Base de Conocimiento

Back to support overview

Este articulo aplica solo para client@s Splunk Enterprise

Prerrequisitos

Descargar, instalar y configurar Splunk Enterprise:

https://www.splunk.com/en_us/download/splunk-enterprise.html

Descargar, instalar y configurar la Entrada Modular de REST API de Splunk, versión v1.4

Se trata de una entrada modular de Splunk para sondear REST API e indexar las respuestas:

https://splunkbase.splunk.com/app/1546/#/details

Dependencias

Splunk 5.0 o posterior

Compatible con Windows, Linux, MacOS, Solaris, FreeBSD, HP-UX y AIX

Instalación

  • Descomprime el archivo en $SPLUNK_HOME/etc/apps directory (se recomienda el uso de 7zip a los usuarios de Windows).
  • Reinicia Splunk.
  • Navega a Manager -> Data Inputs -> REST y configura tus entradas.

  

Registros

Todos los errores de registro de entrada modular se grabarán en $SPLUNK_HOME/var/log/splunk/splunkd.log

Resolución de errores

Comprueba que estás utilizando Splunk 5 o posterior.

Comprueba si se han registrado errores en $SPLUNK_HOME/var/log/splunk/splunkd.log.

Comprueba si tu cortafuegos está bloqueando las llamadas HTTP salientes.

Comprueba que la URL de REST y sus encabezados y argumentos son correctos.

Comprueba que tu configuración de autenticación es correcta.

Realizar solicitudes HTTP

1. Crea un token de aplicación para realizar llamadas a la API de TeamViewer

  • Inicia sesión en la Management Console >Administrar «perfil de empresa»>Aplicaciones>Crear token de script
    • Nombre: Integración con Splunk (según su preferencia)
    • Descripción: Opcional
    • Informes de conexión: Ver entradas de conexión

2. Para más información, consulta la documentación de la API de TeamViewer en: https://www.teamviewer.com/es/para-desarrolladores/

  • Inicia sesión en la interfaz web de Splunk
  • Rellena los campos necesarios:
    • Endpoint URL: https://webapi.teamviewer.com/api/v1/reports/connections
    • HTTP Method: GET
    • HTTP Header Properties: authorization=Bearer XXXXXX-XXXXXXXXXXXXXXXXX <- tu token
    • Response Type: json
    • Polling interval: (opcional, puesto que Splunk sondea cada 60 segundos)
    • Set sourcetype: Manual
    • Sourcetype: _json
    • Guarda los cambios

3. Comprueba los resultados

  • En la esquina superior izquierda, selecciona>Search & Reporting>Data Summary>Sources (pestaña del medio)>rest(«nombre del informe»)
  • Se recomienda cambiar de la vista «Raw» a «Table»

Siguiendo los comentarios de algunos de nuestros grandes usuarios, nos gustaría compartir que desde Splunk puedes truncar el informe de conexión JSON, es aconsejable limitar el informe de conexión a un período de tiempo específico.

El formato de marca de tiempo es YYY-MM-DDTHH:MM:SSZ. Un ejemplo de URL de solicitud de informe de conexión con restricciones de tiempo sería:

https://wsebapi.teamviewer.com/api/v1/reports/connections?from_date=2019-01-31T19:20:30Z&to_date=2019-02-02T19:45:01Z

Encontrarás más información sobre los parámetros de la API de informes de TeamViewer en:

TeamViewer Reporting API, User Management API & Chat Widget