Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

将 Splunk 与 Mist Webhook 集成

请按照以下说明配置 Splunk 并设置从瞻博网络 Mist™ 到 Splunk 实例的 Webhook。

Splunk 使用 HTTP 事件收集 (HEC) 来接收包含数据有效负载的 HTTP POST 请求。这使得 Mist 等云服务能够使用 Webhook 将数据发送到 Splunk。

如何实施 HEC 取决于您的 Splunk 服务:

  • 如果您运行的是托管 Splunk 云,则需要向 Splunk 支持人员提出工单以配置 HEC。

  • 如果您有自助服务 Splunk 或 Splunk Enterprise(本地),则可以按照以下说明配置 HEC 以接收来自 Mist 的 Webhook。

在 Splunk 中配置 HEC

开始之前: Webhook 需要 IP 可从 Mist 云访问您的 Splunk 实例。换句话说,您需要一个可公开访问的 Splunk 服务器的 URL,并打开 HTTP 端口。

  1. 在 Splunk GUI 中,转到设置>数据输入
  2. 转到 HTTP 事件收集器>添加新的
  3. 提供名称和源名称覆盖。

    如果您的组织使用 Splunk 输出组,请选择适当的输出组。否则,请忽略“输出组”选择。

  4. 单击下一步
  5. 配置以下字段:
    1. 对于 源类型,单击 选择 按钮,将鼠标悬停在结构化上,然后从列表中选择_json
    2. 创建一个新的索引并将其命名为 network。对于索引数据类型,选择指标,对于应用程序,选择搜索和报告
    保存新索引后,从“可用项目”列表中单击它,它将显示在“所选项目”列表中。
  6. 单击“查看”。
  7. 验证设置并点击提交。
  8. 记录令牌值。Mist Webhook 配置将需要此项服务。
  9. 导航回“设置”}“数据输入”}“HTTP 事件收集器”。
  10. 单击右上角的全局设置
  11. 将默认源类型指定为 _json。

    端口 8088 是默认设置。如果需要,可以指定默认索引。

    这样就完成了 Splunk 中的 HEC 设置。
  12. 通过在 Linux CLI中执行以下命令来测试 Splunk HEC 配置。Linux 机器必须能够通过网络访问 Splunk 实例。

上一步的结果应类似于: {“text”:“Success”,“code”:0}。如果您没有看到成功消息,请确认没有防火墙阻止 Splunk 实例上的 HEC 端口。

将 Mist Webhook 配置为指向您的 Splunk 实例

开始之前

您必须准备好以下信息,以便完成 Mist 配置:

  • Splunk HEC 实例的 FQDN
  • HEC 正在侦听的端口号(默认值为 8088)
  • 您的 Splunk HEC 令牌

您可以在 Mist 中从组织级别或站点级别配置 Webhook。对于此示例,我们配置了一个组织级别的 Webhook,我们将订阅的主题将是“审计”、“警报”和“设备事件”。

  1. 登录 贵组织的 Mist 门户。
  2. 导航到组织 } 设置并复制您的组织 ID
  3. 导航至 https://api.mist.com/api/v1/orgs/:org_id/webhooks
    注意:

    您必须用上面 URL 中的“org_id”替换您的真实组织 ID。
  4. 在以下 JSON 代码块中,进行以下替换:

    • 将 Splunk 实例的全限定域名 (FQDN) 替换为 SPLUNK 的 {FQDN}

    • 替换 Splunk 实例侦听 {PORT} 的端口

    • 用实际的 Splunk 令牌替换为 {SPLUNK 令牌}

    注意:将占位符值替换为实际值,例如 FQDN、端口和令牌。
  5. 替换后,复制整个 JSON 块并将其粘贴到页面底部的“内容”框中。
  6. 准备好后单击“发布”按钮。
现在可以验证配置是否在窗口的顶部字段中,以及 id 字段是否包含数据。

这证实了 Mist 和 Splunk 可以通信。

也可以看看