MIT DATEN MEHR BEWEGEN.

Splunk

Das Splunk-Modul ermöglicht das Übertragen von Daten an einen Splunk-Server.

Das Splunk-Modul nimmt Nachrichten eines Message Brokers entgegen und schreibt diese in einen Zwischenspeicher. Die entstehende Queue wird zyklisch geleert und der Inhalt per HTTP-Post-Event an den Splunk Event Collector gesendet.[1]

Als Splunk Timestamp wird der Zeitstempel des Datennachricht-Payloads verwendet. Oder der Zeitstempel des Datennachricht-Payloads wird durch die Splunk Indizierungszeit ersetzt. In das Splunk-Feld „Source“ werden die Inhalte der Source Metadaten geschrieben. Die Übertragung der Scope Metadaten erfolgt in das zusätzlich angelegte Splunk Feld „Scope“.

Konfigurationsparameter

Für die Nutzung des Splunk Moduls sind die im Folgenden beschriebenen Paramerter erforderlich.

Connection

Tabelle 1. Konfiguration Connection Splunk Modul
Parameter Beschreibung

URL

URL des HTTP Event Collectors (Standardport: 8088)

Proxy

Angabe eines HTTP Proxy für die Verbindung zwischen RoboGate Edge und Splunk; optional.

Access Token

Wird im verwendeten Splunk-System erstellt. Dieser ist für die Eingabe in der HTTP Event Collector Instanz erforderlich (Erstellung s. u.)

Host

Als Ereignishost kann der Hostname, die IP-Adresse oder der vollqualifizierte Domänenname des Netzwerkhosts, von dem das Ereignis stammt, genutzt werden. Mit dem Host können Daten im Splunk gezielt gesucht und ausgewertet werden, die aus einer bestimmten Quelle stammen.

Erstellen des Access Tokens in Splunk:

  1. Anmeldung im Splunk und Öffnen der „Einstellungen“

  2. Auswahl „Dateneingaben“

  3. Auswahl „HTTP-Ereignissammlung“

  4. Button „NeuToken“ in der oberen rechten Ecke

    1. Bearbeitung des Reiters „Quelle auswählen“ und „Weiter“

    2. Bearbeitung des Reiters Eingabeeinstellungen und „Weiter“

    3. Bearbeitung des Reiters Prüfen und „Weiter“

    4. Bearbeitung des Reiters Senden

Der Token steht nach der Erstellung zur Eingabe in der RoboGate Edge UI zur Verfügung.

Settings

Tabelle 2. Konfiguration Splunk-Modul - Settings
Parameter Beschreibung

Send Timestamp

Wenn der Switch ausgeschalten ist (sendTimestamp = false) wird die Zeitstempel-Information aus den Nachrichten vor dem Senden nach Splunk verworfen. Splunk setzt eine Event-Zeit, die dem Zeitpunkt des Einlaufens der Nachricht am Splunk Server entspricht.

Source Type

Source Type ist eines der Standardfelder, die Splunk allen eingehenden Daten zuweist. Es gibt die Datenstruktur eines Ereignisses an (_json).

Enable persistent Queue

Queue-Persistierung wird eingeschaltet. Bei Verbindungsproblemen werden nicht übertragene Nachrichten zyklisch persistiert und gehen somit bei einem zwischenzeitlichen Neustart der Anwendung/des Geräts nicht verloren.

Nachrichten / Topics

Für die Nachrichtenübertragung ist einer der beiden folgenden Modi zu wählen.

Tabelle 3. Konfiguration Splunk-Modul - Messages
Parameter Beschreibung

Telemetry Messages

Nachrichten werden ohne Umformung an den Splunk Server übermittelt, nach dem Schema:
{<VariablenNameA>: <VaraiblenWertA>, <VariablenNameB>: <VariablenWertB>, … }

Event Messages

Einlaufende Nachrichten werden in einzelne Event Nachrichten umgewandelt. Folgendes Schema gilt:
{ "name": <VariablenNameA>, "value": <VaraiblenWertA> } UND
{ "name": <VariablenNameB>, "value": <VaraiblenWertB> }

(bezogen auf das obige Bsp. Telemetry Messages)

Konfiguration in der UI

Das Splunk-Modul kann über die Auswahl des Moduls auf der Startseite oder über die linke Menüleiste der RoboGate Edge UI aufgerufen und konfiguriert werden.

Connection konfigurieren

Entsprechend Ihrer Anforderungen ist die Konfiguration des Moduls vorzunehmen. Die Parameter sind in oben näher beschrieben. Nach der Eingabe der URL, ggf. Proxy, des Access Token und Host, können Topics hinzugefügt werden.

Nach Fertigstellung der Konfiguration wird diese über die Speichern-Schaltfläche save in der rechten oberen Ecke übernommen. Durch das Speichern der Konfiguration steht diese im RoboGate Edge zur Verfügung (Abbildung 1).

splunk config
Abbildung 1. Konfiguration Splunk

Nachrichten konfigurieren

Unter Telemetry Messages und Event Messages können Output Topics der anderen RoboGate Edge Module per Klick auf „+“ hinzugefügt werden. Diese enthalten die im Splunk auszuwertenden Daten. Durch das Speichern save der gesamten Konfiguration des Splunk-Moduls werden die Daten der ausgewählten Topics an Splunk gesendet und stehen zur Auswertung in Splunk zur Verfügung.

Abbildung 2 zeigt die Auswertung für Telemetry Messages am Beispiel Topic „ModbusRTUPollGroup1“ und Abbildung 3 die Auswertung für Event Messages am Beispiel Topic „OPCUAPOLL1“.

splunk telemetry
Abbildung 2. Splunk-Auswertung Message-Typ: Telemetry
splunk event
Abbildung 3. Splunk-Auswertung Message-Typ: Event

Im Bereich "Module State" (Abbildung 4) lässt sich erkennen, ob das Modul eine Verbindung zu Splunk herstellen konnte.

splunk module state
Abbildung 4. Splunk-Modul - Status

Topic löschen

Innerhalb der Konfiguration des Splunk-Moduls können Topics gelöscht werden. Dazu ist das zu löschende Topic per Mausklick auf „x“ zu entfernen. Durch das Speichern der Konfigurationsänderung steht diese im RoboGate Edge zur Verfügung (Abbildung 5).

splunk delete
Abbildung 5. Löschen eines Topics

Konfiguration zurücksetzen

Über die Schaltfläche reset in der horizontalen Menüleiste lässt sich die komplette Konfiguration des Moduls auf Werkseinstellungen zurücksetzen. Nach einem Klick auf die Schaltfläche folgt ein Bestätigungsdialog mit "Yes" und "No" zur Rückfrage ob der Vorgang wirklich ausgeführt werden soll.

Damit wird auch die gesamte Historie auf dem RoboGate Edge gelöscht!


1. Informationen zur Einrichtung des HTTP Event Collectors sind der Dokumentation der Splunk Inc. zu entnehmen. https://docs.splunk.com/Documentation/Splunk/latest/Data/UsetheHTTPEventCollector