Записать запись в журнал в Spunk через HTTP в Python
У нас есть программа на python, которая должна отправлять логи в spunk. Наши сторонние администраторы создали конечную точку HTTP сборщика сервисов для публикации журналов со следующими данными:
- индекс
- знак
- имя хоста
- URI
Мы не можем найти, куда вводить URI в клиенте Python SDK. Например:
import splunklib.client as client
import splunklib.results as results_util
HOST="splunkcollector.hostname.com"
URI="services/collector/raw"
TOKEN="ABCDEFG-8A55-4ABB-HIJK-1A7E6637LMNO"
PORT=443
# Create a Service instance and log in
service = client.connect(
host=HOST,
port=PORT,
token=TOKEN)
# Retrieve the index for the data
myindex = service.indexes["cloud_custodian"]
# Submit an event over HTTP
myindex.submit("Dummy test python client log")
Как видите, я никогда не использую переменную URI. Приведенный выше код приводит к:
Traceback (most recent call last):
File "splunk_log.py", line 15, in <module>
myindex = service.indexes["cloud_custodian"]
File "/usr/local/lib/python2.7/site-packages/splunklib/client.py", line 1230, in __getitem__
raise KeyError(key)
KeyError: UrlEncoded('cloud_custodian')
2 ответа
Закончилось выполнение стокового POST с запросами. Я не уверен, что спланк-клиент вообще предназначен для поддержки HTTP Event Collector.
import requests
url='https://splunkcollector.hostname.com:443/services/collector/event'
authHeader = {'Authorization': 'Splunk {}'.format('ABCDEFG-8A55-4ABB-HIJK-1A7E6637LMNO')}
jsonDict = {"index":"cloud_custodian", "event": { 'message' : "Dummy test python client log" } }
r = requests.post(url, headers=authHeader, json=jsonDict, verify=False)
print r.text
Вы должны заглянуть в коллектор событий HTTP в Splunk. Это так же просто, как включить его, сгенерировать токен и сделать звонок.
Если вы хотите отправить данные в Splunk HEC, это будет выглядеть так
<protocol>://<host>:<port>/<endpoint>
https://docs.splunk.com/Documentation/SplunkCloud/6.6.0/Data/Usethe HTTP Event Collector