intestazioni


    method: "POST",
    headers: {
      "Content-Type": "application/json",
      "Authorization": "Bearer <Token>",
    },

Invia il corpo come stringa JSON.


{
    eventType: 'incident';
    incidentId: string;
    action: 'created' | 'updated' | 'closed' | 'resolved';
    priority: "CRITICAL" | "HIGH" | "MEDIUM" | "LOW" | "MINIMAL";
    title: string;
    description?: string;
    timestamp?: string;
    service?: string;
    // The original event generated by service is attached here.
    data?: object;
}

Invia webhook con Splunk https://help.splunk.com/en/splunk- enterprise/alert-and-respond/alerting-manual/9.4/configure-alert-actions/use - a-webhook-alert-action (nota: seleziona nessuna autorizzazione e usa invece l'opzione di intestazione personalizzata)

Ulteriori informazioni:

Documentazione del server MCP di Splunk:/-platform/ -splunk-platform https://help.splunk.com/en/ splunk-cloud-platform mcp-server-for-splunk about-mcp-server-for
Requisiti e limitazioni di accesso per l'API REST di Splunk Cloud Platform: https://docs.splunk.com/Documentation/SplunkCloud/latest/RESTTUT/RESTandCloud
Gestisci i token di autenticazione nella piattaforma Splunk Cloud:/- https://help.splunk.com/en/ splunk-cloud-platform administer/manage-users-and-security/9.3.2411/authenticate-into-the-splunk-platform-with-tokens/manage or-delete-authentication-tokens
Crea e gestisci ruoli con Splunk Web: https://docs.splunk.com/Documentation/SplunkCloud/latest/Security/Addandeditroles

Rimozione

La fonte di telemetria è connessa a due livelli a livello di spazio dell'agente e a livello di account. Per rimuoverla completamente, è necessario prima rimuoverla da tutti gli spazi dell'agente in cui viene utilizzata, dopodiché può essere annullata la registrazione.

Fase 1: Rimuovi dallo spazio dell'agente

Dalla pagina degli spazi per gli agenti, seleziona uno spazio agente e premi Visualizza dettagli
Seleziona la scheda Funzionalità
Scorri verso il basso fino alla sezione Telemetria
Seleziona Splunk
Premi rimuovi

Fase 2: Annullare la registrazione dall'account

Vai alla pagina dei Capability Provider (accessibile dalla barra di navigazione laterale)
Scorri fino alla sezione Attualmente registrato.
Verifica che il numero di spazi per gli agenti sia pari a zero (in caso contrario, ripeti il passaggio 1 precedente negli altri spazi riservati agli agenti)
Premi Annulla registrazione accanto a Splunk

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Collegamento di New Relic

Connessione alla biglietteria e alla chat