La plupart des services informatiques des entreprises déploient des fonctions d'agrégation de journaux pour prendre en charge de nouvelles méthodes de travail grâce à l'intelligence opérationnelle et à diverses formes d'automatisation. Le tableau de bord Ansible Tower lui-même nous donne une bonne vue de l'état de notre inventaire, des hôtes, des tâches planifiées et des exécutions de tâches manuelles. Pour compléter cela, la journalisation a été introduite en tant que fonctionnalité autonome pour permettre à Tower d'envoyer des journaux détaillés à plusieurs services d'agrégation de journaux externes tiers dont disposent déjà la plupart des organisations informatiques.
Comme indiqué ici, cette fonctionnalité permet aux administrateurs d'obtenir des informations et une meilleure vue de l'utilisation et des tendances de la tour. Ces informations sont ensuite utilisées pour analyser les événements et les anomalies de l'infrastructure, et la façon dont ils sont liés les uns aux autres, pour obtenir une intelligence opérationnelle. La fonctionnalité fonctionne actuellement avec Splunk, Loggly, Sumologic et Elastic Stack (anciennement ELK stack).
Collecteur d'événements HTTP Splunk (HEC)
Dans cet article, je vais vous guider tout au long du processus de transfert des journaux Ansible Tower vers un déploiement Splunk existant à l'aide de son collecteur d'événements HTTP (HEC). HEC permet aux applications et aux services d'envoyer des données et des événements à votre installation Splunk à l'aide des protocoles HTTP et HTTPS sans avoir besoin d'un redirecteur. Il utilise des jetons HEC comme moyen d'authentification.
L'ensemble d'instructions suivant vous montre comment configurer l'agrégation de journaux d'Ansible Tower 3.7.1 à Splunk Enterprise 8.1.0 à l'aide de HEC (le processus devrait être similaire sur les versions inférieures). Ces procédures ont été testées sur ma machine RHEL 8.2 locale pour l'un de nos clients Red Hat TAM en Nouvelle-Zélande.
Partie 1 - Activer HEC pour la première utilisation
Si c'est la première fois que vous utilisez HEC sur votre déploiement Splunk, vous devez l'activer avant qu'il puisse recevoir les événements Tower via HTTP.
1. Cliquez sur Paramètres → Entrées de données → Collecteur d'événements HTTP.
2. Cliquez sur Paramètres généraux dans le coin supérieur droit.
3. Sélectionnez Activé dans Tous les jetons basculer les options.
4. Choisissez éventuellement Type de source par défaut pour tous les jetons HEC, Indice par défaut , et Groupe de sortie par défaut .
5. Vous pouvez choisir d'utiliser le serveur de déploiement pour distribuer des jetons entre les indexeurs pour les déploiements en cluster et non en cluster.
6. Cochez la case Activer SSL si vous préférez que HEC utilise HTTPS plutôt que HTTP.
7. Assurez-vous que le numéro de port HTTP que vous spécifiez n'est pas utilisé actuellement et n'est pas bloqué par le pare-feu. Il s'agit par défaut du port 8088.
8. Cliquez sur Enregistrer .
[ Vous pourriez également aimer : Configurer logrotate sous Linux ]
Partie 2 - Génération d'un jeton HEC
Une fois HEC activé, nous pouvons générer un jeton HEC à utiliser pour l'authentification Ansible Tower. Nous pouvons créer le jeton dans une configuration spécifique pour choisir le type de source, créer ou utiliser un index particulier, et même le transmettre à un groupe de sortie donné. Tout dépend de votre approche de l'utilisation des événements et des données recueillies.
1. Cliquez surParamètres → Ajouter des données.
2. Sélectionnez Surveiller en bas de la page.
3. Cliquez sur Collecteur d'événements HTTP.
4. Entrez votre nom de jeton préféré dans le Nom champ.
5. Vous pouvez choisir d'avoir un remplacement du nom de la source et Description pour le jeton.
6. Facultativement, spécifiez un groupe de sortie si vous les utilisez comme décrit ici.
7. Cliquez sur Suivant.
8. Pour les jetons Ansible Tower, cliquez sur Sélectionner et saisissez _json dans Sélectionner le type de source champ.
9. Conserver la valeur par défaut dans Contexte de l'application :Recherche et création de rapports.
10. Pour l'indice , vous pouvez en créer un nouveau et le sélectionner pour une recherche plus rapide. J'ai fait un ansible index à titre d'exemple (en savoir plus sur l'indexation Splunk ici).
11. Vérifiez tous les détails et cliquez sur Soumettre ou Retour à modifier.
12. Copiez le jeton résultant à utiliser lors de la configuration de l'authentification Ansible Tower sur Splunk.
13. Cliquez sur Démarrer la recherche pour rediriger rapidement vers le bouton de recherche et avoir la chaîne de recherche prête pour le jeton que nous venons de créer.
Partie 3 - Configuration d'Ansible Tower pour le transfert de journaux Splunk
Maintenant que nous avons configuré le HEC de Splunk et créé un jeton, Splunk est prêt à accepter les événements et les données. Passons à la configuration côté Ansible Tower.
1. Connectez-vous à la console Tower en tant qu'utilisateur administrateur.
2. Accédez en bas à gauche de l'écran d'accueil et sélectionnez Paramètres.
3. Cliquez sur Système → Journalisation.
4. Cochez Activer la journalisation externe.
5. Prenez note de l'exemple d'informations d'entrée suivant de Splunk basé sur les procédures de la partie 1-2.
AGRÉGATEUR DE JOURNALISATION :https://
→ indiquez le numéro de port si vous n'avez pas utilisé 8088
TYPE D'AGRÉGATEUR DE JOURNALISATION :splunk
JETON D'AGRÉGATEUR DE JOURNALISATION :valeur du jeton de la partie 2.12
PROTOCOLE D'AGRÉGATEUR DE JOURNALISATION :HTTPS/HTTP
6. N'hésitez pas à ajuster les autres options et paramètres à partir de la capture d'écran ci-dessus. Par exemple, si vous choisissez d'activer la vérification de certificat HTTPS, le certificat envoyé par un agrégateur de journaux externe est vérifié avant d'établir une connexion. Nous la garderons désactivée dans cet exemple.
7. Cliquez sur Enregistrer et tester pour envoyer des exemples d'événements à Splunk.
Partie 4 - Vérification des événements envoyés à Splunk
Si vous cliquez sur Tester après avoir enregistré la configuration d'Ansible Tower, attendez quelques minutes, puis saisissez l'exemple de recherche dans le champ Search and Reporting de Splunk. Vous devriez voir le message de test de connexion AWX dans Splunk.
À partir de là, vous pouvez commencer à créer des rapports et des tableaux de bord basés sur les événements et les données que vous souhaitez surveiller. Vous trouverez ci-dessous un exemple de journal des événements d'un travail Tower Workflow. Remarquez la source et type de source comme ceux que nous avons définis dans le jeton HEC. Les administrateurs et les développeurs de Splunk peuvent désormais commencer à analyser les champs reçus par Splunk et mettre une certaine intelligence dans l'interprétation de ces informations pour leurs opérations.
Application Splunk pour la surveillance et les diagnostics Ansible
Il existe une application Splunk pour la surveillance Ansible. L'application est conçue pour fonctionner avec Ansible Splunk Callback développé par Deloitte, qui a été soumis pour inclusion dans la distribution principale d'Ansible. Les deux sont open source. Ils sont un autre exemple du Power of Open, qui permet à l'innovation de prospérer en collaborant avec des technologies open source.
[ Besoin d'en savoir plus sur Ansible ? Suivez un cours de présentation technique gratuit de Red Hat. Ansible Essentials :Présentation technique de la simplicité dans l'automatisation. ]
Récapitulez
La possibilité de centraliser les journaux est un grand avantage pour les organisations informatiques. L'ajout du transfert de journaux à Ansible Tower en fait une solution d'entreprise encore meilleure. De nombreuses organisations disposent déjà de solutions telles que Splunk, et vous savez maintenant comment intégrer les outils.
Références :
- Journalisation et agrégation de tours
- Configurer et utiliser HTTP Event Collector dans Splunk Web
- Surveillance et diagnostic Ansible