将 ClickHouse Cloud 审计日志存储到 Splunk

Splunk 是一个数据分析和监控平台。

此插件允许用户将 ClickHouse Cloud 审计日志存储到 Splunk 中。它使用 ClickHouse Cloud API 下载审计日志。

此插件仅包含一个模块化输入，此插件未提供额外的 UI。

安装

从 Splunkbase 下载 ClickHouse Cloud Audit Splunk 插件。

在 Splunk Enterprise 中，导航到“应用” -> “管理”。然后单击“从文件安装应用”。

选择从 Splunkbase 下载的存档文件，然后单击“上传”。

如果一切顺利，您现在应该看到 ClickHouse 审计日志应用程序已安装。如果未安装，请查阅 Splunkd 日志以查找任何错误。

要配置模块化输入，您首先需要来自您的 ClickHouse Cloud 部署的信息

导航到您的“组织” -> “组织详细信息”。在那里您可以复制组织 ID。

然后，从左侧菜单导航到“API 密钥”。

创建一个 API 密钥，给出一个有意义的名称，然后选择“管理员”权限。单击“生成 API 密钥”。

将 API 密钥和密钥保存在安全的地方。

返回 Splunk，导航到“设置” -> “数据输入”。

选择“ClickHouse Cloud 审计日志”数据输入。

单击“新建”以配置数据输入的新实例。

输入所有信息后，单击“下一步”。

输入已配置，您可以开始浏览审计日志。

模块化输入将数据存储在 Splunk 中。要查看数据，您可以使用 Splunk 中的常规搜索视图。