Splunk MCP Server

Что такое сервер Splunk MCP?

Сервер Splunk MCP — это мощный соединитель между Splunk и Протоколом Контекста Модели, позволяющий большим языковым моделям общаться со службами Splunk стандартизированным и удобным для агента способом. Он абстрагирует сложный API и операции управления Splunk как обнаруживаемые и вызываемые "инструменты", автоматизируя такие задачи, как поиск, управление пользователями, инспекция индексов и доступ к хранилищам ключ-значение, все это через естественный язык или программные запросы.

Как настроить

Установите переменные окружения
Настройте параметры подключения для Splunk и MCP, экспортируя переменные окружения, такие как SPLUNK_HOST, SPLUNK_PORT, SPLUNK_USERNAME и SPLUNK_PASSWORD (или SPLUNK_TOKEN). Настройте VERIFY_SSL по мере необходимости для проверки сертификата.
Выберите режим работы
Определите режим: SSE (по умолчанию, для живых подключений агентов), API (REST-эндпоинты) или STDIO (для прямой интеграции с локальными ИИ-агентами, такими как Claude Desktop).
Установите зависимости
Используйте uv, poetry или pip для установки всех необходимых пакетов Python.
Запустите приложение
В зависимости от вашей настройки, запустите сервер в выбранном режиме с помощью команд Python или Docker.
- Для режима SSE: python splunk_mcp.py
- Для режима API: python splunk_mcp.py api
- Для режима STDIO: python splunk_mcp.py stdio
(По желанию) Запуск в Docker
Используйте docker compose для сборки и развертывания службы в любом поддерживаемом режиме.

Как использовать

Для LLM/ИИ-агентов:
Подключите вашего клиента ИИ-помощника (например, Claude Desktop или веб-агент) к эндпоинту сервера Splunk MCP (SSE, API или STDIO). Клиент может затем обнаруживать и вызывать инструменты (операции Splunk) по мере необходимости.
Взаимодействие через инструменты:
Используйте естественный язык или программные запросы для запуска поисков в Splunk, просмотра индексов, управления пользователями или работы с хранилищами KV. Уровень MCP переводит эти запросы в безопасные, авторизованные запросы к вашему экземпляру Splunk.
Тестирование и валидация:
Запустите встроенные проверки состояния и интеграционные тесты, чтобы убедиться в подключении и функциональности. Тестовые поиски и вызовы инструментов возможны как из CLI, так и из контейнеров Docker.
API и SSE Эндпоинты: Получите доступ к RESTful или SSE эндпоинтам для интеграции данных Splunk в сторонние панели управления или автоматизации.

Ключевые функции

Несколько режимов работы: SSE, API и STDIO, подходящие для широкого спектра клиентов и интерфейсов агентов.
Поиск в Splunk на естественном языке: Преобразует запросы на обычном языке в задания поиска в Splunk, с гибкими параметрами.
Управление индексами и пользователями: Перечисление и инспекция индексов/пользователей непосредственно из интерфейса агента.
Операции с хранищами KV: Полный CRUD на коллекциях хранилищ KV Splunk.
Асинхронная производительность: Использует асинхронное программирование для высокой пропускной способности и отзывчивых операций.
Всеобъемлющее логирование: Подробные, дополненные эмодзи логи повышают наблюдаемость и облегчают устранение неполадок.
Настраиваемая безопасность SSL: Выбор между строгой проверкой сертификатов и облегченными режимами для разработки.
Глубокая обработка ошибок: Четкие, структурированные сообщения об ошибках для всех вызовов инструментов.
Проверки состояния и подключенности: Встроенные инструменты и эндпоинты для проверки готовности службы и подключения к Splunk.

Использование

Итерация IT с помощью ИИ: Автоматизация рутинных запросов Splunk, управления индексами и поиска пользователей с помощью помощника на основе LLM.
Анализ безопасности: Используйте LLM для поиска логов, анализа угроз и извлечения контекстных данных для инцидентов.
Мониторинг DevOps: Включите chatops или рабочие процессы агентов для запроса системных индексов, проверки состояния и управления хранилищем логов.
Автоматизированные отчеты: Генерируйте отчеты или извлекайте данные из Splunk с помощью команд на естественном языке, снижая ручное использование панелей управления.
Индивидуальные ИИ-агенты для Splunk: Создавайте боты или сопилоты на основе LLM, которые взаимодействуют программно с Splunk через MCP.

Часто задаваемые вопросы

В1: Какие режимы работы поддерживает сервер Splunk MCP и какой мне выбрать?
A: Поддерживает SSE (для реальных AI/web клиентов), API (REST-звонки для программных интеграций) и STDIO (для прямых подключений агентов, например с Claude Desktop). SSE используется по умолчанию; выберите режим в зависимости от сценария интеграции.

В2: Как мне защитить свои учетные данные Splunk и обеспечить безопасное развертывание?
A: Всегда используйте переменные окружения для учетных данных и никогда не коммитьте их в системах контроля версий. В производственной среде добавьте VERIFY_SSL=true, используйте секреты Docker где это возможно и ограничьте открытие портов.

В3: Могу ли я использовать сервер Splunk MCP с версиями Splunk Cloud и Enterprise?
A: Да, он поддерживает как Splunk Enterprise (локальный), так и Splunk Cloud. Настройка идентична; просто убедитесь, что эндпоинт доступен и правильно аутентифицирован.

В4: Как я могу устранить проблемы с неудачными поисками в Splunk или с проблемами подключения?
A: Проверьте журналы сервера MCP (с подробным логированием и эмодзи), просмотрите сообщения об ошибках в ответах инструментов, проверьте корректность переменных окружения и убедитесь в подключенности к API/сетям Splunk.

В5: Могу ли я добавить пользовательские инструменты или расширить сервер MCP для других операций в Splunk?
A: Конечно — сервер Splunk MCP расширяемый. Вы можете реализовать новые инструменты MCP в виде асинхронных функций Python и зарегистрировать их для предоставления дополнительных интеграций Splunk или сторонних приложений.

Название протокола	Описание
list_tools	Возвращает список всех инструментов MCP, доступных на сервере, включая описания и поддерживаемые параметры, что позволяет агентам обнаруживать доступные операции.
health_check	Проверяет подключение к Splunk и возвращает список обнаруженных приложений Splunk; используется для проверки успешной настройки и подключения.
ping	Простой эндпоинт для проверки работы сервера MCP; возвращает 'pong' с информацией о сервере.
current_user	Возвращает идентичность и детали разрешений текущего аутентифицированного пользователя Splunk.
list_users	Извлекает список всех пользователей Splunk, включая их роли и статус, для административной проверки.
list_indexes	Перечисляет все индексы Splunk, доступные с текущими учетными данными, включая возможность просмотра пользовательских или системных индексов.
get_index_info	Извлекает подробную информацию о конкретном индексе Splunk; требуется параметр index_name.
indexes_and_sourcetypes	Возвращает отображение всех индексов и их связанных sourcetypes, полезное для изучения логов и данных.
search_splunk	Выполняет запрос поиска Splunk, предоставленный пользователем, с необязательными параметрами для временных окон и максимального числа результатов.
list_saved_searches	Перечисляет все сохраненные задания поиска в экземпляре Splunk, поддерживая автоматизацию и обзор повторяющихся запросов.
list_kvstore_collections	Извлекает все существующие коллекции хранилищ KV, позволяя заглянуть в структуры хранения информации Splunk.
create_kvstore_collection	Создает новую коллекцию хранилища KV в Splunk; требуется имя коллекции в параметре.
delete_kvstore_collection	Удаляет указанную коллекцию хранилища KV из экземпляра Splunk; требуется параметр collection_name и соответствующие разрешения.