この記事は、Splunk Enterpriseをご利用のお客様に適用されます。

前提条件

Splunk Enterpriseをダウンロード/インストール/設定します。

https://www.splunk.com/en_us/download/splunk-enterprise.html

Splunk REST API Modular Input v1.4をダウンロード/インストール/設定します。

これは、REST APIをポーリングして応答をインデックス化するためのSplunk Modular Inputです。

https://splunkbase.splunk.com/app/1546/#/details

依存性

Splunk 5.0+

Windows、Linux、MacOS、Solaris、FreeBSD、HP-UX、AIXでサポートされます。

設定

  • リリースを$SPLUNK_HOME/etc/appsディレクトリにuntarで解凍します (Windowsユーザーには7zip推奨)。
  • Splunkを再起動します。
  • [Manager] -> [Data Inputs] -> [REST] と参照して、入力を設定します。

ログ記録

Modular Inputは、エラーを$SPLUNK_HOME/var/log/splunk/splunkd.logに書き込みます。

トラブルシューティング

以下内容ご確認ください:

Splunk 5+をお使いですか?

エラーを$SPLUNK_HOME/var/log/splunk/splunkd.logで確認しましたか?

ファイアウォールが外向きのHTTPコールをブロックしていませんか?

REST URL、ヘッダ、URL引数は正しいですか?

認証は正しく設定されていますか?

HTTPリクエストの作成

1. TeamViewer APIを呼び出すアプリトークンを作成します。

  • MCO ➜ <企業プロファイル>の管理➜ アプリ➜ スクリプトトークンの作成 にログインします。
    • 名前: Splunk統合 (自分の設定による)
    • 内容: オプション
    • 接続レポート: 接続エントリを表示する

2. その他のリクエストについては、TeamViewerのAPIドキュメントページをご確認ください。https://www.teamviewer.com/en/for-developers/

  • 次のSplunk ウェブインターフェースにログインします
  • 適切なフィールドに入力します:
    • エンドポイントのURL: https://webapi.teamviewer.com/api/v1/reports/connections
    • HTTPメソッド: GET
    • HTTPヘッダプロパティ: authorization=Bearer XXXXXX-XXXXXXXXXXXXXXXXX < – 自分のトークン
    • 応答の種類: JSON
    • ポーリング間隔: (オプション。Splunkは60秒ごとにポーリングする)
    • ソースタイプの設定: 手動
    • ソースタイプ: _json
    • 保存します。

3. 結果の確認

  • 左上で アプリ➜ 検索 & レポート ➜ データサマリー ➜ ソース(中間のタブ)➜ REST(「レポート名」) と選択します。
  • 結果を分かりやすくするため、Raw表示をテーブル表示に変更することを推奨します。

Splunkは接続レポートのJSONを縮小することがあるため、接続レポートを特定の期間に限定することが望ましいことを、一部のユーザー様よりフィードバックをいただきましたので共有させていただきます。

タイムスタンプの形式は YYY-MM-DDTHH:MM:SSZです 。時間的な制約がある接続レポートリクエストの URL の例は次のとおりです。 https://webapi.teamviewer.com/api/v1/reports/connections?from_date=2019-01-31T19:20:30Z&to_date=2019-02-02T19:45:01Z

 TeamViewer Reporting APIパラメータの詳細については、以下を参照してください:

TeamViewer APIs