Integration der TeamViewer Verbindungsprotokollierung in Splunk

Keine Bewertungen

(Nur für Splunk Enterprise verfügbar)

Voraussetzungen

Splunk Enterprise wurde heruntergeladen/installiert/konfiguriert.

https://www.splunk.com/de_de/download/splunk-enterprise.html

Splunk REST API Modular Input v1.5.7 wurde heruntergeladen/installiert/konfiguriert.

Es handelt sich um Splunk Modular Input für das Polling von REST APIs und die Indexierung der Antworten.

https://splunkbase.splunk.com/app/1546/#/details (auf Englisch)

Abhängigkeiten

Splunk 5.0+

Unterstützt auf Windows, Linux, MacOS, Solaris, FreeBSD, HP-UX, AIX

Einrichten

  • Entpacken Sie das Release Ihres Verzeichnisses $SPLUNK_HOME/etc/apps (Windows Benutzern wird die Verwendung von 7zip empfohlen).
  • Starten Sie Splunk erneut.
  • Bewegen Sie sich zu Manager --> Data Inputs --> REST und richten Sie Ihre Inputs ein.

RestDataInputs.png

Protokollierung

Alle modularen Eingabeprotokollfehler werden in $SPLUNK_HOME/var/log/log/splunk/splunkd.log geschrieben.

Fehlerbehebung

Verwenden Sie Splunk 5+?

Suchen Sie in $SPLUNK_HOME/var/log/splunk/splunkd.log nach Fehlern.

Blockieren Ihre Firewalls ausgehende HTTP-Aufrufe?

Sind Ihre REST URL, Header, URL-Argumente korrekt?

Ist Ihre Authentifizierung korrekt eingerichtet?

HTTP-Anfrage stellen

1. Erstellen Sie ein App-Token für den Aufruf der TeamViewer API.

  • Melden Sie sich in der Management Console an --> Firmenprofil verwalten --> Apps --> Skript-Token erstellen
    • Name: Splunk Integration (Ihre Präferenz).
    • Beschreibung: Optional
    • Verbindungsprotokollierung: Verbindungseinträge anzeigen

2.Bitte lesen Sie die API-Dokumentationsseite von TeamViewer für weitere Informationen: https://www.teamviewer.com/de/fur-entwickler/

  • Melden Sie sich am Splunk Webinterface an
  • Geben Sie die entsprechenden Daten ein:
    • Endpoint URL: https://webapi.teamviewer.com/api/v1/reports/connections
    • HTTP Method: GET
    • HTTP Header Properties: authorization=Bearer XXXXXX-XXXXXXXXXXXXXXXXX <-- Ihr Token
    • Response Type: json
    • Polling interval: (optional, da Splunk alle 60 Sekunden eine Abfrage startet)
    • Set sourcetype: Manual
    • Source type: _json
    • Save

2APIfields.png

3. Überprüfung der Ergebnisse

  • Wählen Sie oben links Apps --> Search & Reporting --> Data Summary --> Sources (mittlerer Tab) --> rest(“Name des Protokolls”)
  • Es wird empfohlen, von der Ansicht “Raw” für die Ermittlung des Mittelwerts zur Ansicht “Table” zu wechseln.

ReportingView.png

 

Dank des Feedbacks einiger unserer Nutzer möchten wir Ihnen mitteilen, dass es ratsam ist, den Verbindungsbericht auf einen bestimmten Zeitraum zu beschränken, da Splunk den Verbindungsbericht JSON trunkieren kann.

Das Zeitstempelformat ist YYYY-MM-DDTHH:MM:MM:SSZ. Ein Beispiel für eine URL für die Anforderung von Verbindungsberichten mit Zeitbeschränkungen wäre https://webapi.teamviewer.com/api/v1/reports/connections?from_date=2019-01-31T19:20:30Z&to_date=2019...

Weitere Informationen zu den TeamViewer Verbindungsprotokoll API-Parametern finden Sie unter https://www.teamviewer.com/de/integrationen/verbindungsprotokolle/.

Versionsverlauf
Revision-Nr.
2 von 2
Letzte Aktualisierung:
August
Aktualisiert von:
 
Beschriftungen (2)
Beitragleistende