概述
本文为 EdgeOne 实时日志推送 Splunk 的操作实践指南。Splunk 是一款功能强大的数据平台,支持海量数据的收集、索引和分析,广泛用于安全日志分析、运维监控等场景。通过本教程,您可以将 EdgeOne 实时日志推送至 Splunk,实现统一的日志分析与可视化能力。
前提条件
操作步骤
Splunk 平台准备
1. 登录 Splunk 控制台。
2. 在左侧导航中点击 Settings > Indexes,创建一个索引(例如:
cdn_log)。
3. 前往 Settings > Data Inputs 页面,选择 HTTP Event Collector (HEC)。
4. 创建一个新的 Token(例如:HECEdgeOne),配置方式如下:
启用接收事件:勾选 Enable。
默认索引:选择先前创建的索引,例如:
cdn_log。
预览配置后,点击 Submit。
记录生成的 Splunk HTTP 事件控制器的令牌值,后续配置中将用作鉴权凭据。
EdgeOne 实时日志推送配置
1. 在目的地信息页面,填写相关目的地及参数信息。
接口地址:请检查您的 Splunk HTTP 事件控制器端点。此处以
https://example.splunkcloud.com:8088/services/collector/event 为例;内容压缩:为减少日志内容的大小,节约流量开销,您可以通过勾选使用 gzip 压缩日志文件开启内容压缩,EdgeOne 将会使用 gzip 格式压缩日志后再传输日志,并且会增加 HTTP 头部
Content-Encoding: gzip 来标明压缩格式;源站鉴权:选择为“无”;
自定义 HTTP 请求头:添加
Authorization 作为标头名,并将先前设置的 Splunk HTTP 事件控制器令牌值 粘贴为标头值。
2. 单击推送。
3. 实时日志推送任务在配置阶段为了校验接口连通性,将向接口地址发送测试数据进行验证,详情请参见 推送至 HTTP 服务器。
验证
在 Datadog 日志资源管理器中查看 EdgeOne 实时日志是否成功送达。
1. 登录 Splunk 控制台。
2. 点击 Apps > Search & Reporting。
3. 在 Splunk 搜索条件中输入
index="cdn_log"。4. 查看 EdgeOne 推送的实时日志内容。
