La mayoría de las organizaciones de TI empresariales implementan instalaciones de agregación de registros para respaldar nuevas formas de trabajar a través de inteligencia operativa y varias formas de automatización. El tablero de Ansible Tower en sí mismo nos brinda una buena vista del estado de nuestro inventario, hosts, tareas programadas y ejecuciones de trabajos manuales. Para complementar esto, el registro se introdujo como una función independiente para permitir que Tower envíe registros detallados a varios servicios de agregación de registros externos de terceros que la mayoría de las organizaciones de TI ya tienen.
Como se discutió aquí, esta función permite a los administradores obtener información y una mejor vista de la utilización y las tendencias de Tower. Esta información luego se utiliza para analizar eventos y anomalías de la infraestructura, y cómo se relacionan entre sí, logrando inteligencia operativa. La función actualmente funciona con Splunk, Loggly, Sumologic y Elastic Stack (anteriormente ELK stack).
Recopilador de eventos HTTP (HEC) de Splunk
En este artículo, lo guiaré a través del proceso para reenviar registros de Ansible Tower a una implementación de Splunk existente utilizando su Recopilador de eventos HTTP (HEC). HEC permite que las aplicaciones y los servicios envíen datos y eventos a sus instalaciones de Splunk utilizando los protocolos HTTP y HTTPS sin necesidad de un reenviador. Utiliza tokens HEC como medio de autenticación.
El siguiente conjunto de instrucciones le muestra cómo configurar la agregación de registros de Ansible Tower 3.7.1 a Splunk Enterprise 8.1.0 mediante HEC (el proceso debería ser similar en versiones anteriores). Estos procedimientos se probaron en mi máquina local RHEL 8.2 para uno de nuestros clientes de Red Hat TAM en Nueva Zelanda.
Parte 1:habilitar HEC para el primer uso
Si esta es la primera vez que usa HEC en su implementación de Splunk, debe habilitarlo antes de que pueda recibir los eventos de la Torre a través de HTTP.
1. Haga clic en Configuración → Entradas de datos → Recopilador de eventos HTTP.
2. Haga clic en Configuración global en la esquina superior derecha.
3. Seleccione Habilitado en Todas las fichas alternar opciones.
4. Opcionalmente, elija Tipo de fuente predeterminado para todos los tokens HEC, Índice predeterminado y Grupo de salida predeterminado .
5. Puede optar por Usar Deployment Server para distribuir tokens entre indexadores para implementaciones agrupadas y no agrupadas.
6. Marque Habilitar SSL si prefiere que HEC use HTTPS en lugar de HTTP.
7. Asegúrese de que el número de puerto HTTP que especifique no se utiliza actualmente y no está bloqueado por el cortafuegos. El valor predeterminado es el puerto 8088.
8. Haz clic en Guardar .
[ También te puede interesar: Configurar logrotate en Linux ]
Parte 2:Generación de un token HEC
Una vez que se habilita HEC, podemos generar un token HEC que se usará para la autenticación de Ansible Tower. Podemos crear el token en una configuración específica para elegir el tipo de fuente, crear o usar un índice particular e incluso reenviar a un grupo de salida determinado. Todo esto depende de su enfoque para usar los eventos y los datos recopilados.
1. Haga clic en Configuración → Agregar datos.
2. Seleccione Supervisar en la parte inferior de la página.
3. Haga clic en Recopilador de eventos HTTP.
4. Ingrese su nombre de token preferido en el Nombre campo.
5. Puede optar por tener una anulación del nombre de la fuente y Descripción por la ficha.
6. Opcionalmente, especifique un Grupo de salida si los está usando como se describe aquí.
7. Haga clic en Siguiente.
8. Para los tokens de Ansible Tower, haga clic en Seleccionar y escriba _json en Seleccionar tipo de fuente campo.
9. Mantenga el valor predeterminado en Contexto de la aplicación :búsqueda e informes.
10. Para el Índice , puede crear uno nuevo y seleccionarlo para una búsqueda más rápida. Hice un ansible index como ejemplo (lea más sobre la indexación de Splunk aquí).
11. Revise todos los detalles y haga clic en Enviar o Atrás para editar.
12. Copie el token resultante que se utilizará para configurar la autenticación de Ansible Tower en Splunk.
13. Haga clic en Comenzar a buscar para redirigir rápidamente al botón de búsqueda y tener la cadena de búsqueda lista para el token que acabamos de crear.
Parte 3:Configuración de Ansible Tower para el reenvío de registros de Splunk
Ahora que configuramos el HEC de Splunk y creamos un token, Splunk está listo para aceptar eventos y datos. Pasemos a la configuración del lado de Ansible Tower.
1. Inicie sesión en la consola Tower como usuario administrador.
2. Navega hasta la parte inferior izquierda de la pantalla de inicio y elige Configuración.
3. Haga clic en Sistema → Registro.
4. Marque Habilitar registro externo.
5. Tome nota de la siguiente información de entrada de ejemplo de Splunk basada en los procedimientos de la Parte 1-2.
AGREGADOR DE REGISTRO:https://
→ especifique el número de puerto si no usó 8088
TIPO DE AGREGADOR DE REGISTRO:splunk
TOKEN DEL AGREGADOR DE REGISTRO:valor del token de la Parte 2.12
PROTOCOLO DEL AGREGADOR DE REGISTRO:HTTPS/HTTP
6. Siéntase libre de ajustar las otras opciones y configuraciones de la captura de pantalla anterior. Por ejemplo, si elige habilitar la Verificación de certificado HTTPS, el certificado enviado por un agregador de registros externo se verifica antes de establecer una conexión. Lo mantendremos deshabilitado en este ejemplo.
7. Haz clic en Guardar y Prueba para enviar eventos de muestra a Splunk.
Parte 4:Verificación de eventos enviados a Splunk
Si hace clic en Probar después de guardar la configuración de Ansible Tower, espere unos minutos y luego ingrese la búsqueda de muestra en el campo Búsqueda e informes de Splunk. Debería ver el mensaje de prueba de conexión AWX en Splunk.
A partir de aquí, puede comenzar a crear informes y paneles basados en los eventos y datos que desea monitorear. A continuación se muestra un registro de eventos de muestra de un trabajo de Tower Workflow. Observe la fuente y tipo de fuente como los que definimos en el token HEC. Los administradores y desarrolladores de Splunk ahora pueden comenzar a analizar los campos recibidos por Splunk y poner algo de inteligencia en la interpretación de esta información para sus operaciones.
Aplicación Splunk para monitoreo y diagnóstico de Ansible
Hay una aplicación Splunk existente para el monitoreo de Ansible. La aplicación está diseñada para funcionar junto con Ansible Splunk Callback desarrollado por Deloitte, que se envió para su inclusión en la distribución principal de Ansible. Ambos son de código abierto. Son otro ejemplo del poder de lo abierto, que permite que la innovación prospere mediante la colaboración con tecnologías de código abierto.
[ ¿Necesita más información sobre Ansible? Realice un curso gratuito de descripción técnica de Red Hat. Ansible Essentials:descripción técnica de la simplicidad en la automatización. ]
Resumir
La capacidad de centralizar registros es un gran beneficio para las organizaciones de TI. La incorporación del reenvío de registros a Ansible Tower la convierte en una solución empresarial aún mejor. Muchas organizaciones ya cuentan con soluciones como Splunk y ahora sabe cómo integrar las herramientas.
Referencias :
- Registro y agregación de torres
- Configurar y usar HTTP Event Collector en Splunk Web
- Supervisión y diagnóstico de Ansible