Блог

Главная - Вопросы по программированию - Как передать значение токена Splunk в блок Slack (код json) при срабатывании предупреждения в Splunk

Как передать значение токена Splunk в блок Slack (код json) при срабатывании предупреждения в Splunk

#python-3.x #webhooks #slack #slack-api #splunk

#python-3.x #webhooks #slack #slack-api #splunk

Вопрос:

Любой способ настройки Webhook в Splunk с использованием опции по умолчанию, которая доступна в Splunk, и как добавить полезную нагрузку, поскольку других опций нет, доступен, как показано ниже. введите описание изображения здесь

Я использую приложение Splunk и могу получать уведомления о срабатывании предупреждения в моем канале Slack, но я хотел изменить формат текста.

 Your Testing Alert alert matched 5 Events At 1600318446.014216
Please Click on below link to View Alert: http://Shailesh-Yadav:8000/app/search/alert?s=/servicesNS/nobody/search/saved/searches/Testing+Alert
Type of Alert : alert
Owner of Alert is : shaileshyadav
Trigger Date: 2020-09-17
Job Level: Testing Alert
Job Run Duration: 0.169
Job Search ID: scheduler__shaileshyadav__search__RMD511208c77f51c333d_at_1600318440_23
Priority:1

Я проверил и обнаружил, что есть опция для форматирования сообщений.мы можем использовать полезную нагрузку json и с помощью команды Curl мы можем отправить ее на URL Webhook.
например

 curl -X POST -H "Content-Type: application/json" -d @/Users/shaileshyadaav/Desktop/splunk.json https://hooks.slack.com/services/YFVGJDSF3784865/XXXXXX/XXXXXXXYYYYYYYYYY

Проблема: как я могу передать значение токена Splunk внутри моего файла json в режиме реального времени при запуске события (которое я могу получить с помощью приложения Splunk, но формат не соответствует ожидаемому).

Ответ №1:

Вы не можете отправить пользовательскую полезную нагрузку с помощью действия предупреждения Webhook. По умолчанию он отправит полезную нагрузку, которая содержит:

  • Идентификатор поиска или SID для сохраненного поиска, который вызвал предупреждение
  • Ссылка на результаты поиска
  • Найдите владельца и приложение
  • Первая строка результата из результатов поиска запуска

ссылка:https://docs.splunk.com/Documentation/Splunk/8.0.2/Alert/Webhooks

Таким образом, единственная степень свободы заключается в изменении или настройке значений, возвращаемых в первой строке результата. Если вам нужно более продвинутое пользовательское действие оповещения, взгляните наhttps://splunkbase.splunk.com/app/2878 /

Смотрите этот пример, где имя столбца изменяется на пользовательское значение и передается через webhook при срабатывании условия предупреждения.

введите описание изображения здесь
введите описание изображения здесь