splunk 之 MongoDB App
前提需提供申请hunk license才可以创建虚拟索引!!!
MongoDB App使您可以创建多个虚拟索引,以最少的配置分析和浏览存储在不同数据库和集合中的数据。它使您可以指定需要从中提取时间戳信息的时间戳字段,该字段可用于创建时间戳和丰富的仪表板以获取有用的见解。当您仅具有有关要检索的文档的部分信息时,通配符搜索字符串和数字数据的功能将非常方便。
因此,使用MongoDB App,您可以利用MongoDB的两全其美,例如,MongoDB通过动态和模式存储大量文档;和Splunk,用于通过丰富的交互式查询和分析仪表板探索,分析和可视化存储的数据。
本文档的其余部分提供了使用MongoDB作为外部资源提供程序配置Hunk实例的步骤。以下各节提供有关配置MongoDB提供程序和虚拟索引设置的信息,以分析存储在MongoDB的不同集合和数据库中的数据。它还提供了有关使用时间范围搜索所需的设置的信息。
指定MongoDB提供者
使用“管理应用程序”菜单上传应用程序后,将在已安装应用程序列表中添加一个名为“ MongoDB App”的新应用程序。您需要使用“虚拟索引”下的“编辑提供程序”功能来指定所需的MongoDB主机详细信息,该功能可在“设置”选项卡中找到。
MongoDB主机详细信息
vix.mongodb.host = localhost:27017
指定虚拟索引
安装“ MongoDB应用程序”时,可以在“虚拟索引”列表下看到一个名为“ mongodb_vix”的虚拟索引(特定于MongoDB)。虚拟索引可帮助您指定有关要用来分析数据的集合和数据库名称的详细信息。
了解虚拟索引配置
属性讲解
多个虚拟索引
您可以使用“新建虚拟索引”功能为不同的集合和数据库指定多个虚拟索引。必须指定所有上述配置,以正确设置新的虚拟索引。
指定时间戳字段
正确指定“ vix.mongodb.field.time”和“ vix.mongodb.field.time.format”配置对于提取时间戳信息至关重要。
格式 讲解
在MongoDB数据库上验证用户
MongoDB允许指定4种身份验证机制,分别为Plain,Kerberos,CR(Challenge-Response)和X509;验证用户和数据库访问权限。为了访问需要身份验证的数据库,我们需要指定某些身份验证字段,例如身份验证机制,用户名,密码或源。需要为每个虚拟索引提供此信息。在下面,您可以找到有关应为每种身份验证机制类型指定所有字段的信息。
#身份验证机制为X509
vix.mongodb.auth.mechanism = X509
vix.mongodb.auth.username = [用户名]
#身份验证机制为 Kerberos
vix.mongodb.auth.mechanism = Kerberos
vix.mongodb.auth.username = [用户名]
#身份验证机制为 CR
vix.mongodb.auth.mechanism = CR
vix.mongodb.auth.username = [用户名]
vix.mongodb.auth.password = [密码为纯文本]
#身份验证机制为 平原
vix.mongodb.auth。机制=普通的
vix.mongodb.auth.username = [用户名]
vix.mongodb.auth.source = [源]
“ vix.mongodb.auth.mechanism”的值不区分大小写。
Writing Date Format
| Letter | Date or Time Component | Examples |
|---|---|---|
G |
Era designator | AD |
y |
Year | 1996; 96 |
Y |
Week year | 2009; 09 |
M |
Month in year | July; Jul; 07 |
w |
Week in year | 27 |
W |
Week in month | 2 |
D |
Day in year | 189 |
d |
Day in month | 10 |
F |
Day of week in month | 2 |
E |
Day name in week | Tuesday; Tue |
u |
Day number of week (1 = Monday, ..., 7 = Sunday) | 1 |
a |
Am/pm marker | PM |
H |
Hour in day (0-23) | 0 |
k |
Hour in day (1-24) | 24 |
K |
Hour in am/pm (0-11) | 0 |
h |
Hour in am/pm (1-12) | 12 |
m |
Minute in hour | 30 |
s |
Second in minute | 55 |
S |
Millisecond | 978 |
z |
Time zone | Pacific Standard Time; PST; GMT-08:00 |
Z |
Time zone | -0800 |
X |
Time zone | -08; -0800; -08:00 |
(Source : http://docs.oracle.com/javase/7/docs/api/java/text/SimpleDateFormat.html)
官方未推荐的方法:
https://community.splunk.com/t5/All-Apps-and-Add-ons/Is-it-possible-to-use-Splunk-DB-Connect-to-search-MongoDB/m-p/210569