Notifications Splunk/VictorOps

Aperçu

Source: https://www.splunk.com/en_us/products/on-call.html
Prise en charge des images: Non
Prise en charge des pièces jointes: Non
Limites de caractères des messages:
- Corps: 32768
Créer votre URL Apprise

Configuration du compte

Creez un compte Splunk On-Call, anciennement VictorOps. Configurez ensuite votre point de terminaison REST.

Recuperez votre API Key a cette adresse.
splunk-02
Elle ressemblera a ceci :

https://alert.victorops.com/integrations/generic/20131114/alert/1234abcd-c11c-1ad1-a1a1-12345678abcd/$routing_key
                                                                ^                                  ^ ^          ^
                                                                |------------ apikey --------------| |          |
                                                                                                     | routing  |
                                                                                                    /    key     \
                                                                                                   | placeholder |
                                                                                                   |-------------|

Enfin, vous devrez definir un routing_key, ce qui se fait dans Settings -> Route Keys.
L’entity_id sert a garantir qu’un meme message puisse etre declenche puis acquitte. C’est en pratique une cle. Si vous n’en fournissez pas, Apprise en generera une pour vous, toujours la meme.

Syntaxe

La syntaxe valide est la suivante :

splunk://{routing_key}@{apikey}
splunk://{routing_key}@{apikey}/{entity_id}
victorops://{routing_key}@{apikey}
victorops://{routing_key}@{apikey}/{entity_id}
https://alert.victorops.com/integrations/generic/20131114/ alert/{apikey}/{routing_key}
https://alert.victorops.com/integrations/generic/20131114/ alert/{apikey}/{routing_key}/{entity_id}

Détail des Paramètres

Variable	Obligatoire	Description
apikey	Oui	REST API key associee a votre compte Splunk.
routing_key	Oui	L’une des valeurs `routing_key` associees a votre compte Splunk.
entity_id	Non	Cle a utiliser pour generer votre declenchement. Les cles permettent ensuite d’alerter, d’acquitter et/ou de resoudre la meme notification.
action	Non	Action a effectuer avec votre notification Apprise Splunk/VictorOps. Les options disponibles sont : ⚪ `map` : utilise les correspondances d’action Apprise, ou personnalisees, selon le type de notification. Ainsi, un `warning` Apprise declenche un `WARNING` Splunk, un `failure` declenche un message `CRITICAL` Splunk, donc un incident, et un `success` declenche un message `RECOVERY`, ce qui clot un incident. `map` est l’action par defaut si rien n’est precise. ⚪ `warning` : declenche toujours un message Splunk `WARNING`. ⚪ `critical` : declenche toujours un message Splunk `CRITICAL`. ⚪ `acknowledgement` : declenche toujours un message Splunk `ACKNOWLEDGEMENT`. ⚪ `info` : declenche toujours un message Splunk `INFO`. ⚪ `recovery` : declenche toujours un message Splunk `RECOVERY`.

Paramètres Globaux

Variable	Description
overflow	Ce paramètre peut être défini sur `split`, `truncate` ou `upstream`. Il détermine la manière dont Apprise remet le message que vous lui transmettez. Par défaut, il vaut `upstream`. 👉 `upstream` : ne fait aucune modification et transmet le message exactement tel qu’il a été reçu au service. 👉 `truncate` : veille à ce que le message tienne dans la limite amont documentée par le service. Si plus d’informations sont fournies que la limite définie, l’excédent est tronqué. 👉 `split` : similaire à `truncate`, sauf que si le message dépasse la limite amont documentée par le service, il est découpé en plusieurs morceaux plus petits puis envoyés séquentiellement.
format	Ce paramètre peut être défini sur `text`, `html` ou `markdown`. Certains services prennent en charge plusieurs formats de publication du contenu. La valeur par défaut varie selon le service choisi et peut correspondre à l’un de ces trois formats. Vous pouvez facultativement forcer cette option pour vous écarter du comportement par défaut. Si le service ne prend pas en charge plusieurs formats de transmission, ce champ est ignoré.
verify	Les requêtes externes vers des emplacements sécurisés, par exemple via `https`, utilisent des certificats. Par défaut, Apprise vérifie la validité de ces certificats ; si ce n’est pas le cas, aucune notification n’est envoyée à la source. Dans certains cas, un utilisateur ne dispose pas d’une autorité de certification pour valider la clé ou fait simplement confiance à la source ; dans ce cas, vous pouvez définir ce drapeau sur `no`. Par défaut, il vaut `yes`.
cto	Signifie Socket Connect Timeout. Il s’agit du nombre de secondes pendant lesquelles Requests attend que votre client établisse une connexion avec une machine distante, ce qui correspond à l’appel connect() sur la socket. La valeur par défaut est de `4.0` secondes.
rto	Signifie Socket Read Timeout. Il s’agit du nombre de secondes pendant lesquelles le client attend que le serveur envoie une réponse. La valeur par défaut est de `4.0` secondes.
emojis	Active la prise en charge des emojis, par exemple `:+1:` qui sera traduit en 👍. Par défaut, cette option vaut `no`. Remarque : selon la configuration côté serveur, l’administrateur peut désactiver globalement la prise en charge des emojis ; mais par défaut, ce n’est pas le cas.
tz	Identifie le fuseau horaire de la base IANA que vous souhaitez utiliser. Par défaut, celui-ci est détecté à partir de la configuration du serveur qui exécute Apprise. Vous pouvez le définir sur des valeurs comme `America/Toronto`, ou sur tout autre fuseau correctement formaté correspondant à votre région.

Mappage Personnalise des Evenements Splunk/On-Call

Vous pouvez faire en sorte qu’Apprise declenche une action Splunk/On-Call specifique selon la notification emise si vous utilisez l’action par defaut map avec cette integration.

Commencez par noter que Splunk prend en charge les etats suivants :

CRITICAL : declenche un incident
WARNING : peut declencher un incident, selon votre configuration
ACKNOWLEDGEMENT : acquitte un incident
INFO : cree un evenement de timeline sans declencher d’incident
RECOVERY : resout un incident

Par defaut, si action=map, Apprise applique les correspondances suivantes :

Apprise info 👉 Splunk INFO
Apprise warning 👉 Splunk WARNING
Apprise failure 👉 Splunk CRITICAL
Apprise success 👉 Splunk RECOVERY

Si vous souhaitez modifier ces correspondances, il suffit d’utiliser : devant la variable Apprise a surcharger. Par exemple, si vous voulez mapper info d’Apprise vers ACKNOWLEDGEMENT de Splunk, votre URL contiendra ?:info=acknowledgement. Vous pouvez aussi utiliser une forme courte comme ?i=a, avec le meme effet.

Vous pouvez ajouter autant de remappages que vous le souhaitez. Assurez-vous simplement de placer un deux-points, :, devant le type de notification Apprise a surcharger.

Tests

Envoyer une alerte Splunk On-Call pour simuler l’echec de notre service de base de donnees :

# Supposons que nous voulions declencher un message Splunk `CRITICAL`, donc envoyer une notification Apprise de type `failure`
# Supposons que notre {apikey} soit 134b8gh0-eba0-4fa9-ab9c-257ced0e8221
# Supposons que notre {route_key} soit database
apprise -vv -t "Titre du Message de Test" -b "Corps du Message de Test" -n failure \
   splunk://database@134b8gh0-eba0-4fa9-ab9c-257ced0e8221

Nous pouvons resoudre la panne ci-dessus en procedant simplement comme suit :

# Supposons que nous voulions declencher un message Splunk `ACKNOWLEDGEMENT`, donc envoyer une notification Apprise de type `success`
# Supposons que notre {apikey} soit 134b8gh0-eba0-4fa9-ab9c-257ced0e8221
# Supposons que notre {route_key} soit database
apprise -vv -t "Titre du Message de Test" -b "Corps du Message de Test" -n success \
   splunk://database@134b8gh0-eba0-4fa9-ab9c-257ced0e8221

Envoyer un message Splunk avec remappage de nos cles :

# Supposons que nous voulions que `info` d'Apprise declenche un `RECOVERY` Splunk
# Supposons que nous voulions que `warning` d'Apprise declenche toujours un `CRITICAL` Splunk
# Supposons que notre {apikey} soit 134b8gh0-eba0-4fa9-ab9c-257ced0e8221
# Supposons que notre {route_key} soit database
# Dans cet exemple, nous enverrons un message `warning`, qui deviendra donc un `CRITICAL`
apprise -vv -t "Titre du Message de Test" -b "Corps du Message de Test" -n warning \
   splunk://database@134b8gh0-eba0-4fa9-ab9c-257ced0e8221?:info=rec&:warn=crit

Quel que soit le type de message envoye, nous pouvons aussi le forcer en RECOVERY :

# Supposons que nous voulions toujours declencher un `RECOVERY`
# Supposons que notre {apikey} soit 134b8gh0-eba0-4fa9-ab9c-257ced0e8221
# Supposons que notre {route_key} soit database
# Dans cet exemple, nous enverrons un message `failure`, mais il sera traite comme un `RECOVERY` a cause de notre configuration
apprise -vv -t "Titre du Message de Test" -b "Corps du Message de Test" -n failure  \
   splunk://database@134b8gh0-eba0-4fa9-ab9c-257ced0e8221?:action=recovery

Questions ou commentaires ?

Documentation

Vous avez repéré une faute de frappe ou une erreur ? Signalez-la ou proposez une correction .

Problèmes Techniques

Vous rencontrez un problème avec le code ? Ouvrez un ticket sur GitHub :