Хранение журналов аудита ClickHouse Cloud в Splunk
Splunk — это платформа для анализа и мониторинга данных.
Этот аддон позволяет пользователям хранить журналы аудита ClickHouse Cloud в Splunk. Он использует ClickHouse Cloud API для загрузки журналов аудита.
Этот аддон содержит только модульный ввод, дополнительный пользовательский интерфейс не предоставляется.
Установка
Для Splunk Enterprise
Скачайте аддон ClickHouse Cloud Audit для Splunk с Splunkbase.
В Splunk Enterprise перейдите в Apps -> Manage. Затем нажмите на Install app from file.
Выберите архивный файл, загруженный с Splunkbase, и нажмите Upload.
Если все прошло успешно, вы теперь должны увидеть установленное приложение ClickHouse Audit logs. Если нет, проверьте журналы Splunkd на наличие ошибок.
Конфигурация модульного ввода
Для настройки модульного ввода вам сначала потребуется информация из вашего развертывания ClickHouse Cloud:
- Идентификатор организации
- Административный ключ API
Получение информации из ClickHouse Cloud
Войдите в консоль ClickHouse Cloud.
Перейдите в вашу Организацию -> Информация об организации. Там вы сможете скопировать Идентификатор организации.
Затем перейдите в API Keys в левом меню.
Создайте ключ API, дайте ему осмысленное имя и выберите права Admin. Нажмите на Generate API Key.
Сохраните ключ API и секретное слово в безопасном месте.
Настройка ввода данных в Splunk
Вернитесь в Splunk, перейдите в Settings -> Data inputs.
Выберите ввод данных ClickHouse Cloud Audit Logs.
Нажмите "New", чтобы настроить новый экземпляр ввода данных.
После ввода всей информации нажмите Next.
Ввод настроен, вы можете начать просматривать журналы аудита.
Использование
Модульный ввод хранит данные в Splunk. Чтобы просмотреть данные, вы можете использовать общий интерфейс поиска в Splunk.
