Edwin AI Splunk クラウド統合
最終更新日 - 25年2025月XNUMX日
LogicMonitor Edwin AI Splunk統合により、Edwin AIはSplunk Cloud環境からイベントデータをリアルタイムで受信し、正規化することができます。この統合により、設定可能なYAMLベースのマッピング構造を使用して、受信したSplunkイベントをEdwin Common Event Format(CEF)に変換します。
この統合では、フィールド抽出、エンリッチメント、正規化、およびデフォルトのフォールバック ロジックがサポートされ、Edwin AI へのクリーンかつ一貫したイベントの取り込みが保証されます。
Edwin AI Splunk 統合を設定するには、次のタスクを完了します。
- Edwin AI統合ZIPパッケージをSplunk Cloud環境にインストールする
- Edwin AI API 認証情報を入力してください
- カスタマイズする
splunk_mappings.yamlイベントの解析と強化方法を制御するファイル - フィールドのマッピングと変換を検証する
Edwin AI Splunk統合を構成するための要件
Edwin AI Splunk 統合をインストールして構成するには、次のものが必要です。
- Splunk Cloudインスタンスへのアクセス
- 有効なEdwin AI APIトークン
- Edwin AI の組織名
- Edwin AI 統合 ZIP パッケージ
ZIP パッケージを入手するには、Edwin AI カスタマー サポート マネージャーにお問い合わせください。 splunk_mappings.yamlconfiguration file
Edwin AI Splunk Cloud 統合のインストールと設定
- Splunk Cloudで、 アプリ > Appsの管理.
- 選択する ファイルからアプリをインストールする次に、Edwin AI ZIP パッケージをアップロードします。
注意: zip パッケージがアップロードされた後、プロンプトが表示されたら Splunk インスタンスを再起動します。
- インストールされているものを開きます Edwin AI統合アプリ > ページで見やすくするために変数を解析したりすることができます。
- APIトークン フィールドに、Edwin API トークンを入力します。
- 組織名 フィールドに、Edwin AI 組織名を入力します。
- 選択する Save.
- 動画内で
splunk_mappings.yaml統合にバンドルされているファイル。
ファイルを確認して、マッピング、タイムスタンプ、変換、デフォルトのセクションが Splunk Cloud データ構造と一致していることを確認します。
必要に応じて、環境に合わせてマッピング ロジックをカスタマイズします。
注意: 必須フィールドはすべて、直接マッピングまたはデフォルト値のいずれかで設定する必要があります。これらのフィールドが設定されていないイベントは、Edwin AI によって拒否されます。
- 選択する 保存する、 設定をリロードします。
フィールドマッピングと変換の構成
その splunk_mappings.yaml ファイルは次の 4 つの主要な構成ブロックで構成されます。
- マッピング
- タイムスタンプ
- 変換
- デフォルト
Splunk イベントフィールドを Edwin AI フィールドにマッピングする
マッピングは、SplunkイベントフィールドをEdwin AIフィールドに変換する方法を定義します。 マッピング のセクション splunk_mappings.yamSplunk フィールドのマッピング方法を定義します。
次の表は、各 Splunk Cloud イベント フィールドのマッピング内容の説明を示しています。
| イベントソース | 元のシステム(例:Splunk) |
| イベント_ci | ホストまたはリソース(IPアドレスやホスト名など) |
| イベントオブジェクト | ホストのインスタンスまたはサブコンポーネント |
| イベント名 | アラートまたはメトリックの短縮名 |
| イベントの重大度 | アラートの重大度レベル |
| イベントの説明 | アラートの1行要約 |
(オプション) イベントの詳細 | 詳細なメッセージまたは説明 |
| イベント時間 | アラートのタイムスタンプ |
| (オプション) イベントドメイン | 顧客またはテナント識別子 |
| イベントID | 一意の識別子(UUID) |
(オプション) *_リンク フィールド | Splunk内の関連オブジェクトへのハイパーリンク |
重要: 必須フィールドは明示的にマップされるか、デフォルトにされる必要があります。
次の表は、マッピングされた Edwin AI フィールドと Splunk イベント フィールドの例を示しています。
| イベント_ci | $.構成アイテム名 |
| イベントオブジェクト | $.obj[1].name |
| イベントソース | $.ソース |
| イベント名 | $.アラート名 |
| イベントの説明 | 変数を含む string_template を使用する |
| イベントの重大度 | $.イベントの重大度 |
| イベント時間 | $.timestamp(推測可能) |
| イベントID | $.event.identifier (UUID 形式) |
以下は、Edwin AI フィールドを使用して動的な文字列を構築する方法の例を示しています。
event_description:
string_template: "sample text {variable1} {v2}"
variable1: ["$.alert_name"]
v2: ["$.not_exist", "$.configurationItem.name", "$.source"]Splunk Cloud タイムスタンプ
タイムスタンプは、 event_time 値が解析されます。
次の表には、各タイムスタンプ オプションの例が含まれています。
| type | datetime または unix |
datetime | day_first、year_first、オフセット |
| オフセットサポート | {BST: 3600、PST: -28800XNUMX} |
Splunkクラウド変革
変換は、Splunk から受信した値をマップする前に正規化します。
次のコード サンプルは、変換によって入力値が正規化される方法を示しています。
transforms:
event_severity:
critical: ["crt", "code red"]
major: ["maj"]
minor: ["min"]
warning: ["wrn"]
indeterminate: ["sdt"]
clear: [0, 255]Splunk Cloud のデフォルト
デフォルトは、マッピングが欠落しているかnullの場合に、必須フィールドのフォールバック値を定義します。デフォルトを定義することで、Edwin AIとSplunk Cloud間のイベント拒否を防ぐことができます。
次のコード サンプルは、デフォルトでフォールバック値を定義する方法を示しています。
defaults:
event_ci: "defaultEventCI"
event_object: "defaultEventObject"
event_source: "Splunk"
event_name: "defaultEventName"
event_description: "Default event description"
event_severity: 1
event_ci_link: "https://example.com/ci/test-host"
event_name_link: "https://example.com/event/test-event"イベントペイロードでのエンリッチメントの使用
エンリッチメントを使用すると、各イベントにカスタムの静的または動的フィールドを追加できます。これらのエンリッチメントは、Edwin AI内で追加の列またはメタデータとして表示され、ルーティング、割り当て、またはインシデントの相関分析に役立ちます。
エンリッチメントには静的な文字列値(例えば、 source_tool: Splunk)、変数置換機能を備えた動的文字列テンプレート、フォールバックロジック用のJSONパスの優先順位リストなど、様々な機能を備えています。これらの機能により、データソース間でフィールドが異なる場合でも、各イベントに意味のあるコンテキストを付加できます。
次のコード サンプルは、JSON パスでエンリッチメントを使用する方法を示しています。
enrichments:
source_tool: "Splunk"
environment: "prod"
team:
string_template: "{owner}"
owner: ["$.configurationItem.team", "$.fallbackTeam"]推奨事項: エンリッチメントを使用して、イベントの明確さを向上させ、ワークフローを自動化し、Edwin AI で高度なフィルタリングをサポートします。
