Оповещение в Telegram и Slack в режиме реального времени. Или как сделать Alert в Splunk — Часть 2

Мы продолжаем тему алертинга в Splunk. Ранее мы говорили о том, как настроить отправку оповещений на электронную почту ^[1], а сегодня покажем Вам, как отправлять уведомления в мессенджеры, такие как Telegram и Slack.
^[2]
В статье вы найдете пошаговую инструкцию по настройке.

Оба кейса мы разберем на примере алерта о неудачных попытках аутентификации при входе в Splunk (О том как создать такой алерт, мы писали в предыдущей статье ^[1]). Лог, на котором основывается запрос для алерта, записывается и индексируется автоматически и есть у всех, у кого есть Splunk. Поэтому даже если у Вас на данный момент нет актуальной задачи по оповещениям, то Вы можете протестировать все на таком же примере как у нас. Если же у вас нет Splunk и вы не знаете, что это такое, зачем это нужно и как установить, то Вы можете прочитать, что мы писали об этом ранее ^[3].

К каждому алерту можно добавить действия при его реализации. По умолчанию в Splunk заложены возможности уведомления в самом Splunk, запись события в другой индекс, запись в справочник, отправка сообщения на электронную почту или запуск кастомного скрипта.

Для отправки сообщений в мессенджеры нам будет необходимо установить несколько бесплатных приложений.

1. Скачиваем приложение Telegram Alert Action с сайта SplunkBase по следующей ссылке ^[4]

2. Устанавливаем приложение

(Если Вы не знаете, как это сделать, то раскройте этот пункт)

Заходим в Splunk Enterprise;
В меню приложений кликаем на иконку Manage Apps (синяя шестеренка);
Нажимаем Install app from file;
Выбираем файл, который мы только что скачали;
Нажимаем Upload;
Перезагружаем Splunk;

3. Теперь мы можем добавить Telegram-действие к нашему алерту.
«Search & Reporting» — «Alerts» — «Edit» — «Edit Alert» — «Add Actions» — «Telegram Alert»

Как мы видим, для отправки сообщения нам необходимы Bot ID и Chat ID, если у вас они уже есть, то Вы уже на финишной прямой, а если нет, то давайте создадим своего бота.

4. Получаем Bot ID и Chat ID

Для получения Bot ID обратитесь к боту @BotFather c требованием создать нового бота (команда /newbot)
Введите название своего бота и имя (имя должно оканчиваться на «bot»)
Откройте диалог со своим созданным ботом и напишите ему произвольное сообщение
Откройте в браузере ссылку, заменив <bot_id> на полученный идентификатор api.telegram.org/bot ^[5]<bot_id>/getUpdates
В полученном json-ответе найдите значение в параметре «id» это и есть Chat ID

5. Заполняем все поля в Telegram Alert. Знаком доллара обозначаются токены, которые переносят в сообщение информацию из запроса и о запросе. Больше о токенах вы можете прочитать по ссылке ^[6].

Message: Была совершена неудачная попытка входа. Время: $result.time$ Источник: $result.src$ Пользователь: $result.user$ Действие: $result.action$ Статус: $result.info$ Severity: High Chat ID: Ваш chat_id Bot ID: Ваш bot_id

6. Получаем уведомление в Telegram

Slack

1. Скачиваем приложение Telegram Alert Action с сайта SplunkBase по следующей ссылке ^[7]

2. Устанавливаем приложение .(Процесс установки описан выше)

3. В конце установки приложение попросит указать Webhook URL.

4. Чтобы получить Webhook URL необходимо в Slack зайти в раздел «Apps» — найти приложение Incoming WebHooks – «Install» — «Add configuration» .

5. Выбираем из выпадающего списка канал, в который будут приходить уведомления (или создаем новый). Это может быть общий канал или личные сообщения какому-то пользователю. Далее нажимаем на кнопку «Add Incoming Webhooks Integration».

6. Получаем Webhook URL, который нужно указать в Splunk

7. Добавляем новое действие в наш алерт: «Search & Reporting» — «Alerts» — «Edit» — «Edit Alert» — «Add Actions» — «Slack», указывая название канала, в котором мы настроили интеграцию.

8. Получаем уведомление в Slack

Заключение

Таким образом, мы настроили оповещения из Splunk в мессенджеры Telegram и Slack, которые позволят вам всегда быть в курсе того, что происходит в ваших IT-системах и держать руку на пульсе.

Мы рады ответить на все ваши вопросы и комментарии по данной теме. Также, если вас интересует что-то конкретно в этой области, или в области анализа машинных данных в целом — мы готовы доработать существующие решения для вас, под вашу конкретную задачу. Для этого можете написать об этом в комментариях или просто отправить нам запрос через форму на нашем сайте ^[8].

Автор: JuliaKoroleva

Источник ^[9]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/276001

Ссылки в тексте:

[1] на электронную почту: https://habrahabr.ru/company/tssolution/blog/351038/

[2] Image: https://habrahabr.ru/company/tssolution/blog/351798/

[3] ранее: https://habrahabr.ru/company/tssolution/blog/323814/

[4] ссылке: https://splunkbase.splunk.com/app/3703/

[5] api.telegram.org/bot: https://api.telegram.org/bot

[6] ссылке: http://docs.splunk.com/Documentation/Splunk/7.0.2/Alert/EmailNotificationTokens

[7] ссылке: https://splunkbase.splunk.com/app/2878/

[8] сайте: https://tssolution.ru/splunk/

[9] Источник: https://habrahabr.ru/post/351798/?utm_campaign=351798

Нажмите здесь для печати.