Splunk MCP Server

什麼是 Splunk MCP Server？

Splunk MCP Server 是一個強大的連接器，連接 Splunk 和模型上下文協議，使大型語言模型能以標準化且友好的方式與 Splunk 服務進行通信。它將 Splunk 的複雜 API 和管理操作抽象為可發現和可調用的 "工具"，能自動化諸如搜索、用戶管理、索引檢查和鍵值存儲訪問等任務，所有操作皆可通過自然語言或程序請求進行。

如何配置

設置環境變數
通過導出環境變數來配置 Splunk 和 MCP 的連接設置，如 SPLUNK_HOST、SPLUNK_PORT、SPLUNK_USERNAME 和 SPLUNK_PASSWORD（或 SPLUNK_TOKEN）。根據需要調整 VERIFY_SSL 用於證書驗證。
選擇操作模式
決定使用哪種模式：SSE（默認，用於實時代理連接）、API（REST 端點）或 STDIO（用於直接與本地 AI 代理如 Claude Desktop 集成）。
安裝依賴項
使用 uv、poetry 或 pip 安裝所有所需的 Python 套件。
啟動應用程式
根據您的設置，使用 Python 或 Docker 命令以所選模式運行服務。
- 對於 SSE 模式： python splunk_mcp.py
- 對於 API 模式： python splunk_mcp.py api
- 對於 STDIO 模式： python splunk_mcp.py stdio
（可選）在 Docker 中運行
使用 docker compose 來構建和部署該服務於任何受支持的模式。

如何使用

對於 LLMs/AI 代理：
將您的 AI 助手客戶端（如 Claude Desktop 或基於網頁的代理）連接到 Splunk MCP Server 的端點（SSE、API 或 STDIO）。然後，客戶端可以根據需要發現和調用工具（Splunk 操作）。
通過工具互動：
使用自然語言或程序請求來觸發 Splunk 搜索、查看索引、管理用戶或操作 KV 存儲。MCP 層將這些請求轉換為安全的、有權限的查詢，傳送到您的 Splunk 實例。
測試與驗證：
執行內建的健康檢查和集成測試，以確保連接性和功能性。可以從 CLI 和 Docker 容器進行測試搜索和工具調用。
API 和 SSE 端點：訪問 RESTful 或 SSE 端點，將 Splunk 的洞察集成到第三方儀表板或自動化流程中。

主要特點

多種操作模式：SSE、API 和 STDIO，適合各種客戶端和代理界面。
自然語言 Splunk 搜索：將普通語言查詢轉換為 Splunk 搜索任務，並具有靈活的參數。
索引和用戶管理：直接從代理界面列舉和檢查索引/用戶。
KV 存儲操作：對 Splunk KV 存儲集合的完整 CRUD 操作。
異步性能：使用異步編程提高吞吐量和響應性。
全面日誌記錄：詳細且帶有 emoji 的日誌可增加可觀察性並易於故障排除。
可自定義的 SSL 安全性：可以選擇嚴格證書驗證或放寬模式進行開發。
深度錯誤處理：為所有工具調用提供清晰、結構化的錯誤信息。
健康與連接檢查：內建的工具和端點用於驗證服務準備和 Splunk 連接性。

使用案例

AI 驅動的 IT 操作：自動化常規的 Splunk 查詢、索引管理和用戶查詢。
安全分析：使用 LLM 搜索日誌、分析威脅模式，並提取調查流程所需的上下文數據。
DevOps 監控：啟用聊天操作或代理工作流來查詢系統索引、檢查健康狀況和管理日誌存儲。
自動化報告：使用自然語言命令生成報告或從 Splunk 提取數據，減少手動儀表板的使用。
為 Splunk 構建自定義 AI 代理：構建基於 LLM 的機器人或副駕駛，通過 MCP 與 Splunk 進行編程互動。

常見問題

Q1：Splunk MCP Server 支持哪些操作模式？我應該使用哪一種？
A：它支持 SSE（用於實時 AI/網頁客戶端）、API（REST 調用供程序集成）和 STDIO（用於與 Claude Desktop 等直接代理連接）。SSE 是默認模式；根據您的集成場景選擇。

Q2：我如何保護我的 Splunk 資訊並確保安全部署？
A：請務必對證書使用環境變數，並且切勿提交到版本控制。對於生產環境，強制使用 VERIFY_SSL=true，在可能的情況下使用 Docker secrets 並限制端口曝光。

Q3：我可以將 Splunk MCP Server 用於 Splunk Cloud 和 Enterprise 版本嗎？
A：可以，它支持 Splunk Enterprise（本地）和 Splunk Cloud。配置是相同的；只需確保端點可以訪問並正確驗證。

Q4：我如何排查失敗的 Splunk 搜索或連接問題？
A：檢查 MCP 服務器日誌（包含詳細的 emoji/日誌），查看工具響應中的錯誤信息，檢查環境變數的正確性，並驗證 Splunk API/網絡連接。

Q5：我可以添加自定義工具或擴展 MCP 伺服器以進行其他 Splunk 操作嗎？
A：當然可以—Splunk MCP 是可擴展的。您可以將新的 MCP 工具實現為 Python 異步函數並註冊它們，以提供額外的 Splunk 或第三方整合。

協議名稱	描述
list_tools	返回伺服器上所有可用的 MCP 工具的列表，包括描述和支持的參數，讓代理能夠發現可用操作。
health_check	檢查與 Splunk 的連接並返回檢測到的 Splunk 應用程序的列表；用於驗證設置和連接是否成功。
ping	簡單的端點檢查 MCP 伺服器是否在線並響應；返回帶有伺服器信息的 'pong'。
current_user	返回當前已認證的 Splunk 用戶的身份和許可詳情。
list_users	檢索所有 Splunk 用戶的列表，包括他們的角色和狀態，以便進行管理檢查。
list_indexes	列出當前憑證可訪問的所有 Splunk 索引，包括對自定義或系統索引的可見性。
get_index_info	獲取有關特定 Splunk 索引的詳細信息；需要 index_name 參數。
indexes_and_sourcetypes	返回所有索引及其相關源類型的映射，有助於日誌和數據的探索。
search_splunk	執行用戶提供的 Splunk 搜索查詢，並可選擇性地設置時間範圍和最大結果數。
list_saved_searches	列出 Splunk 實例中的所有保存搜索任務，支持對定期查詢的自動化和檢查。
list_kvstore_collections	檢索所有現有的 KV 存儲集合，提供對 Splunk 鍵值存儲結構的洞察。
create_kvstore_collection	在 Splunk 中創建一個新的 KV 存儲集合；需要 desired collection_name 做為參數。
delete_kvstore_collection	從 Splunk 實例中刪除指定的 KV 存儲集合；需要 collection_name 參數和適當的權限。