Ứng dụng Cloudflare cho Splunk tích hợp khả năng phân tích và ghi log của Cloudflare với Splunk, cho phép bạn giám sát, phân tích và trực quan hóa dữ liệu của Cloudflare trong bảng điều khiển của Splunk.
Under Apps > Find More Apps, search for Cloudflare App for Splunk.
Click Install.
Ở đây tôi dùng Source type cloudflare:json để phân tích các request HTTP thô cloudflare đưa vào Splunk. Source type này sẽ được Cloudflare App lấy log về HTTP , đối với Zero Trust thì dùng cloudflare:access
Click the Settings dropdown and select Source types.
Uncheck Show only popular and search for cloudflare.
Click Edit and change the Regex expression to ([\r\n]+).
Sử dụng ([\r\n]+):
Khi bạn muốn giữ lại tất cả các dòng log, kể cả các dòng lỗi, cảnh báo, hoặc metadata.
Thích hợp cho các trường hợp log có định dạng không đồng nhất.
Sử dụng ([\r\n]+)\{\"\w+\":
Khi bạn chỉ muốn tập trung vào dữ liệu JSON chuẩn.
Thích hợp khi log của bạn luôn bắt đầu với JSON và không có thông tin khác.
Save your edits.
Click Settings , sau đó click Indexes.
Name index là cloudflare, với tên này sẽ là default index là the Cloudflare App sẽ sử dụng để lấy log.
Click the Settings dropdown and select Data inputs.
Click +Add new and follow the wizard. When prompted, submit the following responses:
Name: Cloudflare
Source Type: Select > "cloudflare:json"
App Context: Cloudflare App for Splunk (cloudflare)
Index: cloudflare
At the end of the wizard you will see a Token Value. Token này để xác thực trên cloudflare nên hãy coppy hoặc đừng thoát vội.
Splunk raw HTTP Event Collector URL : hostname-splunk:8088/services/collector/raw
Channel ID : click vào link xanh ở dưới để tạo UUID riêng biệt
Auth token : Splunk token (thay token bằng token ở trên khi tạo xong data input trên splunk và vẫn để dấu cách )
Source Type : cloudflare:json
Last updated
