Většina podnikových IT organizací nasazuje zařízení pro agregaci protokolů na podporu nových způsobů práce prostřednictvím provozních informací a různých forem automatizace. Samotný řídicí panel Ansible Tower nám poskytuje dobrý přehled o stavu našeho inventáře, hostitelů, naplánovaných úloh a ručních spouštění úloh. Jako doplněk bylo protokolování představeno jako samostatná funkce, která umožňuje společnosti Tower zasílat podrobné protokoly několika externím službám agregace protokolů třetích stran, které již většina IT organizací má.
Jak je zde uvedeno, tato funkce umožňuje administrátorům získat přehled a lepší přehled o využití věže a trendech. Tyto informace se pak použijí k analýze událostí a anomálií infrastruktury a jejich vzájemného vztahu k dosažení provozních informací. Tato funkce aktuálně funguje se Splunk, Loggly, Sumologic a Elastic Stack (dříve ELK stack).
Splunk HTTP Event Collector (HEC)
V tomto článku vás provedu procesem předávání protokolů Ansible Tower do existujícího nasazení Splunk pomocí jeho HTTP Event Collector (HEC). HEC umožňuje aplikacím a službám posílat data a události do vašeho zařízení Splunk pomocí protokolů HTTP a HTTPS bez potřeby přeposílání. Jako prostředek autentizace využívá tokeny HEC.
Další sada pokynů vám ukáže, jak nakonfigurovat agregaci protokolů z Ansible Tower 3.7.1 do Splunk Enterprise 8.1.0 pomocí HEC (proces by měl být podobný na nižších verzích). Tyto postupy byly testovány na mém místním stroji RHEL 8.2 pro jednoho z našich zákazníků Red Hat TAM na Novém Zélandu.
Část 1 – Povolení HEC pro první použití
Pokud je to poprvé, co používáte HEC ve své implementaci Splunk, musíte ji povolit, než bude moci přijímat události Tower přes HTTP.
1. Klikněte na Nastavení → Vstupy dat → Sběratel událostí HTTP.
2. Klikněte na Globální nastavení v pravém horním rohu.
3. Vyberte možnost Povoleno v Všechny tokeny přepínat možnosti.
4. Volitelně zvolte Výchozí typ zdroje pro všechny tokeny HEC Výchozí index a Výchozí výstupní skupina .
5. Můžete se rozhodnout pro Použít Deployment Server k distribuci tokenů mezi indexátory pro klastrovaná i neklastrovaná nasazení.
6. Zaškrtněte možnost Povolit SSL pokud dáváte přednost HEC používat HTTPS před HTTP.
7. Zkontrolujte Číslo portu HTTP zadaný není aktuálně používán a není blokován firewallem. Toto výchozí nastavení je port 8088.
8. Klikněte na Uložit .
[ Také by se vám mohlo líbit: Nastavení logrotate v Linuxu ]
Část 2 – Generování tokenu HEC
Jakmile je HEC povoleno, můžeme vygenerovat token HEC, který se použije pro ověřování Ansible Tower. Můžeme vytvořit token ve specifické konfiguraci, abychom zvolili typ zdroje, vytvořili nebo použili konkrétní index a dokonce jej přeposílali do dané výstupní skupiny. To vše závisí na vašem přístupu k používání událostí a shromážděných dat.
1. Klikněte na Nastavení → Přidat data.
2. Vyberte Monitor v dolní části stránky.
3. Klikněte na Sběratel událostí HTTP.
4. Do pole Název zadejte preferovaný název tokenu pole.
5. Můžete zvolit přepsání názvu zdroje a Popis pro token.
6. Volitelně zadejte Výstupní skupinu pokud je používáte, jak je popsáno zde.
7. Klikněte na Další
8. U žetonů Ansible Tower klikněte na Vybrat a zadejte _json v části Vybrat typ zdroje pole.
9. Ponechte výchozí hodnotu v Kontextu aplikace :Vyhledávání a vytváření přehledů.
10. Pro Index , můžete vytvořit nový a vybrat jej pro rychlejší vyhledávání. Udělal jsem ansible index jako příklad (více o indexování Splunk si přečtěte zde).
11. Zkontrolujte všechny podrobnosti a klikněte na Odeslat nebo Zpět upravit.
12. Zkopírujte výsledný token pro použití při konfiguraci ověřování Ansible Tower na Splunk.
13. Klikněte na Zahájit vyhledávání rychle přesměrovat na tlačítko vyhledávání a mít připravený vyhledávací řetězec pro token, který jsme právě vytvořili.
Část 3 – Konfigurace Ansible Tower pro předávání Splunk Log Forwarding
Nyní, když jsme nakonfigurovali Splunkův HEC a vytvořili token, je Splunk připraven přijímat události a data. Pojďme ke konfiguraci na straně Ansible Tower.
1. Přihlaste se do konzoly Tower jako uživatel správce.
2. Přejděte do levého dolního rohu domovské obrazovky a zvolte Nastavení.
3. Klikněte na Systém → Protokolování.
4. Zaškrtněte možnost Povolit externí protokolování.
5. Všimněte si následujícího příkladu vstupních informací ze Splunk na základě postupů z části 1-2.
LOGGREGATOR PROTOKOLU:https://
→ zadejte číslo portu, pokud jste nepoužili 8088
TYP PROTOKOLOVACÍHO AGREGÁTORU:splunk
TOKEN PROTOKOLOVACÍHO AGREGÁTORU:hodnota tokenu z části 2.12
PROTOKOL PROTOKOLOVACÍHO AGREGÁTORU:HTTPS/HTTP
6. Ostatní možnosti a nastavení můžete upravit podle výše uvedeného snímku obrazovky. Pokud se například rozhodnete povolit ověřování certifikátu HTTPS, bude certifikát zaslaný externím agregátorem protokolů ověřen před navázáním připojení. V tomto příkladu jej ponecháme deaktivovaný.
7. Klikněte na Uložit a Test k odeslání ukázkových událostí do Splunk.
Část 4 – Ověřování událostí odeslaných Splunk
Pokud kliknete na Test po uložení konfigurace Ansible Tower počkejte několik minut a poté zadejte vzorové vyhledávání do pole Splunk's Search and Reporting. Ve Splunk byste měli vidět zprávu o testu připojení AWX.
Od této chvíle můžete začít vytvářet sestavy a řídicí panely na základě událostí a dat, které chcete monitorovat. Níže je ukázkový protokol událostí z úlohy Tower Workflow. Všimněte si zdroje a sourcetype jako ty, které jsme definovali v tokenu HEC. Správci a vývojáři Splunk nyní mohou začít analyzovat pole obdržená Splunk a vložit určitou inteligenci do interpretace těchto informací pro jejich operace.
Splunk aplikace pro monitorování a diagnostiku Ansible
Pro monitorování Ansible existuje existující aplikace Splunk. Aplikace je navržena tak, aby fungovala společně s Ansible Splunk Callback vyvinutou společností Deloitte, která byla předložena k zahrnutí do hlavní distribuce Ansible. Oba jsou open source. Jsou dalším příkladem Síly Open, která umožňuje inovacím prosperovat pomocí spolupráce s open source technologiemi.
[ Potřebujete více o Ansible? Absolvujte bezplatný kurz technického přehledu od společnosti Red Hat. Ansible Essentials:Jednoduchost v technickém přehledu automatizace. ]
Sbalit
Možnost centralizovat protokoly je velkým přínosem pro IT organizace. Přidání předávání protokolů do Ansible Tower z něj dělá ještě lepší podnikové řešení. Mnoho organizací již má řešení, jako je Splunk, a nyní víte, jak tyto nástroje integrovat.
Odkazy :
- Protokolování a agregace věže
- Nastavit a používat kolektor událostí HTTP v Splunk Web
- Dostupné monitorování a diagnostika