我在Splunk Cloud中与PagerDuty集成遇到了一些不同的问题。
PagerDuty网站上的文档已过时,不适用于Splunk Cloud,或者我的Splunk Cloud帐户的配置方式有问题(可能是权限问题):https://www.pagerduty.com/docs/guides/splunk-integration-guide/。我没有在Splunk Cloud中看到警报操作页面,但我有一个搜索,报告和警报页面。
我使用alert_logevent应用程序在Splunk中配置了PD警报,但我不清楚是否应该使用其他应用程序。当搜索命中时,这些警报会触发但我看到另一个问题(下面)。 alert_webhook应用程序类型似乎可能是合适的,但我无法让它正常工作。我无法使用pagerduty_incident应用创建警报类型。 。 。虽然我可以将它设置为触发器动作(我猜这是它应该如何工作,但我没有找到直观的UI)。
当我的警报在PagerDuty中触发并发生事件时,我看不到设置PagerDuty事件严重性的方法。
此外,PD事件包括一个返回Splunk的链接,我认为应该使用生成警报的搜索命中打开查询。但是,该链接将我带到一个页面,找不到页面!错误。它包含指向“有关我的请求的更多信息”的链接,该链接会显示没有匹配的Splunk查询。此查询类似于“index = _internal,host = SOME_HOST_ON_SPLUNK_CLOUD,source = * web_service.log,log_level = ERROR,requestid = A_REQUEST_ID”。我不清楚这是配置问题,Splunk Cloud中的错误,甚至可能是我帐户的权限问题。
任何帮助表示赞赏。
我也是Splunk Cloud + PagerDuty客户并遇到了同样的问题。 PagerDuty App for Splunk似乎创造了所有事件,如Critical,但你可以设置不同的严重性与事件规则。
一种方法是使用dynamically以所需的严重性级别重命名Splunk警报,然后为在Summary中查找关键字的每个级别创建一个PagerDuty事件规则。例如...
如果满足以下条件:
Summary contains "TEST"
然后执行以下操作:
Set severity = Info
screenshot of the example in the event rule edit screen
在Splunk中重命名现有警报有点痛苦,但它有效。
如果Splunk中的严重性级别是按照Enterprise Security中的编程方式设置的,那么另一种方法是修改PagerDuty App for Splunk,将$alert.severity$ custom alert action token作为webhook有效负载中的自定义详细信息发送,并将其用作事件规则条件而不是摘要。 ..但这似乎更难。