Splunk Cloud中的PagerDuty集成遇到了一些不同的问题。
PagerDuty网站上的文档要么已过时,不适用于Splunk Cloud,否则我的Splunk Cloud帐户的配置方式存在问题(可能是权限问题):https://www.pagerduty.com/docs/guides/splunk-integration-guide/。我没有在Splunk Cloud中看到“警报操作”页面,但是有一个“搜索,报告和警报”页面。
我已经使用alert_logevent应用程序在Splunk中配置了PD警报,但尚不清楚我是否应该使用其他应用程序。当出现搜索结果时,这些警报会触发,但是我看到另一个问题(如下)。 alert_webhook应用程序类型似乎合适,但是我无法使其正常工作。我无法使用pagerduty_incident应用程序创建警报类型。 。 。尽管我可以将其设置为“触发操作”(我想这是应该起作用的方式,但我在这里找不到直观的用户界面)。
当我的警报触发并在PagerDuty中创建事件时,我看不到设置PagerDuty事件严重性的方法。
此外,PD事件还包括一个指向Splunk的链接,我认为应该用生成警报的搜索结果打开查询。但是,该链接将我带到一个页面未找到的页面!错误。它包含指向“有关我的请求的更多信息”的链接,该链接将显示没有命中的Splunk查询。该查询看起来像“索引= _内部,主机= SOME_HOST_ON_SPLUNK_CLOUD,源= * web_service.log,log_level =错误,requestid = A_REQUEST_ID”。我不清楚这是配置问题,Splunk Cloud中的错误还是什至是我帐户的权限问题。
感谢您的帮助。
答案 0 :(得分:0)
我也是Splunk Cloud + PagerDuty的客户,遇到了同样的问题。 PagerDuty App for Splunk似乎将所有事件都创建为Critical,但您可以使用事件规则设置不同的严重性。
执行此操作的一种方法是dynamically是将Splunk警报重命名为所需的严重性级别,然后为在摘要中寻找关键字的每个级别创建一个PagerDuty事件规则。例如...
如果满足以下条件:
Summary contains "TEST"
然后执行以下操作:
Set severity = Info
screenshot of the example in the event rule edit screen
在Splunk中重命名您现有的警报有些麻烦,但是它可以工作。
如果像在企业安全性中一样以编程方式设置Splunk中的严重性级别,则另一种方法是修改Splunk的PagerDuty应用,以将$alert.severity$ custom alert action token作为自定义详细信息发送到webhook有效负载中并将其用作事件规则条件而不是摘要...,但这似乎更困难。
