Хранение журналов аудита ClickHouse Cloud в Splunk
Splunk — это платформа для аналитики и мониторинга данных.
Этот подключаемый модуль позволяет пользователям хранить журналы аудита ClickHouse Cloud в Splunk. Он использует ClickHouse Cloud API для загрузки журналов аудита.
Этот подключаемый модуль содержит только модульный ввод, никаких дополнительных интерфейсов с этим модулем не предоставлено.
Установка
Для Splunk Enterprise
Скачайте ClickHouse Cloud Audit Add-on для Splunk с Splunkbase.
В Splunk Enterprise перейдите в Apps -> Manage. Затем нажмите на Install app from file.
Выберите загруженный архивированный файл из Splunkbase и нажмите Upload.
Если все пройдет успешно, вы должны увидеть установленное приложение ClickHouse Audit logs. Если нет, проверьте журналы Splunkd на наличие ошибок.
Настройка модульного ввода
Чтобы настроить модульный ввод, вам сначала потребуется информация из вашей установки ClickHouse Cloud:
- Идентификатор организации
- Администраторский API Key
Получение информации из ClickHouse Cloud
Войдите в консоль ClickHouse Cloud.
Перейдите в вашу Организацию -> Подробности организации. Там вы можете скопировать идентификатор организации.
Затем перейдите в API Keys в левом меню.
Создайте API Key, дайте ему осмысленное имя и выберите привилегии Admin. Нажмите на Generate API Key.
Сохраните API Key и секретное значение в надежном месте.
Настройка ввода данных в Splunk
Вернитесь в Splunk, перейдите в Settings -> Data inputs.
Выберите ввод данных журнала аудита ClickHouse Cloud.
Нажмите "New", чтобы настроить новый экземпляр ввода данных.
После того как вы ввели всю информацию, нажмите Next.
Ввод настроен, теперь вы можете начать просматривать журналы аудита.
Использование
Модульный ввод хранит данные в Splunk. Чтобы просмотреть данные, вы можете использовать общий интерфейс поиска в Splunk.
