この記事は、Splunk Enterpriseをご利用のお客様に適用されます。
前提条件
Splunk Enterpriseをダウンロード/インストール/設定します。
https://www.splunk.com/en_us/download/splunk-enterprise.html
Splunk REST API Modular Input v1.4をダウンロード/インストール/設定します。
これは、REST APIをポーリングして応答をインデックス化するためのSplunk Modular Inputです。
https://splunkbase.splunk.com/app/1546/#/details
依存性
Splunk 5.0+
Windows、Linux、MacOS、Solaris、FreeBSD、HP-UX、AIXでサポートされます。
設定
- リリースを$SPLUNK_HOME/etc/appsディレクトリにuntarで解凍します (Windowsユーザーには7zip推奨)。
- Splunkを再起動します。
- [Manager] -> [Data Inputs] -> [REST] と参照して、入力を設定します。
ログ記録
Modular Inputは、エラーを$SPLUNK_HOME/var/log/splunk/splunkd.logに書き込みます。
トラブルシューティング
以下内容ご確認ください:
Splunk 5+をお使いですか?
エラーを$SPLUNK_HOME/var/log/splunk/splunkd.logで確認しましたか?
ファイアウォールが外向きのHTTPコールをブロックしていませんか?
REST URL、ヘッダ、URL引数は正しいですか?
認証は正しく設定されていますか?
HTTPリクエストの作成
1. TeamViewer APIを呼び出すアプリトークンを作成します。
- MCO ➜ <企業プロファイル>の管理➜ アプリ➜ スクリプトトークンの作成 にログインします。
- 名前: Splunk統合 (自分の設定による)
- 内容: オプション
- 接続レポート: 接続エントリを表示する
2. その他のリクエストについては、TeamViewerのAPIドキュメントページをご確認ください。https://www.teamviewer.com/en/for-developers/
- 次のSplunk ウェブインターフェースにログインします
- 適切なフィールドに入力します:
- エンドポイントのURL: https://webapi.teamviewer.com/api/v1/reports/connections
- HTTPメソッド: GET
- HTTPヘッダプロパティ: authorization=Bearer XXXXXX-XXXXXXXXXXXXXXXXX < – 自分のトークン
- 応答の種類: JSON
- ポーリング間隔: (オプション。Splunkは60秒ごとにポーリングする)
- ソースタイプの設定: 手動
- ソースタイプ: _json
- 保存します。
3. 結果の確認
- 左上で アプリ➜ 検索 & レポート ➜ データサマリー ➜ ソース(中間のタブ)➜ REST(「レポート名」) と選択します。
- 結果を分かりやすくするため、Raw表示をテーブル表示に変更することを推奨します。
Splunkは接続レポートのJSONを縮小することがあるため、接続レポートを特定の期間に限定することが望ましいことを、一部のユーザー様よりフィードバックをいただきましたので共有させていただきます。
タイムスタンプの形式は YYY-MM-DDTHH:MM:SSZです 。時間的な制約がある接続レポートリクエストの URL の例は次のとおりです。 https://webapi.teamviewer.com/api/v1/reports/connections?from_date=2019-01-31T19:20:30Z&to_date=2019-02-02T19:45:01Z
TeamViewer Reporting APIパラメータの詳細については、以下を参照してください: