Agregar registros de Ansible Tower en Splunk

La mayoría de las organizaciones de TI empresariales están implementando capacidades de agregación de registros para admitir nuevas formas de trabajar a través de inteligencia operativa y varias formas de automatización. el Torre Ansible El tablero en sí mismo nos brinda una buena vista del estado de nuestro inventario, nuestros hosts, tareas programadas y ejecuciones de tareas manuales. Para complementar esto, el registro se introdujo como una función independiente para permitir que Tower envíe registros detallados a varios servicios de agregación de registros externos de terceros que la mayoría de las organizaciones de TI ya tienen.

Según lo discutido aquí, esta función permite a los administradores obtener información y una mejor visión del uso y las tendencias de la torre. Esta información luego se usa para analizar eventos y anomalías de la infraestructura, y cómo se relacionan entre sí, lo que da como resultado inteligencia operativa. La función actualmente funciona con Splunk, Loggly, Sumologic y Elastic Stack (antes pila ELK).

Tablero de Ansible Tower
Índice

Recopilador de eventos HTTP de Splunk (HEC)

En este artículo, lo guiaré a través del proceso de mover los registros de Ansible Tower a una implementación de Splunk existente usando su Recopilador de eventos HTTP (HEC). HEC permite que las aplicaciones y los servicios envíen datos y eventos a su instalación de Splunk utilizando los protocolos HTTP y HTTPS sin necesidad de un reenviador. Utiliza tokens HEC como medio de autenticación.

El siguiente conjunto de instrucciones le muestra cómo configurar la agregación de registros de Ansible Tower 3.7.1 a Splunk Enterprise 8.1.0 mediante HEC (el proceso debería ser similar en versiones anteriores). Estos procedimientos se probaron en mi máquina local RHEL 8.2 para uno de nuestros clientes de Red Hat TAM en Nueva Zelanda.

Parte 1: activación de HEC para el primer uso

Si es la primera vez que usa HEC en su implementación de Splunk, debe habilitarlo antes de que pueda recibir eventos de torre a través de HTTP.

1. Haga clic en Configuración → Entradas de datos → Recopilador de eventos HTTP.
2. Haga clic en Parámetros globales en la esquina superior derecha.

3. Seleccione Activado en las opciones de conmutación por error.
4. Elija opcionalmente Tipo de fuente predeterminada para todos los tokens HEC, Índice predeterminado, y Grupo de salida predeterminado.
5. Puedes elegir Usar el servidor de implementación para distribuir tokens entre indexadores para implementaciones en clúster y no en clúster.
6. Marque la casilla Habilitar SSL si prefiere que HEC use HTTPS sobre HTTP.
7. Asegúrese de que el Número de puerto HTTP que especifique no está actualmente en uso y no está bloqueado por el firewall. El valor predeterminado es el puerto 8088.
8. Haga clic en Para salvaguardar.

Parte 2: generar un token HEC

Una vez que HEC está habilitado, podemos generar un token de HEC para usar en la autenticación de Ansible Tower. Podemos crear el token en una configuración específica para elegir el tipo de fuente, crear o usar un índice particular e incluso pasarlo a un grupo de salida determinado. Todo depende de su enfoque para usar los eventos y los datos recopilados.

1. Haga clic en Ajustes → Añadir datos.
2. Selecciona Vigilar al final de la página.
3. Haga clic en Recolector de eventos HTTP.
4. Ingrese su nombre de token preferido en el campo. apellido dominio.
5. Puedes elegir tener un Nombre Fuente Ignorar y La descripcion por la ficha.
6. Opcionalmente, especifique un Grupo de salida si los usa como se describe aquí.
7. Haga clic en Próximo.
8. Para los tokens de Ansible Tower, haga clic en Para seleccionar y tipo _json en el Seleccione el tipo de fuente dominio.
9. Mantenga el valor predeterminado en Contexto de la aplicación: Investigación y reporte.
10. Para el Pista, puede crear uno nuevo y seleccionarlo para una búsqueda más rápida. Hice un índice como ejemplo (lea más sobre la indexación de Splunk aquí).

11. Revisa todos los detalles y haz clic Enviar TP Donde Regreso editar.
12. Copie el token resultante para usarlo en la configuración de autenticación de Ansible Tower en Splunk.

13. Haga clic en Iniciar busqueda para redirigir rápidamente al botón de búsqueda y tener la cadena de búsqueda lista para el token que acabamos de crear.

Solicitud de ejemplo: source = "http: jmt-tower" (index = "ansible") sourcetype = "_ json"

Parte 3: Configurar Ansible Tower para Splunk Log Transfer

Ahora que configuramos el HEC de Splunk y creamos un token, Splunk está listo para aceptar eventos y datos. Pasemos a la configuración del lado de Ansible Tower.

1. Inicie sesión en Tower Console como usuario administrador.
2. Navegue hasta la parte inferior izquierda de la pantalla de inicio y elija Ajustes.
3. Haga clic en Sistema → Registro.
4. Comprobar Habilite el registro externo.
5. Tenga en cuenta el siguiente ejemplo de información de entrada de Splunk basado en los procedimientos de la Parte 1-2.

AGREGADOR DE REGISTROS: https: //: 8088 / servicios / coleccionista / evento
→ especifique el número de puerto si no ha utilizado 8088
AGREGADOR DE REGISTRO TIPO: splunk
TOKEN DE AGREGADOR DE REGISTRO: valor del token de la parte 2.12
Agregador de registro PROTOCOLO: HTTPS / HTTP

6. Siéntase libre de ajustar otras opciones y configuraciones en la captura de pantalla anterior. Por ejemplo, si elige habilitar la verificación de certificados HTTPS, el certificado enviado por un agregador de registros externo se verifica antes de establecer una conexión. Lo mantendremos deshabilitado en este ejemplo.
7. Haga clic en Para salvaguardar y Prueba para enviar eventos de muestra a Splunk.

Ejemplo de detalles de parámetros de API

Parte 4: verificación de eventos enviados a Splunk

si haces clic Prueba Después de guardar la configuración de la torre Ansible, espere unos minutos y luego ingrese la investigación de muestra en el campo Splunk Research and Report. Debería ver el mensaje Prueba de conexión AWX en Splunk.

Solicitud de ejemplo: source = "http: jmt-tower" (index = "ansible") sourcetype = "_ json"
Un mensaje de conexión de prueba exitosa

A partir de ahí puedes empezar a crear. informes y Tableros dependiendo de los eventos y datos que desee monitorear. A continuación se muestra un registro de eventos de muestra para una tarea de Tower Workflow. Fíjate en ellos y dale me gusta a los que definimos en el token HEC. Los administradores y desarrolladores de Splunk ahora pueden comenzar a analizar los campos recibidos por Splunk y poner algo de inteligencia en la interpretación de esta información para sus operaciones.

Evento de tarea de flujo de trabajo de recorrido de muestra.

Aplicación Splunk para monitoreo y diagnóstico de Ansible

hay uno existente Aplicación Splunk para monitoreo Ansible. La aplicación está diseñada para funcionar con el amplificador Ansible Splunk desarrollado por Deloitte, que se ha presentado para su inclusión en la distribución principal de Ansible. Ambos son de código abierto. Son otro ejemplo del poder de la apertura, que permite que la innovación florezca mediante la colaboración con tecnologías de código abierto.

Conclusión

La capacidad de centralizar registros es una gran ventaja para las organizaciones de TI. Agregar el reenvío de periódicos a Ansible Tower lo convierte en una solución comercial aún mejor. Muchas organizaciones ya cuentan con soluciones como Splunk y ahora sabe cómo integrar las herramientas.

Las referencias:

Artículos de interés

Subir