使用来自 ansible playbook 的查询过滤 Splunk 响应
[英]Filter Splunk response using queries from ansible playbook
问题描述
目前,我们在部署期间手动监控 splunk 仪表板。 我们想自动化这个。 为此,我们想提出一个带有 splunk 查询的 ansible playbook。 该剧本将在部署期间运行。
我能够成功连接到 splunk,但我无法使搜索查询正常工作
####
# type: task
#
# vars:
# 5xxcheck_output(str,command): raw output from command
# 5xxcheck_response(str,command): raw output to json
#
# desc:
# uses splunk to get 5xxcheck
---
- name: Tasks to query splunk
hosts: localhost
connection: local
tasks:
- name: get search_id for 5xx check from splunk
uri:
url: https://<splunk_instance>/services/search/jobs
follow_redirects: all
method: POST
user: xxxxxx
password: xxxxxxx
force_basic_auth: yes
body: "search host=tc1* ResponseCode=500 earliest=-15m"
body_format: raw
validate_certs: no
status_code: 201
return_content: true
register: search_id
- debug: msg="{{ search_id.status }}"
- name: use the search_id to get the 5xx check results
uri:
url: https://<splunk_instance>/services/search/jobs/{{ search_id }}/results/
method: GET
user: xxxxxx
password: xxxxxxx
force_basic_auth: yes
body_format: raw
return_content: true
register: 5xxcheck_output
until: 5xxcheck_output.status > 0 and 5xxcheck_output.status != 500
- name: Put results into 5xxcheck_response
set_fact:
5xxcheck_response: "{{ 5xxcheck_output.json }}"
- name: Print 5xxcheck_response if -v
debug:
var: 5xxcheck_response
verbosity: 1
我想使用 uri 模块来参数化 splunk 搜索。 我能够从终端执行以下 2 个步骤,以获得响应
Step1:获取SID(搜索ID)
curl -u user:pwd -k https://<splunk-instance>/services/search/jobs -d search="search host=t1* ResponseCode=200 earliest=-15m"
<?xml version="1.0" encoding="UTF-8"?>
<response>
<sid>1604947864.xxxxxx</sid>
</response>
Step2:使用SID获取响应
curl -u user:pwd -k https://<splunk-instance>/services/search/jobs/<SID>/results/ --get -d output_mode=raw
1 个解决方案
解决方案1
0 2020-11-12 20:32:32
---
- name: Tasks to query splunk
hosts: localhost
connection: local
tasks:
- name: get search_id for 5xx check from splunk
uri:
url: https://splunk_instance/services/search/jobs/
follow_redirects: all
method: POST
user: xxxxx
password: xxxxx
force_basic_auth: yes
body_format: form-urlencoded
status_code: [200, 201, 202]
body:
- [ search, "search host=t1* ResponseCode=500 earliest=-15m" ]
- [ output_mode, "json" ]
validate_certs: no
return_content: true
register: search_id
- debug: msg="{{ search_id }}"
这对我有用。 现在,当我运行这个剧本时,我得到了有效的 sid 作为响应。
Ansible Playbook 中的 JSON 查询未能选择所需的数据
[英]JSON query in Ansible Playbook failing to select desired data
如何编写 Splunk 查询来计算多个端点的响应代码
[英]How to write a Splunk query to count response codes of multiple endpoints
使用 fetch API 在 React 中过滤掉 API 响应中的字段
[英]Filter out the fields in API response in React using fetch API
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
使用 Python API 2.0.0.1 运行 Ansible Playbook
为Web服务编写Ansible-Playbook
如何从Ansible Tower API查询中过滤结果
使用 python 搜索 Splunk API
Ansible Playbook 中的 JSON 查询未能选择所需的数据
如何使用Ansible 2.0 Python API来运行Playbook?
Django 过滤来自 API 响应的特定属性
如何编写 Splunk 查询来计算多个端点的响应代码
Splunk API 调用的 100 个结果限制
使用 fetch API 在 React 中过滤掉 API 响应中的字段
相关标签