跳到主要内容
跳到主要内容

将 ClickHouse Cloud 审计日志存储到 Splunk 中

Partner Integration

Splunk 是一个数据分析和监控平台。

此附加组件允许用户将 ClickHouse Cloud 审计日志 存储到 Splunk 中。它通过 ClickHouse Cloud API 下载审计日志。

此附加组件仅包含模块化输入,不提供任何额外的 UI。

安装

适用于 Splunk Enterprise

Splunkbase 下载 ClickHouse Cloud Audit Add-on for Splunk。

Splunkbase 网站,展示 ClickHouse Cloud Audit Add-on for Splunk 的下载页面

在 Splunk Enterprise 中,依次进入 Apps -> Manage,然后单击“Install app from file”。

Splunk Enterprise 界面,展示带有“Install app from file”选项的 Apps 管理页面

选择从 Splunkbase 下载的压缩包文件并单击“Upload”。

用于上传 ClickHouse 插件的 Splunk 应用安装对话框

如果一切正常,此时应能看到已安装的 ClickHouse Audit logs 应用。否则,请检查 Splunkd 日志以定位错误。

模块化输入配置

要配置模块化输入,首先需要从您的 ClickHouse Cloud 部署中获取以下信息:

从 ClickHouse Cloud 获取信息

登录 ClickHouse Cloud 控制台

进入你的 Organization -> Organization details。在该页面可以复制 Organization ID。

ClickHouse Cloud 控制台展示包含 Organization ID 的 Organization details 页面

然后,从左侧菜单中选择 API Keys。

ClickHouse Cloud 控制台展示左侧导航菜单中的 API Keys 部分

创建一个 API Key,为其指定一个有意义的名称,并选择 Admin 权限。点击 Generate API Key。

ClickHouse Cloud 控制台展示已选择 Admin 权限的 API Key 创建界面

将 API Key 和 secret 保存在安全的位置。

ClickHouse Cloud 控制台展示需要保存的已生成 API Key 和 secret

在 Splunk 中配置数据输入

回到 Splunk,依次进入 Settings -> Data inputs。

Splunk 界面中显示包含 Data inputs 选项的 Settings 菜单

选择 ClickHouse Cloud Audit Logs 数据输入。

Splunk Data inputs 页面中显示 ClickHouse Cloud Audit Logs 选项

点击 "New" 来配置一个新的数据输入实例。

用于配置新的 ClickHouse Cloud Audit Logs 数据输入的 Splunk 界面

填写完所有信息后,点击 "Next"。

已完成 ClickHouse 数据输入设置的 Splunk 配置页面

数据输入已配置完成,现在可以开始浏览审计日志。

用法

模块化输入会将数据存储在 Splunk 中。要查看这些数据,可以在 Splunk 中使用通用搜索视图。

Splunk 搜索界面展示 ClickHouse 审计日志数据