Splunk
Das Splunk-Modul ermöglicht das Übertragen von Daten an einen Splunk-Server.
Das Splunk Modul nimmt Nachrichten eines Message Brokers entgegen und schreibt diese in einen Zwischenspeicher. Die entstehende Queue wird zyklisch geleert und der Inhalt per HTTP-Post-Event an den Splunk Event Collector gesendet.[1]
Als Splunk Timestamp wird der Timestamp des Datennachricht-Payloads verwendet. Oder der Timestamp des Datennachricht-Payloads wird durch die Splunk Indizierungszeit ersetzt. In das Splunk-Feld „Source“ werden die Inhalte der Source Metadaten geschrieben. Die Übertragung der Scope Metadaten erfolgt in das zusätzlich angelegte Splunk Feld „Scope“.
Konfigurationsparameter
Für die Nutzung des Splunk Moduls sind die im Folgenden beschriebenen Paramerter erforderlich.
Connection
| Parameter | Beschreibung |
|---|---|
URL | URL des HTTP Event Collectors (Standardport: 8088) |
Access Token | Wird im verwendeten Splunk-System erstellt. Dieser ist für die Eingabe in der HTTP Event Collector Instanz erforderlich (Erstellung s. u.) |
Host | Als Ereignishost kann der Hostname, die IP-Adresse oder der vollqualifizierte Domänenname des Netzwerkhosts, von dem das Ereignis stammt, genutzt werden. Mit dem Host können Daten im Splunk gezielt gesucht und ausgewertet werden, die aus einer bestimmten Quelle stammen. |
Erstellen des Access Tokens in Splunk:
Anmeldung im Splunk und Öffnen der „Einstellungen“
Auswahl „Dateneingaben“
Auswahl „HTTP-Ereignissammlung“
Button „NeuToken“ in der oberen rechten Ecke
Bearbeitung des Reiters „Quelle auswählen“ und „Weiter“
Bearbeitung des Reiters Eingabeeinstellungen und „Weiter“
Bearbeitung des Reiters Prüfen und „Weiter“
Bearbeitung des Reiters Senden
Der Token steht nach der Erstellung zur Eingabe in der EdgeControl UI zur Verfügung.
Settings
| Parameter | Beschreibung |
|---|---|
Send Timestamp | sendTimestamp = false verwirft die Zeitstempel-Information aus den Nachrichten vor dem Senden nach Splunk. Splunk setzt eine Eventzeit, die dem Zeitpunkt des Einlaufens der Nachricht am Splunk Server entspricht. |
Source Type | Source Type ist eines der Standardfelder, die Splunk allen eingehenden Daten zuweist. Es gibt die Datenstruktur eines Ereignisses an (_json). |
Enable persistent queue | Queue Persistierung wird eingeschaltet. Bei Verbindungsproblemen werden nicht übertragene Nachrichten zyklisch persistiert und gehen somit bei einem zwischenzeitlichen Neustart der Anwendung/des Geräts nicht verloren. |
Nachrichten / Topics
Für die Nachrichtenübertragung ist einer der beiden folgenden Modi zu wählen (s. Tabelle 3).
| Parameter | Beschreibung |
|---|---|
Telemetry Messages | Nachrichten werden ohne Umformung an den Splunk Server übermittelt, nach dem Schema: |
Event Messages | Einlaufende Nachrichten werden in einzelne Event Nachrichten umgewandelt. Folgendes Schema gilt: |
Konfiguration in der UI
Das Splunk-Modul kann über die Auswahl des Moduls auf der Startseite oder über die linke Menüleiste der EdgeControl UI aufgerufen und konfiguriert werden.
Splunk-Modul konfigurieren
Entsprechend Ihrer Anforderungen ist die Konfiguration des Moduls vorzunehmen. Die Parameter sind in oben näher beschrieben. Nach der Eingabe der URL, des Access Token und Host, können Topics hinzugefügt werden. Es besteht die Möglichkeit zwischen Telemetry – und Event Messages auszuwählen. Topics der Input-Module, die die im Splunk auszuwertenden Daten enthalten, können per Klick auf „+“ hinzugefügt werden.
Nach Fertigstellung der Konfiguration wird diese über den Speichern-Button (Diskette) in der rechten oberen Ecke übernommen. Durch das Speichern der Konfiguration steht diese im EdgeGateway zur Verfügung (Abbildung 1).
Durch das Speichern der gesamten Konfiguration des Splunk Moduls werden die Daten der ausgewählten Topics an Splunk gesendet und stehen zur Auswertung in Splunk zur Verfügung.
Abbildung 2 zeigt die Auswertung für Telemetry Messages am Beispiel Topic „ModbusRTUPollGroup1“ und Abbildung 3 die Auswertung für Event Messages am Beispiel Topic „OPCUAPOLL1“.
Im Bereich "Module State" lässt sich erkennen, ob das Modul eine Verbindung zu Splunk herstellen konnte.
Topic löschen
Innerhalb der Konfiguration des Splunk-Moduls können Topics gelöscht werden. Dazu ist das zu löschende Topic per Mausklick auf „x“ zu entfernen. Durch das Speichern der Konfigurationsänderung steht diese im EdgeGateway zur Verfügung (Abbildung 4).
