通过阅读此文,你可了解如何在飞书中快速查询与监控 Splunk 日志信息。
一、功能简介
Splunk 助手是飞书科技提供的官方应用,能帮助你在飞书上无缝查询与监控 Splunk 内的日志信息,快速解决产品研发问题。在飞书聊天框中输入指令“search XX”或“search saved XX”,你可以快速找到相关日志信息。与此同时,将从 splunk 助手获取的 webhook 配置到 splunk 中后,当有新的告警发生时,你将会在飞书中实时收到通知提醒。
二、基础配置
1. 开始配置
- •进入飞书,在左上角搜索栏中搜索 Splunk 助手,在与助手的对话框中点击去配置,随后将打开应用配置侧边栏
- •获取并填写 Splunk Token,Host,Port 和 Splunk Url 后,点击保存完成配置
2. 获取 Splunk Token
- •登录 Splunk 网站,在首页中打开设置面板,点击添加数据菜单中的标记按钮
- •点击新建标记,将打开新建标记弹窗
- •填写具体标记内容,填写时请注意:受众内容和用户保持一致即可,过期时间和不早于时间并非必填项,可以忽略不填
- •点击新建后,标记框中的内容便是 Splunk Token 内容
3. 获取 Port
- •在 Splunk 网站首页中打开设置面板,点击添加数据菜单中的服务器设置按钮
- •进入服务器设置页面,点击打开常规设置
- •进入常规设置页面,管理端口内容即是 Port 内容
4. 获取 Splunk URL
- •Splunk 网址的前面部分即为 Splunk URL,如:http://129:211.92.66:8000
5. 获取 Host
- •Splunk URL 的 IP 域名部分即为 Host, 如:129.211.92.66
三、报警配置
你可以将飞书中的 webhook 配置到 Splunk 中,当 Splunk 中有告警信息发生时,将会在飞书中收到消息提醒。
1. 获取 Webhook
- •进入飞书,在与 Splunk 助手的对话框中输入 get_webhook, 即可获取 Webhook 地址
2. 重启 Splunk
- •进入常规设置页面,填写真实的 Splunk 服务器名称后,点击保存
- •在 Splunk 网站首页中打开设置面板,点击添加数据菜单中的服务器控件按钮
- •进入服务器控件页面,点击重新启动 Splunk
3. 配置 Webhook
- •在 Splunk 网站首页中打开设置面板,点击添加数据菜单中的搜索、报表和告警按钮
- •进入搜索、报表和告警页面,点击新告警,将打开新告警弹窗
- •进入新建告警弹窗,填写标题、描述和搜索,此处搜索中内容即为执行搜索命令的语句,应用选择“Webhook Alert Action(alert_webhook)”,随后完善下面执行搜索语句和报警触发条件的配置
- •点击添加操作,并选择其中 Webhook
- •将从飞书中获取的 Splunk Webhook 粘贴进来,点击保存即可
- •当 Splunk 中有新告警出现时,你就可以在飞书中实时收到通知提醒了
四、查询日志
1. 私聊查询日志信息
- •打开 Splunk 助手聊天框内输入指令“search XX”,你可以在飞书中快速找到日志信息,如:search source="info.log" |timechart count
- •输入指令“search saved XX”,你可以在飞书中搜索已经保存的搜索指令,如:search saved Messages by minute last 3 hours
2. 群聊查询日志信息
- •打开特定群聊,点击设置,将 Splunk 助手机器人添加到群聊中
- •在群聊中 @ Splunk 助手,并输入指令“search XX”,你可以在飞书中快速找到日志信息,如:@Splunk 助手 search source="info.log" |timechart count
- •在群聊中 @ Splunk 助手,输入指令“search saved XX”,你可以在飞书中搜索已经保存的搜索指令,如:@Splunk 助手 search saved Messages by minute last 3 hours
常见问题
问:如何查看已经保存了哪些搜索指令?
答:
1. 进入 Splunk 主页,点击进入 Search & Reporting 页面
2. 点击报表,在此处你可以查看现在已经被保存的搜索指令