1

我在 Splunk Cloud 中的 PagerDuty 集成遇到了一些不同的问题。

PagerDuty 网站上的文档要么已过时,不适用于 Splunk Cloud,要么我的 Splunk Cloud 帐户配置方式有问题(可能是权限问题):https ://www.pagerduty.com/docs/guides/ splunk 集成指南/ . 我在 Splunk Cloud 中看不到警报操作页面,但我有一个搜索、报告和警报页面。

我已经使用 alert_logevent 应用程序在 Splunk 中配置了 PD 警报,但不清楚是否应该使用其他应用程序。当有搜索命中时,这些警报会触发,但我看到了另一个问题(如下)。alert_webhook 应用程序类型似乎是合适的,但我无法让它正常工作。我无法使用 pagerduty_incident 应用程序创建警报类型。. . 虽然我可以将它设置为触发操作(我想这就是它应该如何工作的,但我觉得这里的 UI 并不直观)。

当我的警报触发并在 PagerDuty 中创建事件时,我看不到设置 PagerDuty 事件严重性的方法。

此外,PD 事件包括一个返回 Splunk 的链接,我认为应该使用生成警报的搜索命中打开查询。但是,该链接将我带到一个页面未找到的页面!错误。它包含指向“有关我的请求的更多信息”的链接,该链接会显示没有命中的 Splunk 查询。此查询类似于“index=_internal, host=SOME_HOST_ON_SPLUNK_CLOUD, source=*web_service.log, log_level=ERROR, requestid=A_REQUEST_ID”。我不清楚这是配置问题、Splunk Cloud 中的错误,甚至可能是我帐户的权限问题。

任何帮助表示赞赏。

4

1 回答 1

1

我也是 Splunk Cloud + PagerDuty 的客户,遇到了同样的问题。Splunk的PagerDuty 应用程序似乎可以创建所有事件,Critical但您可以使用事件规则设置不同的严重性。

执行此操作的一种方法是动态地使用所需的严重级别重命名 Splunk 警报,然后为在摘要中查找关键字的每个级别创建 PagerDuty 事件规则。例如...

如果满足以下条件:
Summary contains "TEST"
则执行以下操作:
Set severity = Info

事件规则编辑屏幕中示例的屏幕截图

在 Splunk 中重命名现有警报有点痛苦,但它确实有效。

如果您在 Splunk 中的严重性级别像在 Enterprise Security 中一样以编程方式设置,那么另一种方法是修改用于 Splunk 的 PagerDuty 应用程序,以将$alert.severity$ 自定义警报操作令牌作为自定义详细信息发送到 webhook 有效负载中,并将其用作事件规则条件而不是总结......但这似乎更难。

于 2019-02-26T01:05:39.010 回答