傳遞到 Observability 並再回傳：一段相關內容的旅程

您如何將安全團隊注意到的事件相關內容，傳遞給可以做出改變並解決這些事件的開發團隊？通常這需要一系列的會議和討論，然後花上數天或數週才能把安全事件的資訊讓開發人員知道。使問題更加複雜的是，開發人員通常無法取得安全團隊使用的 Splunk Core、Cloud 或 Enterprise 索引，實際上，他們可能只將 Splunk Observability 用在指標、追蹤甚至是日誌中。

現在，您可以使用 Splunk Observability Cloud Alert Action for Splunk 簡化將 Splunk 中的事件相關內容傳送到 Splunk Observability 事件的工作！

Splunk Observability 的事件可以顯示在開發人員最常用的儀表板上，通知他們 Splunk 中正在追蹤的特定或重要事件。只需如同設定任何其他警示般在 Splunk Cloud 或 Splunk Enterprise 中設定警示動作 (alert action)，選擇想要作為相關內容傳送到 Splunk Observability 的欄位，就可以看到事件相關內容流經您的各種工具！

圖 1-1這個範例 Splunk Observability 事件可通知開發人員在 Splunk 中 “Vulnerabilty_app” 程式碼的掃描結果。在這個案例中，程式碼使用的非同步套件存在漏洞 (cve-2021-43138)，必須加以排除

為什麼是事件？

Splunk 產品中的事件 (Event) 無處不在！我們熱愛事件！它們讓我們能以最小成本傳遞相關內容。Splunk Cloud 和 Splunk Enterprise 通常使用日誌的事件作為最基本的組成。

Splunk Observability 會將事件與它們的偵測器 (detector) 一起使用，當成一種將非時間序列的相關內容傳遞給使用者的有用方法。過去我已經在部落格上介紹過事件了，不過我一定會再談到它！事件是理解各時間點發生什麼事情的好工具，可無縫整合到 Observability 儀表板中，而且它們是「免費的」，不需要任何費用。

想要將相關內容從 Splunk 索引傳遞到 Splunk Observability 來解決問題的範例？

「我們在對內部存放庫的程式碼進行漏洞掃描時發現了新的漏洞。我們需要通知這些存放庫的開發人員！」

「在 Splunk 中偵測到我們的防火牆設定出了問題，並且正在影響網路效能。我們需要透過所有其他監控工具通知使用者。」

「我們在 Splunk ITSI 中追蹤的關鍵性業務流程發生狀況了。我們需要把這些資訊提供給撰寫相關軟體的開發人員。」

「我希望看到服務部署的軟體和我們監控的服務出現在我們的 O11y 儀表板上。我們已經在 Splunk 中追蹤了。我們可以將結果傳遞到 Observability 嗎？」

以上只是幾個可能的使用案例。但實際上，如果 Splunk 中發生某些事情而您需要通知 Splunk Observability 的使用者時，來自 Splunk 的電子郵件警示可能會被忽略或被丟到未讀的 [收件匣] 資料夾中。將資訊直接發送到 Splunk Observability 可以記錄事件發生的時間，並將其顯示在開發人員和網站可靠性工程師 (SRE) 自己的工具中。

誰需要警示動作 (Alert Action)？

使用警示動作將 Splunk Enterprise/Cloud 和 Splunk Observability 連結起來最重要的原因，是組織中各處都有想要此類整合的使用案例和團隊：

1. IT 營運/支援分析師：支援分析師通常著眼於更大的全局。他們可能想觀看各個 ITSI 管理介面或 Splunk 中定義的高度客製化服務彙總。現在，當問題出現時，除了電子郵件警示外也會發送 Splunk Observability 警示，用開發人員自己的工具通知他們。
2. 軟體開發人員/開發營運/SRE：這類團隊的日常工作通常僅限於 Splunk Observability，可能無法使用 Splunk 或某些 Splunk 索引 (甚至不會 SPL)。這些團隊可以從包含在索引中的事件相關內容受益。現在，資料可以流暢地傳遞給 Splunk Observability，為他們提供相關內容。
3. 安全團隊：向軟體、開發營運和 SRE 團隊提供安全事件和漏洞的相關內容很重要，但卻不容易引起他們的注意。將這些詳細資訊匯入 Splunk Observability 之後，就可以提供通知以及方便的歷史報告和參考記錄。無須煩惱從漏洞到通知之間的缺口了，請開始使用 Splunk Observability Cloud Alert Action for Splunk 來自動化這個程序。

讓每個人的工作更輕鬆！不用疲於奔命！傳遞相關內容將 Splunk 和 Splunk Splunk Observability 結合起來。您的安全、開發和支援團隊會感謝您的！

立即下載並開始使用 Splunk Observability Cloud Alert Action for Splunk！

而且可以回傳！
現在您希望將一些資料和相關內容從 Splunk Observability 回傳到 Splunk 嗎？「回傳」沒那麼有趣，不過很容易辦到。

設定 Splunk HEC (當然要使用 SSL) 並取得一個 Splunk HEC 權杖。然後設定 Splunk Observability 中的 Webhook 整合功能，以將資訊傳送到 HEC 的「收集器/原始」端點。

若想獲得更大的彈性，也可使用 AWS Lambda 將 Observability Alert 資料發送到 Splunk ITSI。請看這篇 Splunk Lantern 文章！

只要新增 Observability Webhook 作為偵測器，即可當成一種通知方法，然後將這些警示發送到 Splunk Enterprise 或 Splunk Cloud 即可。當使用 Splunk 和/或 Splunk ITSI 作為「監視器的監視器」時，這種模式很有用。

下一步
如果您是 Splunk 使用者但尚未使用 Splunk Observability，請立即註冊免費試用並開始深入研究這種近乎即時的軟體監控！

尚未使用 Splunk？立即查看 Splunk Cloud 或 Splunk Enterprise (本地) 的免費試用版！

________________________________________
這篇文章由 Splunk 解決方案創新工程師 Jeremy Hicks 撰寫，並感謝：Doug Erkkila、Joel Schoenberg 和解決方案創新工程團隊的其他成員！

作者
Jeremy Hicks
Jeremy Hicks 是多家財星 500 大 (Fortune 500) 電子商務公司的可觀察性推廣大使和 SRE 專家。他對監控、韌性工程、雲端運算和開發營運實務極具熱情，為可觀察性領域提供了獨特的觀點。