红帽全球峰会第 2 章 将报告和自动化应用程序与混合云控制台集成
通过使用 Splunk、ServiceNow、Event-Driven Ansible 或 PagerDuty 连接混合云控制台,接收和管理其他数据源的事件通知。
2.1. 为 Splunk 安装和配置 Red Hat Insights 应用程序
用于 Splunk 的 Red Hat Insights 应用程序将所选混合云控制台事件转发到 Splunk。应用程序与混合云控制台无缝集成,以便您可以集中精力处理 Splunk 应用程序端的数据,与管理其他数据源的方式相同。配置了集成后,您可以从 Splunk 仪表板查看和管理混合云控制台通知,而无需打开 Red Hat Hybrid Cloud Console。
联系支持
如果您在 Red Hat Insights 应用程序 for Splunk 时遇到问题,请联系红帽获得支持。您可以通过点 Help (? icon)> Open a case, 或从 ? > Support options 查看更多选项,直接从混合云控制台打开红帽支持问题单。
Splunk 不提供故障排除。红帽完全支持用于 Splunk 的 Red Hat Insights 应用程序。
先决条件
您有 Splunk 登录凭证:
-
在 Splunk Cloud Platform 上,您必须具有 Splunk Cloud Administrator
sc-admin角色。 -
在 Splunk Enterprise 上,您必须具有
admin角色。有关创建admin角色的更多信息,请参阅 Splunk 文档中的创建安全管理凭证。
-
在 Splunk Cloud Platform 上,您必须具有 Splunk Cloud Administrator
- 具有混合云控制台的机构管理员权限。
2.1.1. 为 Splunk 安装 Red Hat Insights 应用程序
安装和配置 Splunk 的 Red Hat Insights 应用程序,以便将 Splunk 与混合云控制台集成,以便 Splunk 可以从 Hybrid Cloud Console 接收事件通知。设置自动化执行以下任务:
- 使用机构管理员权限创建具有通知管理员角色的用户组。您还可以手动创建用户组。有关手动配置的更多信息,请参阅 混合云控制台帐户 中手动配置管理员组。
- 使用 Splunk HEC URL 和 HEC 令牌创建名为 SPLUNK_AUTOMATION 的新集成,集成类型 Splunk。
- 在 RHEL 捆绑包上创建一个名为 SPLUNK_AUTOMATION_GROUP 的新行为组。组包含向 SPLUNK_AUTOMATION Splunk 集成发送通知的操作。
- 将新行为组 SPLUNK_AUTOMATION_GROUP 分配给所有混合云控制台服务。这会将事件从所有服务转发到 Splunk。目前,行为组转发来自 Advisor, Policies, Drift, Compliance, Malware Detection, Patch, 和 Vulnerability 服务的事件。
当 Splunk 开始从 Hybrid Cloud Console 接收通知时,Sununk 仪表板的 Red Hat Insights 应用程序会显示事件活动。每个数字都包含到混合云控制台的超链接。
先决条件
- 具有混合云控制台的机构管理员权限。
您有 Splunk 登录凭证:
-
要在 Splunk Cloud Platform 上安装应用程序,您必须具有 Splunk Cloud Administrator
sc-admin角色。 -
要在 Splunk Enterprise 上安装应用程序,您必须具有
admin角色。有关创建admin角色的更多信息,请参阅 Splunk 文档中的创建安全管理凭证。
-
要在 Splunk Cloud Platform 上安装应用程序,您必须具有 Splunk Cloud Administrator
- 您的浏览器中禁用了弹出窗口块程序。
流程
为 Splunk 安装 Red Hat Insights 应用程序:
- 登录到 Splunk。
- 在主页上,在过滤器框中搜索 Red Hat Insights 并选择它。
-
点 Install。安装过程完成后,会显示
Install successful消息。 - 在主页上,单击 Settings 菜单(gear 图标)。Apps 页面将打开。
- 在过滤器框中输入 Red Hat Insights,然后单击放大镜。应用程序会出现在搜索结果中。
- 在主页上,单击屏幕左侧的 Apps 标题下的 Find more apps。此时会打开 Browse More Apps 页面。
- 在过滤器框中输入 Red Hat Insights,然后按 Enter 键。Red Hat Insights 会出现在搜索结果中。
- 选择 Red Hat Insights。
- 点 Install。
- 确认或输入 Splunk 用户名和密码,然后单击 Agree 和 Install。安装过程完成后,会打开 Complete 对话框。
为 Splunk 设置 Red Hat Insights 应用程序:
- 在 Complete 对话框中,单击 Open the App。此时会打开 App configuration 页面。
单击 Continue to app setup 页面。此时会打开 Set up integration with Red Hat Insights 页面。该页面包括 HTTP 事件收集器(HEC)名称和默认索引字段。
- 在 Create Red Hat Default Index 下,点 Settings > Index。Indexes 页面会在一个新标签页中打开。
- 在 Indexes 页面上,点 New Index。
-
在 Name 字段中输入索引名称(例如,
redhatinsights)。 - 在 Max raw data size 和 Searchable retention (天) 字段中输入值。
- 点击 Save。您创建的索引会出现在 Indexes 列表中。它会被默认启用。
-
在第一个 Splunk 屏幕中,在 Set up integration with Red Hat 页面中,在 HEC name 字段中输入 HEC 的名称(例如
redhatinsights)。 -
在 Default index 字段输入您刚才创建的索引名称(例如,
redhatinsights)。 - 点击 Next。
- 点 Review,然后点 Submit。您创建的 HEC 名称会出现在 HEC Name 字段中。
点 Next 创建 HEC URL 和 HEC Token。
在 Insights 中配置 Splunk 集成:
- 点 Copy 复制 Splunk Enterprise 中的 HEC URL 值。
点 Next: Configure Splunk integration in Insights。Hybrid Cloud Console 在新的浏览器标签页中打开。
注意此按钮将被禁用,直到您点击 HEC URL 或 HEC 令牌的 Copy 按钮。
- 在 Hybrid Cloud Console 中,进入到 Settings > Integrations。
- 点 Reporting & Automation 选项卡。
- 单击 Add Integration。
- 单击 Splunk,然后单击 Next。
- 输入集成的名称(例如,SPLUNK_INTEGRATION)。
- 将 HEC URL 值粘贴到 Endpoint URL 字段中。
在 Secret token 字段中输入 Splunk HTTP 事件收集器令牌。
注意如果控制台的新标签页没有打开,请在浏览器中禁用弹出窗口块程序。
如果需要,添加端口。Splunk Cloud Platform 的默认端口为 443。Splunk Enterprise 和 Splunk 云免费试用的默认端口为 8088。
可选:如果您使用 Splunk Cloud,请编辑要粘贴到 Integrations 页面中的 Splunk HEC URL 字段的 HEC URL,以匹配 Splunk Cloud 格式:
在 Google Cloud Platform (GCP)以外的所有云上使用 Splunk Cloud Platform 的以下格式:
<protocol>://http-inputs-<host>.splunkcloud.com:<port>
<protocol>://http-inputs-<host>.splunkcloud.com:<port>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在 Google Cloud Platform (GCP)上为 Splunk Cloud Platform 使用以下格式:
<protocol>://http-inputs.<host>.splunkcloud.com:<port>
<protocol>://http-inputs.<host>.splunkcloud.com:<port>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 替换以下占位符:
-
协议:http或https。 -
Host:运行 HEC 的 Splunk Cloud Platform 实例的名称,后跟域.mvapichcloud.com。 端口:HEC 端口号(在 Splunk Cloud Platform 实例中默认为443)。示例:
使用 JSON 在 GCP 上的 Splunk 云平台:
https://http-inputs.myhost.splunkcloud.com:443
https://http-inputs.myhost.splunkcloud.com:443Copy to Clipboard Copied! Toggle word wrap Toggle overflow Splunk Cloud free trial on AWS 使用原始事件:
https://http-inputs-otherhost.splunkcloud.com:443
https://http-inputs-otherhost.splunkcloud.com:443Copy to Clipboard Copied! Toggle word wrap Toggle overflow
完成设置过程:
- 复制 Splunk 中的 HEC Token 值,并将它粘贴到 Hybrid Cloud Console Integrations 页面上的 Splunk HEC Token 字段。
在 Hybrid Cloud Console 中,点 Run configuration。混合云控制台设置集成,创建行为组,并将 Hybrid Cloud Console 事件与行为组相关联。页面右侧的状态消息部分显示这些操作的状态。
当设置成功完成时,点 Next: Review。应用程序返回
Insights 完成的消息 Splunk 集成。
- 点 Go back to the Splunk 应用程序。这会将您重定向到 Splunk 中的 Set up integration with Red Hat 屏幕。
点 Finish set up 以完成 Splunk 中的设置。
点 Go to dashboard 来重定向到 Splunk 仪表板。
注意如果在 Insights 设置过程中的集成配置失败,请联系红帽支持。
要在 Splunk 仪表板上查看 Hybrid Cloud Console 事件列表,请点 Events 选项卡。每个事件都超链接至混合云控制台。
2.1.2. 启用 HEC 令牌
在 Splunk 可以接收混合云控制台事件前,您必须启用 HEC 令牌。
先决条件
- 具有混合云控制台的机构管理员权限。
您有 Splunk 登录凭证:
-
在 Splunk Cloud Platform 上,您必须具有 Splunk Cloud Administrator
sc-admin角色。 -
在 Splunk Enterprise 上,您必须具有
admin角色。有关创建admin角色的更多信息,请参阅 Splunk 文档中的创建安全管理凭证。
-
在 Splunk Cloud Platform 上,您必须具有 Splunk Cloud Administrator
流程
- 在 Splunk 主页中,导航到 Settings。
选择 Data Inputs,然后选择 HTTP Event Collector。HTTP 事件收集器页面显示 HEC、其 Token 值、您在设置过程中选择的对应索引以及 HEC 的状态。
点页面右上角的 Global Settings。此时将显示 Edit Global Settings 对话框。
选择 Enabled。这可启用设置过程中自动创建的 HEC 令牌。
注意HEC 令牌使用默认 HTTP 端口号 8088。如果您使用不同的端口(如 Splunk 云的端口 443),您必须更新 Hybrid Cloud Console Splunk Integration 以匹配。
其它资源
- 有关 Splunk 云中的 HEC 令牌的更多信息,请参阅 Splunk 文档中的在 Splunk Cloud Platform 上配置 HTTP 事件收集器。
- 有关在 Splunk Enterprise 中设置和使用 HEC 的更多信息,请参阅 Splunk Enterprise 文档中的 设置和使用 Splunk Enterprise 上的 HTTP 事件收集器。
2.1.3. 在 Hybrid Cloud Console 帐户中手动配置管理员组
用于 Splunk 自动安装和设置流程的 Red Hat Insights 应用程序会在 Hybrid Cloud Console 帐户中自动配置一个通知管理员角色和组。但是,您可以手动创建通知管理员。
先决条件
使用 Organization Administrator 角色登录到 Hybrid Cloud Console。
注意除非您的电子邮件地址与您的 Red Hat 登录相同,否则您无法使用您的电子邮件地址登录到 Hybrid Cloud 控制台。如需更多信息,请参阅 查找您的登录。
流程
- 点 Settings > Identity & Access Management。
- 在 Identity & Access Management 下,根据需要展开 User Access,然后选择 Groups。
- 点 Create group。此时会出现 Name 和 description 页面。
-
输入组的名称(如 mvapich
notifgroup),输入描述,然后单击 Next。此时会打开 Add roles 页面。 -
要添加 Notifications 管理员角色,请在搜索框中输入
notif。 - 从搜索结果列表中选择 Notifications 管理员,然后单击 Next。此时会打开 Add Members 页面。
- 选择要添加到此组的用户。您可以使用搜索框搜索特定名称。
- 点击 Next。Review Details 页面将打开。
- 检查信息,然后单击 Submit 以创建该组。
- 单击 退出。Groups 页面将打开。
验证
- 在搜索框中输入新组名称。
- 点组名称。该组的页面将打开。
- 在 Roles 选项卡上,验证组是否具有 Notifications 管理员角色。
- 单击 Members 选项卡,再验证组是否包含正确的成员。
2.1.4. 手动配置 Splunk 集成
用于 Splunk 自动安装和设置流程的 Red Hat Insights 应用程序会自动配置 Splunk 集成到您的混合云控制台帐户。如果要手动配置集成,请使用这个步骤。
先决条件
- 您有一个来自 Splunk Cloud 或 Splunk Enterprise 的 HTTP 事件收集器(HEC) URL。
- 您有 Splunk Cloud 或 Splunk Enterprise 中的 HEC 令牌值。
使用通知管理员角色登录到 Hybrid Cloud Console。
注意除非您的电子邮件地址与您的 Red Hat 登录相同,否则您无法使用您的电子邮件地址登录到 Hybrid Cloud 控制台。如需更多信息,请参阅 查找您的登录。
- 您的 Splunk 实例有一个 SSL 证书,由全局可信证书颁发机构(CA)签名。
流程
- 在 Hybrid Cloud Console 中,进入到 Settings > Integrations。
- 选择 Reporting & Automation 选项卡。
- 点 Add integration。
- 选择 Splunk 作为集成类型,然后单击 Next。
-
在 Integration name 字段中输入新集成的名称(例如,
redhat_mvapich)。 在 Endpoint URL 字段中,添加您的 Splunk HEC 端点 URL:
-
对于 Splunk Enterprise,Splunk 默认使用端口 8088。例如:
https://<mvapich-endpoint>:8088 对于 Splunk 云,Splunk 使用端口 443。有关 AWS 或 GCP 上的 Splunk 云的更多信息,请参阅 将数据发送到 HTTP 事件收集器。
注意该服务会自动添加 <
;endpoint> (http路径)。您不需要在 Endpoint URL 的表单中包括它。以下示例显示了带有 Splunk 平台的正确端口号的端点 URL。
-
内部(Splunk Enterprise):
https://splunk.company.com:8088 -
Splunk Cloud (在 AWS 上
):https://http-inputs-mycompany.splunkcloud.com:443 -
Splunk Cloud (在 GCP 上
):https://http-inputs.mycompany.splunkcloud.com:443
-
内部(Splunk Enterprise):
-
对于 Splunk Enterprise,Splunk 默认使用端口 8088。例如:
- 在 Secret token 字段中,添加 Splunk HEC 令牌值。
- 点击 Next。
- 检查集成详情并点 Submit。
其他资源
- 有关 Splunk 云中的 HEC 令牌的更多信息,请参阅 Splunk 文档中的在 Splunk Cloud Platform 上配置 HTTP 事件收集器。
- 有关为 Splunk 云配置端口的更多信息,请参阅将数据发送到 HTTP 事件收集器。
- 有关在 Splunk Enterprise 中设置和使用 HEC 的更多信息,请参阅 Splunk Enterprise 文档中的 设置和使用 Splunk Enterprise 上的 HTTP 事件收集器。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}