TeamViewer接続レポートのSplunkへの統合

評価なし

(Splunk Enterpriseにのみ使用可能です)

 

前提条件

Splunk Enterpriseをダウンロード/インストール/設定します。

https://www.splunk.com/en_us/download/splunk-enterprise.html

Splunk REST API Modular Input v1.4をダウンロード/インストール/設定します。

これは、REST APIをポーリングして応答をインデックス化するためのSplunk Modular Inputです。

https://splunkbase.splunk.com/app/1546/#/details

 

依存性

Splunk 5.0+

Windows、Linux、MacOS、Solaris、FreeBSD、HP-UX、AIXでサポートされます。

 

設定

  • リリースを$SPLUNK_HOME/etc/appsディレクトリにuntarで解凍します (Windowsユーザーには7zip推奨)。
  • Splunkを再起動します。
  • [Manager] -> [Data Inputs] -> [REST] と参照して、入力を設定します。

RestDataInputs.png

  

 

ログ記録

Modular Inputは、エラーを$SPLUNK_HOME/var/log/splunk/splunkd.logに書き込みます。

 

トラブルシューティング

Splunk 5+をお使いですか?

エラーを$SPLUNK_HOME/var/log/splunk/splunkd.logで確認しましたか?

ファイアウォールが外向きのHTTPコールをブロックしていませんか?

REST URL、ヘッダ、URL引数は正しいですか?

認証は正しく設定されていますか?

 

HTTPリクエストの作成

1. TeamViewer APIを呼び出すアプリトークンを作成します。

  • [MCO] > [<企業プロファイル>の管理] > [アプリ] >[スクリプトトークンの作成] にログインします。
    • 名前: Splunk統合 (自分の設定による)
    • 内容: オプション
    • 接続レポート: 接続エントリを表示する

2. その他のリクエストについては、TeamViewerのAPIドキュメントページをご確認ください。https://integrate.teamviewer.com/en/develop/api/documentation/

  • 次のSplunk ウェブインターフェースにログインします: http://HOSTNAME:8000
  • 適切なフィールドに入力します:
    • エンドポイントのURL: https://webapi.teamviewer.com/api/v1/reports/connections
    • HTTPメソッド: GET
    • HTTPヘッダプロパティ: authorization=Bearer XXXXXX-XXXXXXXXXXXXXXXXX < – 自分のトークン
    • 応答の種類: JSON
    • ポーリング間隔: (オプション。Splunkは60秒ごとにポーリングする)
    • ソースタイプの設定: 手動
    • ソースタイプ: _json
    • 保存します。

2APIfields.png

3. 結果の確認

  • 左上で [アプリ] > [検索 & レポート] > [データサマリー] > [ソース] (中間のタブ)> [REST] (「レポート名」) と選択します。
  • 結果を分かりやすくするため、「Raw」表示を「テーブル」表示に変更することを推奨します。

ReportingView.png

 

 

バージョン履歴
改訂番号
2/2
最終更新:
‎18 9 2018, 11:19 AM
更新者:
 
ラベル(1)
寄稿者: