Integration von TeamViewer Verbindungsprotokollen in Splunk

Keine Bewertungen

(Nur für Splunk Enterprise verfügbar)

Voraussetzungen

Splunk Enterprise wurde heruntergeladen/installiert/konfiguriert

https://www.splunk.com/en_us/download/splunk-enterprise.html

Splunk REST API Modular Input v1.4 wurde heruntergeladen/installiert/konfiguriert

Es handelt sich um Splunk Modular Input für das Polling von REST APIs und die Indexierung der Antworten.

https://splunkbase.splunk.com/app/1546/#/details

Abhängigkeiten

Splunk 5.0+

Unterstützt auf Windows, Linux, MacOS, Solaris, FreeBSD, HP-UX, AIX

Einrichten

  • Entpacken Sie das Release Ihres Verzeichnis $SPLUNK_HOME/etc/apps (Windows Benutzern wird die Verwendung von 7zip empfohlen).
  • Starten Sie Splunk erneut.
  • Suchen Sie Manager -> Data Inputs -> REST und richten Sie Ihre Inputs ein.

RestDataInputs.png

  

Protokollierung

Protokollfehler beim modularen Input werden in die Datei $SPLUNK_HOME/var/log/splunk/splunkd.log geschrieben.

Fehlerbehebung

Verwenden Sie Splunk 5+?

Suchen Sie in $SPLUNK_HOME/var/log/splunk/splunkd.log nach Fehlern.

Blockieren Ihre Firewalls ausgehende HTTP-Aufrufe?

Sind Ihre REST URL, Header, URL-Argumente korrekt?

Ist Ihre Authentifizierung korrekt eingerichtet?

HTTP-Anfrage stellen

1. Erstellen Sie ein App-Token für den Aufruf der TeamViewer API.

  • Gehen Sie auf die MCO > Firmeneinstellungen>Apps>Skript-Token erstellen
    • Name: Splunk Integration (Ihre Wahl).
    • Beschreibung: Optional
    • Verbindungsprotokoll: Verbindungseinträge anzeigen

2. Bitte beachten Sie die Seite zu weiteren Anfragen der Dokumentation für die TeamViewer API: https://integrate.teamviewer.com/en/develop/api/documentation/

  • Melden Sie sich am Splunk Webinterface an: http://HOSTNAME:8000
  • Geben Sie die entsprechenden Daten ein:
    • Endpoint URL: https://webapi.teamviewer.com/api/v1/reports/connections
    • HTTP Method: GET
    • HTTP Header Properties: authorization=Bearer XXXXXX-XXXXXXXXXXXXXXXXX <- your token
    • Response Type: json
    • Polling interval: (optional, da Splunk alle 60 Sekunden eine Abfrage startet)
    • Set sourcetype: Manual
    • Source type: _json
    • Save

2APIfields.png

3. Ergebnisse prüfen

  • Wählen Sie oben links Apps>Search & Reporting>Data Summary>Sources (mittlerer Tab)>rest(“Name des Protokolls”)
  • Es wird empfohlen, von der Ansicht “Raw” für die Ermittlung des Mittelwerts zur Ansicht “Table” zu wechseln.

ReportingView.png

 

 

Versionsverlauf
Revision-Nr.
1 von 1
Letzte Aktualisierung:
‎08 Mär 2019, 1:00 PM
Aktualisiert von:
 
Beschriftungen (2)
Beitragleistende