Introducir datos en ITSI
Hay dos formas de introducir datos en ITSI: entidades y paquetes de contenido.
Entidades e integración de entidades
Las entidades y las integraciones de entidades se utilizan para recopilar y agregar datos en Splunk ITSI. Los datos se recopilan en lo que denominamos entidades. Puedes definir las entidades de la forma que mejor se adapte a tus necesidades, pero esto suele incluir datos de servidores, grupos de DNS, firewalls u otros dispositivos. Los datos pueden ser métricas, registros o rastreos, es decir, cualquier cosa que te ayude a tener una mejor visibilidad del estado de los servicios de los que eres responsable. Los datos se transmiten y recopilan a partir de sistemas nativos o herramientas de administración y supervisión, como Splunk Infrastructure Monitoring .
Todas las entidades existen en el equipo global y se pueden crear de varias maneras:
Crea manualmente una sola entidad en ITSI
Crea una entidad única en ITSI para asociar tus eventos Splunk platform el despliegue recibe.
Debe iniciar sesión como usuario con el rol ITSI itoa_admin o itoa_team_admin.
Para obtener más información, consulte Cree una entidad única en ITSI .
Importación manual de entidades desde una búsqueda de Splunk en ITSI
Cree entidades a partir de las búsquedas de los módulos ITSI, las búsquedas guardadas o las búsquedas ad hoc utilizando los datos indexados que ingresan a su Splunk platform despliegue.
ITSI usa el
itsiimportobjects
comando para importar entidades de las búsquedas.
Puede importar un máximo de 50 000 entidades a la vez en ITSI. Si intenta importar más de 50 000 entidades, solo se importarán las primeras 50 000.
Requisitos previos:
- Función ITSI: debe iniciar sesión como usuario con la función ITSI itoa_admin o itoa_team_admin y acceder al equipo global.
- Datos indexados: ya debe haber indexado los datos que desea asociar a las entidades.
Para obtener más información, consulte Importar entidades desde una búsqueda en ITSI .
Importación manual de entidades desde un archivo CSV en ITSI
La importación de entidades desde archivos CSV es una forma eficaz de definir varias entidades. Puede volcar los datos de una base de datos de gestión de cambios (CMDB) o de una base de datos de inventario de activos en un archivo CSV y automatizar la importación para obtener actualizaciones continuas.
ITSI usa el
itsiimportobjects
comando para importar entidades desde un archivo CSV. Todos los eventos son tuyos
Splunk platform
los índices de implementación de una entidad manual, la importación de un archivo CSV se almacenan en el
itsi_import_objects
índice y cada evento tiene el
itsi_import_objects:csv
tipo de fuente.
Puede importar un máximo de 50 000 entidades a la vez en ITSI. Si intenta importar más de 50 000 entidades, solo se importarán las primeras 50 000.
Requisitos previos:
- Función ITSI: debe iniciar sesión como usuario con la función ITSI itoa_admin.
- Archivo CSV: debe tener un archivo CSV que contenga definiciones de entidades. Especifique los nombres de las columnas en la primera fila. En cada fila subsiguiente, especifique el título y el tipo de entidad de la entidad, así como uno o más alias de la entidad y uno o más campos de información de la entidad. Para asociar una entidad a un servicio, proporciona una columna con el nombre del servicio. La importación desde un archivo CSV tiene un límite de un servicio y una entidad por fila. No hay límite en la cantidad de servicios dependientes, alias de entidad o valores de reglas de entidad por fila. Un archivo CSV puede contener varias filas. La importación desde un archivo CSV admite cinco separadores diferentes: coma (,), punto y coma (;), barra vertical (|), tabulación (\ t) y signo de intercalación (^).
En este ejemplo, desea crear dos entidades denominadas appserver-04 y appserver-05, y asociar appserver-04 con el servicio Web A y asociar appserver-05 con el servicio Web B. El servicio Web A ya existe en ITSI, pero el servicio Web B no. La siguiente imagen muestra el archivo CSV que se va a importar:
Para obtener más información, consulte Importe entidades desde un archivo CSV en ITSI .
Después de importar las entidades mediante la creación de entidades individuales o desde una búsqueda en Splunk, puede configurar las importaciones periódicas para actualizar las entidades existentes y crear nuevas entidades. Sin embargo, no puedes configurar una importación recurrente de entidades desde un archivo CSV. Para configurar la importación periódica de entidades a partir de datos almacenados en un archivo CSV, debes configurar un reenviador universal para supervisar el archivo CSV y enviar los datos a tu Splunk platform despliegue, ejecute una importación de entidades desde una búsqueda de Splunk y configure una importación recurrente desde la búsqueda de Splunk.
Para obtener más información, consulte Configura una importación periódica de entidades desde un archivo CSV .
También puede crear entidades automáticamente y recopilar datos de forma recurrente con las integraciones de entidades de ITSI. Las integraciones que están disponibles son:
- Integración de entidades de Unix y Linux en ITSI
- Windows integración de entidades en ITSI
- Integración de entidades de VMware vSphere en ITSI
- Splunk Infrastructure Monitoring integración de entidades en ITSI
Para obtener más información, consulte Descripción general de las integraciones de entidades en ITSI .
Los paquetes de contenido y el Splunk App for Content Packs
Los paquetes de contenido son paquetes individuales preconfigurados que proporcionan capacidades para un caso de uso específico. Se pueden instalar directamente en ITSI. Muchos paquetes de contenido incluyen plantillas de servicio, por lo que puede vincular fácilmente uno de sus servicios existentes a indicadores clave de rendimiento (KPI) predeterminados, lo que le permitirá ponerse en marcha de forma más rápida y sencilla.
El Splunk App for Content Packs es una aplicación gratuita para ITSI (versión 4.9 y posteriores) que actúa como una ventanilla única para paquetes de contenido y búsquedas y paneles listos para usar para las fuentes comunes de monitoreo de la infraestructura de TI. Con esta aplicación, ya no es necesario utilizar la función de copia de seguridad y restauración para instalar los paquetes de contenido. En su lugar, la aplicación contiene una biblioteca de paquetes de contenido que se actualizan fácilmente y se usa para actualizarlos todos, en lugar de actualizar cada paquete de contenido de forma individual.
La forma más fácil de incorporar sus datos a Splunk ITSI es a través de los paquetes de contenido disponibles en el Splunk App for Content Packs .
Requisito previo: Debe tener acceso a la línea de comandos y acceso de administrador de Splunk a una instancia de ITSI v4.9 o posterior.
- Descargar el Splunk App for Content Packs en Spunkbase .
- Instala la aplicación siguiendo las instrucciones de Página de Splunk Docs .
- Ir a Configuración > Integraciones de datos para ver los paquetes de contenido disponibles.
Asegúrese de instalar el complemento asociado para el paquete de contenido que descargó. Por ejemplo, hay un correspondiente Complemento para Unix y Linux que funciona con el paquete de contenido Monitoring Unix y Linux.
Para obtener más información sobre cómo instalar el Splunk App for Content Packs en una plataforma en la nube de Splunk o en entornos locales, consulte cómo instalar los paquetes de contenido para la versión 4.8.x y versiones posteriores de ITSI y para ver una lista de los paquetes de contenido disponibles, consulte Manual de paquetes de contenido de Splunk .
Recursos
- Consejo sobre el producto: Utilice el paquete de contenido de supervisión y alertas