Catchpoint 可以通过两种方式和Splunk Cloud做集成,第一种是通过Heavy Forwarder转发,即将Splunk Enterprise 配制成HF,然后在HF上安装 Catchpoint Search app,Catchpoint 通过RestFul api将Catchpoint的log信息传输到Splunk中。另外一种方式是通过HEC,这种方式就更加简单,而且很容易上手。
1. 首先,需要有HEC信息,包括URL和index token,这些需要从你的Splunk Admin 那里获得。
2. 在Catchpoint中,进入到API 设置页面,创建一个 Test Data Webhook。
3.在Webhook 设置界面填入必要的信息, URL就是Splunk 用于收集log信息的endpoint ,在Request section里,Value这个字段中填入index token,需要以Splunk index token 格式。
On Failure Alert则填写log转发不成功时,需要通知的联系人的邮件地址。
4.接着就是要配置Format,这里需要定义Splunk用于辨别log信息数据来源的一些基本信息,如Index,source。下面是一个例子。根据自己的需求填写相应的值。Index值需要和index token一一对应。
5. 在配置完后,需要注意的是,如果这是唯一一个Webhook,需要将这个设置为default,并且状态需要为active状态,如图二。
6. 确认配置好Webhook后,需要在Product level激活Test Data Webhook,在Product level可以选择某个Webhook,在Test Level就不能选择Webhook。 这个场景适合于有多个不同的Index,同一个Index的test需要放在同一个Product Level下,不然Log data就会混乱。
7.然后在Test level只能选择需不需要打开Webhook,如果打开就会默认选择使用Product Level的webhook,然后将log data 发送到配置的index中。如有不同的环境,需要将log data在splunk中用不同的index进行区分,那么在Catchpoint中需要将不同环境的test放到不同的Product folder中以启用不同的webhook。
