Splunk MCP Server

Qu'est-ce que le serveur Splunk MCP?

Le serveur Splunk MCP est un connecteur puissant entre Splunk et le Modèle de Contexte de Protocole (MCP), permettant aux grands modèles de langage de communiquer avec les services Splunk de manière standardisée et conviviale pour les agents. Il abstractise l'API complexe de Splunk et les opérations de gestion comme des "outils" découvrables et appelables, automatisant des tâches telles que la recherche, la gestion des utilisateurs, l'inspection des index et l'accès aux magasins de valeurs clés, le tout via des requêtes en langage naturel ou programmatiques.

Comment configurer

Définir les variables d'environnement
Configurez les paramètres de connexion pour Splunk et MCP en exportant des variables d'environnement comme SPLUNK_HOST, SPLUNK_PORT, SPLUNK_USERNAME et SPLUNK_PASSWORD (ou SPLUNK_TOKEN). Ajustez VERIFY_SSL si nécessaire pour la validation des certificats.
Choisir le mode d'opération
Décidez d'un mode : SSE (par défaut, pour les connexions d'agents en direct), API (points de terminaison REST) ou STDIO (pour une intégration directe avec des agents d'IA locaux comme Claude Desktop).
Installer les dépendances
Utilisez uv, poetry ou pip pour installer tous les paquets Python requis.
Démarrer l'application
Selon votre configuration, lancez le serveur dans le mode choisi en utilisant des commandes Python ou Docker.
- Pour le mode SSE : python splunk_mcp.py
- Pour le mode API : python splunk_mcp.py api
- Pour le mode STDIO : python splunk_mcp.py stdio
(Optionnel) Exécuter dans Docker
Utilisez docker compose pour construire et déployer le service dans n'importe quel mode pris en charge.

Comment utiliser

Pour les LLM/Agents IA :
Connectez votre client assistant IA (comme Claude Desktop ou un agent basé sur le web) à l'endpoint du serveur Splunk MCP (SSE, API ou STDIO). Le client peut ensuite découvrir et invoquer des outils (opérations Splunk) selon les besoins.
Interagir via des outils :
Utilisez des requêtes en langage naturel ou programmatiques pour déclencher des recherches Splunk, consulter des index, gérer des utilisateurs ou effectuer des opérations sur des magasins KV. La couche MCP traduit cela en requêtes sécurisées et autorisées vers votre instance Splunk.
Tests et validation :
Effectuez des vérifications de santé intégrées et des tests d'intégration pour assurer la connectivité et la fonctionnalité. Les recherches et appels d'outils peuvent être testés à la fois depuis la CLI et les conteneurs Docker.
API et points de terminaison SSE : Accédez aux points de terminaison RESTful ou SSE pour intégrer les aperçus Splunk dans des tableaux de bord ou des automatisations tierces.

Caractéristiques clés

Modes d'opération multiples : SSE, API et STDIO pour convenir à un large éventail de clients et d'interfaces d'agents.
Recherche Splunk en langage naturel : Convertit les requêtes en langage courant en jobs de recherche Splunk, avec des paramètres flexibles.
Gestion des index et des utilisateurs : Énumérez et inspectez les index/utilisateurs directement depuis l'interface de l'agent.
Opérations sur les magasins KV : Plein CRUD sur les collections de magasins KV de Splunk.
Performance asynchrone : Utilise une programmation asynchrone pour un haut débit et des opérations réactives.
Journalisation complète : Des journaux détaillés, augmentés d'émojis, augmentent l'observabilité et facilitent le dépannage.
Sécurité SSL personnalisable : Choisissez entre une vérification stricte des certificats et des modes détendus pour le développement.
Gestion des erreurs approfondie : Messages d'erreur clairs et structurés pour toutes les invocations d'outils.
Vérifications de santé et de connectivité : Outil et point de terminaison intégrés pour vérifier la préparation du service et la connectivité à Splunk.

Cas d'utilisation

Operations IT alimentées par l'IA : Automatisez les requêtes Splunk routinières, la gestion des index et les recherches d'utilisateurs depuis un assistant basé sur LLM.
Analyse de sécurité : Utilisez des LLM pour rechercher des journaux, analyser des modèles de menaces et récupérer des données contextuelles pour les flux d'enquête.
Surveillance DevOps : Activez des workflows chatops ou d'agents pour interroger des index de systèmes, vérifier la santé et gérer le stockage des journaux.
Reporting automatisé : Générez des rapports ou extrayez des données de Splunk avec des commandes en langage naturel, réduisant ainsi l'utilisation manuelle des tableaux de bord.
Agents AI personnalisés pour Splunk : Créez des bots ou copilotes alimentés par LLM qui interagissent de manière programmatique avec Splunk via MCP.

FAQ

Q1 : Quels modes d'opération prend en charge le serveur Splunk MCP, et lequel devrais-je utiliser ?
R : Il prend en charge SSE (pour les clients IA/web en temps réel), API (appels REST pour les intégrations programmatiques) et STDIO (pour des connexions d'agents directes comme avec Claude Desktop). SSE est le mode par défaut ; choisissez en fonction de votre scénario d'intégration.

Q2 : Comment sécuriser mes identifiants Splunk et assurer un déploiement sûr ?
R : Utilisez toujours des variables d'environnement pour les identifiants et ne les engagez jamais dans le contrôle de version. Pour la production, appliquez VERIFY_SSL=true, utilisez des secrets Docker lorsque possible, et restreignez l'exposition des ports.

Q3 : Puis-je utiliser le serveur Splunk MCP avec les éditions Splunk Cloud et Enterprise ?
R : Oui, il prend en charge à la fois Splunk Enterprise (sur site) et Splunk Cloud. La configuration est identique ; assurez-vous simplement que le point de terminaison est accessible et correctement authentifié.

Q4 : Comment puis-je résoudre des recherches Splunk échouées ou des problèmes de connexion ?
R : Examinez les journaux du serveur MCP (avec des journaux détaillés et des émojis), passez en revue les messages d'erreur dans les réponses des outils, vérifiez la justesse des variables d'environnement et vérifiez la connectivité à l'API/niveau de réseau de Splunk.

Q5 : Puis-je ajouter des outils personnalisés ou étendre le serveur MCP pour d'autres opérations Splunk ?
R : Absolument — Splunk MCP est extensible. Vous pouvez implémenter de nouveaux outils MCP en tant que fonctions Python asynchrones et les enregistrer pour fournir des intégrations supplémentaires avec Splunk ou des tiers.

Nom du Protocole	Description
list_tools	Renvoie une liste de tous les outils MCP disponibles sur le serveur, y compris des descriptions et des paramètres pris en charge, permettant aux agents de découvrir les opérations disponibles.
health_check	Vérifie la connectivité à Splunk et renvoie une liste des applications Splunk détectées ; utilisé pour vérifier la configuration réussie et la connectivité.
ping	Point de terminaison simple pour vérifier que le serveur MCP est actif et répond ; renvoie 'pong' avec les informations du serveur.
current_user	Renvoie les informations d'identité et de permission de l'utilisateur Splunk actuellement authentifié.
list_users	Récupère une liste de tous les utilisateurs Splunk, y compris leurs rôles et leur statut, pour une inspection administrative.
list_indexes	Liste tous les index Splunk accessibles avec les identifiants actuels, y compris la visibilité des index personnalisés ou système.
get_index_info	Récupère des informations détaillées sur un index Splunk spécifique ; nécessite le paramètre index_name.
indexes_and_sourcetypes	Renvoie un mappage de tous les index et des types de source associés, utile pour l'exploration des journaux et des données.
search_splunk	Exécute une requête de recherche Splunk fournie par l'utilisateur, avec des paramètres optionnels pour les fenêtres de temps et les résultats maximum.
list_saved_searches	Liste tous les jobs de recherche enregistrés dans l'instance Splunk, prenant en charge l'automatisation et la révision des requêtes récurrentes.
list_kvstore_collections	Récupère toutes les collections de magasins KV existantes, permettant d'avoir un aperçu des structures de stockage clé-valeur de Splunk.
create_kvstore_collection	Crée une nouvelle collection de magasins KV dans Splunk ; nécessite le nom de collection souhaité comme paramètre.
delete_kvstore_collection	Supprime une collection de magasin KV spécifiée de l'instance Splunk ; nécessite le paramètre collection_name et les permissions appropriées.