(Uniquement disponible pour Splunk Enterprise)

Prérequis

Télécharger/Installer/Configurer Splunk Enterprise

https://www.splunk.com/fr_fr/download/splunk-enterprise.html

Télécharger/Installer/Configurer Splunk REST API Modular Input v1.4

Il s'agit d'une entrée modulaire Splunk pour appeler les API REST et indexer les réponses.

https://splunkbase.splunk.com/app/1546/#/details

Dépendances

Splunk 5.0+

Pris en charge sur Windows, Linux, MacOS, Solaris, FreeBSD, HP-UX, AIX

Configuration

  • Extrayez le fichier TAR de la version dans votre répertoire $SPLUNK_HOME/etc/apps (utilisation recommandée de 7-Zip pour les utilisateurs Windows)
  • Redémarrez Splunk
  • Accédez à Manager (Gestionnaire) -> Data Inputs (Entrées de données) -> REST et configurez vos entrées

Connexion

Toutes les erreurs du journal d'entrées modulaires sont écrites dans $SPLUNK_HOME/var/log/splunk/splunkd.log

Dépannage

Vous utilisez Splunk 5+ ?

Recherchez les éventuelles erreurs dans $SPLUNK_HOME/var/log/splunk/splunkd.log?

Des pare-feu bloquent-ils les appels HTTP sortants ?

Vos URL REST, vos en-têtes et vos arguments URL sont-ils corrects ?

Votre authentification est-elle correctement configurée ?

Effectuer une requête HTTP

1) Créez un jeton d'application pour appeler l'API TeamViewer

  • Connectez-vous à MCO > Administrer « Profil d'entreprise » > Applications > Créer un jeton de script
    • Nom : Intégration Splunk (votre préférence)
    • Description : Facultative
    • Rapport de connexion : Visualiser les entrées de connexion

2) Veuillez consulter la documentation sur l'API de TeamViewer pour en savoir plus : https://www.teamviewer.com/fr/for-developers/

  • Connectez-vous à l'interface Web The Splunk 
  • Renseignez les champs appropriés :
    • URL de point de terminaison : https://webapi.teamviewer.com/api/v1/reports/connections
    • Méthode HTTP : GET
    • Propriétés de l'en-tête HTTP : authorization=Bearer XXXXXX-XXXXXXXXXXXXXXXXX <- votre jeton
    • Type de réponse : json
    • Intervalle d'interrogation : (Facultatif si Splunk interroge toutes les 60 secondes)
    • Type de source défini : Manuel
    • Type de source : _json
    • Enregistrez

3) Passez en revue les résultats

  • Dans le coin supérieur gauche, sélectionnez Apps > Search & Reporting (Recherche & rapport) > Data Summary (Résumé des données) > Sources (onglet central) > rest(« Nom du rapport »)
  • Nous vous recommandons de passer de la vue « brute » à la vue « Tableau » pour des résultats pour des résultats faisant du sens

Suite aux commentaires de certains de nos utilisateurs, nous aimerions partager que Splunk peut tronquer le rapport de connexion JSON. Il est donc conseillé de limiter le rapport de connexion à une période spécifique.

Le format d'horodatage est YYY-MM-DDTHH:MM:SSZ . Un exemple d'URL de demande de rapport de connexion avec des contraintes de temps serait https://webapi.teamviewer.com/api/v1/reports/connections?from_date=2019-01-31T19:20:30Z&to_date=2019...

Pour plus d'informations sur les paramètres de l'API de rapport TeamViewer, veuillez consulter le site https://www.teamviewer.com/en/integrations/api/