INTEGRACIÓN SPLUNK n8n: AUTOMATIZAR SPLUNK CON N8N

Esta acción te permite crear nuevos usuarios en tu instancia Splunk directamente desde n8n. Es especialmente útil para automatizar la provisión de cuentas cuando se incorporan empleados o cuando necesitas gestionar accesos de manera programática en workflows de onboarding.

Parámetros clave: Name: Campo de texto requerido donde introduces el nombre de usuario (login) del nuevo usuario Splunk. Roles: Campo de selección múltiple para asignar uno o varios roles al usuario. Define los permisos y capacidades del usuario en Splunk (ej: admin, user, power). Si aparece "Error fetching options from Splunk", verifica tu conectividad o permisos. Password: Campo de texto requerido para establecer la contraseña inicial del usuario. Additional Fields: Sección opcional que permite añadir propiedades avanzadas como correo electrónico, nombre completo, zona horaria, etc. Haz clic en "Add Field" para revelar más opciones de configuración.

Casos de uso típicos: Provisión automática de cuentas Splunk cuando un empleado se registra en tu HRIS (BambooHR, Workday) o directorio corporativo (Active Directory, Okta). Creación masiva de usuarios desde una hoja de cálculo (Google Sheets, Airtable) para proyectos temporales o equipos de soporte. Configuración de cuentas de servicio para integraciones automáticas (usuarios técnicos con roles específicos).

Esta acción actualiza las propiedades de un usuario existente en Splunk. Útil para modificar roles, permisos, información de contacto o cualquier atributo de cuenta en respuesta a cambios organizacionales o eventos externos detectados por tu workflow n8n.

Parámetros clave: User: Campo requerido para identificar al usuario a actualizar. Puedes seleccionarlo desde una lista ("From list") de usuarios existentes en tu instancia Splunk, o introducir su nombre/ID mediante una expresión dinámica. Update Fields: Sección donde especificas qué propiedades modificar. Por defecto muestra "No properties". Haz clic en "Add Field" para añadir campos como roles, contraseña, correo, estado activo/inactivo, etc.

Casos de uso: Actualización automática de roles cuando un empleado cambia de departamento o recibe una promoción (detectado vía webhook desde tu HRIS). Modificación de permisos en función de la finalización de proyectos o de auditorías de seguridad programadas. Cambio masivo de configuraciones (ej: zona horaria, idioma) para grupos de usuarios basándose en condiciones definidas en tu workflow.

Esta acción recupera una lista de múltiples usuarios de tu instancia Splunk. Perfecta para análisis masivos, auditorías, sincronizaciones con otros sistemas, o para poblar bases de datos y hojas de cálculo con el inventario completo de cuentas.

Parámetros clave: Return All: Interruptor on/off opcional. Si está activado, recupera todos los usuarios sin límite. Si está desactivado (como en la captura), se muestra el parámetro "Limit". Limit: Campo numérico opcional (visible cuando "Return All" está desactivado) que especifica el número máximo de registros a recuperar. En la captura está configurado en "50", es decir, devolverá hasta 50 usuarios.

Casos de uso: Exportación periódica del directorio de usuarios Splunk hacia Google Sheets, Airtable o un CRM para análisis o auditorías de acceso. Sincronización bidireccional: compara la lista de usuarios en Splunk con tu directorio corporativo (Active Directory, Okta) para detectar discrepancias. Generación de reportes de gobernanza: identifica usuarios sin actividad reciente, usuarios con múltiples roles, o cuentas sin propietario definido.

Esta acción recupera la información detallada de un usuario específico en Splunk. Útil para consultar roles, permisos, fecha de última conexión, y otros atributos antes de tomar decisiones en tu workflow o para poblar dashboards y reportes.

Parámetros clave: User: Campo requerido que especifica al usuario del que deseas obtener información. Disponible en dos modos: "Fixed" (selección desde lista o entrada manual) y "Expression" (definición dinámica con datos de nodos anteriores). En el modo "Fixed", un menú desplegable "From list" con placeholder "Select a user..." te permite buscar y seleccionar un usuario existente en tu instancia Splunk.

Casos de uso: Validación de permisos antes de ejecutar acciones sensibles (ej: verificar que un usuario tiene rol de admin antes de permitir ciertas operaciones). Auditoría automatizada: recupera información de usuarios periódicamente y compara con políticas de seguridad (ej: detectar usuarios con roles excesivos). Enriquecimiento de datos en reportes: obtén detalles de usuarios mencionados en logs o alertas para contexto adicional.

Esta acción elimina permanentemente un usuario de tu instancia Splunk. Úsala con precaución en workflows automatizados de offboarding o limpieza de cuentas inactivas. Asegúrate de implementar validaciones y confirmaciones previas antes de ejecutar esta acción.

Parámetros clave: User: Campo requerido que identifica al usuario a eliminar. Puedes seleccionarlo "From list" mediante un menú desplegable de usuarios existentes, o especificarlo manualmente con la opción "Fixed" (introduciendo su nombre de usuario), o dinámicamente con "Expression" (usando datos de nodos anteriores).

Casos de uso: Offboarding automatizado: elimina cuentas Splunk cuando un empleado sale de la empresa (detectado vía webhook desde tu sistema de RR.HH. o directorio). Limpieza programada de cuentas de prueba o temporales (ej: usuarios creados para demos, formaciones, proyectos finalizados). Gestión de cuentas de servicio obsoletas identificadas por auditorías automatizadas.

Esta acción recupera los resultados de un search job específico en Splunk. Es la continuación lógica de "Create Search" o de cualquier búsqueda ejecutada: una vez completada, "Get Result" extrae los datos devueltos por la consulta SPL para procesarlos, enviarlos, o almacenarlos en tu workflow n8n.

Parámetros clave: Search Job: Campo requerido que identifica el job del cual recuperar resultados. Menú desplegable combinado con entrada de texto para seleccionar un job existente o especificar su ID. Return All: Interruptor opcional. Si está activado, obtiene todos los resultados del search job sin límite. Si está desactivado, muestra "Limit". Limit: Campo numérico opcional (visible cuando "Return All" está desactivado) que especifica el número máximo de resultados a devolver. Configurado en "50" en la captura. Filters: Sección opcional que permite añadir filtros para refinar los resultados. Muestra "No properties" por defecto; haz clic en "Add Filter" para definir criterios de filtrado. Options: Sección opcional para parámetros avanzados de la API Splunk.

Casos de uso: Extracción de datos para reporting: ejecuta una búsqueda agregada (stats, timechart) y recupera los resultados para inyectarlos en Google Sheets, Metabase, o Tableau. Análisis de logs en respuesta a alertas: cuando detectas una anomalía, lanza una búsqueda detallada y recupera eventos específicos para investigación o para generar tickets en Jira/ServiceNow con contexto completo. Integración con sistemas de notificación: obtén resultados de una búsqueda y envía resúmenes por email, Slack, o Microsoft Teams.

Esta acción recupera una lista de múltiples search jobs desde tu instancia Splunk. Perfecto para obtener una visión general de las búsquedas activas, recientes o históricas, facilitando auditorías, análisis de carga del sistema, o identificación de búsquedas mal configuradas.

Parámetros clave: Return All: Interruptor opcional. Si está activado, recupera todos los search jobs disponibles. Si está desactivado (como en la captura), aparece el parámetro "Limit". Limit: Campo numérico opcional que especifica el máximo de jobs a devolver. Configurado en "50" en la captura. Sort: Configuración opcional para ordenar los resultados.

Casos de uso: Monitoreo de carga: recupera todas las búsquedas activas para detectar picos de uso o búsquedas que consumen demasiados recursos. Auditoría de seguridad: identifica quién está ejecutando qué búsquedas, detecta consultas sospechosas o no autorizadas. Limpieza automatizada: obtén lista de search jobs antiguos o finalizados y elimina los obsoletos para liberar espacio.

Esta acción recupera información sobre un search job específico en Splunk, incluyendo su estado de ejecución (running, completed, failed), tiempo de inicio, progreso, y metadatos. Útil para monitorear búsquedas lanzadas por la acción "Create Search" o por otros medios.

Parámetros clave: Search Job: Campo requerido que identifica el search job a consultar. Disponible como menú desplegable "From list" con placeholder "Select a search job...", permitiéndote elegir entre los jobs activos o recientes en tu instancia. También admite modos "Fixed" y "Expression" para especificar el job ID manualmente o dinámicamente.

Casos de uso: Verificación de estado: después de crear una búsqueda con "Create Search", usa "Get Search Job" para comprobar si ha terminado antes de recuperar resultados. Monitoreo de búsquedas de larga duración: en un workflow con bucle, consulta periódicamente el estado de un job hasta que se complete. Auditoría de ejecuciones: obtén metadatos de búsquedas para análisis de rendimiento o troubleshooting.

Esta acción elimina un search job de tu instancia Splunk. Útil para limpiar búsquedas obsoletas, liberar recursos del sistema, o automatizar la gestión del ciclo de vida de jobs en workflows de mantenimiento programados.

Parámetros clave: Search Job: Campo requerido que identifica el job a eliminar. Disponible como menú desplegable "From list" con placeholder "Select a search job..." para elegir entre jobs existentes, o mediante entrada manual/dinámica con opciones "Fixed" y "Expression".

Casos de uso: Limpieza automatizada: tras recuperar resultados con "Get Result", elimina el search job para evitar acumulación de jobs antiguos y optimizar rendimiento de Splunk. Gestión de búsquedas fallidas: identifica jobs con estado "failed" usando "Get Many Searches" y elimina los que no necesitas conservar para análisis. Políticas de retención: en un workflow programado, elimina jobs más antiguos que X días para mantener tu instancia limpia.

Esta acción crea una nueva búsqueda (search job) en Splunk ejecutando una consulta SPL (Search Processing Language). Es el punto de partida para automatizar análisis de datos, investigaciones de seguridad, o extracción de información desde logs sin intervención manual.

Parámetros clave: Query: Campo de texto multilínea requerido donde defines tu consulta SPL. Ejemplo: search index=_internal | stats count by source. Acepta cualquier consulta SPL válida. Additional Fields: Sección opcional para añadir propiedades avanzadas como tiempo de ejecución, índices específicos, parámetros de rendimiento, etc.

Casos de uso: Ejecución programada de búsquedas recurrentes (cada hora, lanza una búsqueda sobre eventos críticos). Investigaciones automatizadas: cuando una alerta externa se activa, ejecuta una búsqueda Splunk para obtener contexto adicional. Extracción de métricas: crea búsquedas que calculan KPIs y envía los resultados a dashboards o sistemas de BI.

Esta acción recupera una lista de múltiples reportes de tu instancia Splunk. Perfecta para inventariar reportes, realizar auditorías, sincronizar configuraciones con otros sistemas, o identificar reportes no utilizados o mal configurados.

Parámetros clave: Return All: Interruptor opcional. Si está activado, devuelve todos los reportes sin límite. Si está desactivado, aparece "Limit". Limit: Campo numérico opcional que especifica el número máximo de reportes a recuperar. Configurado en "50" en la captura. Options: Sección opcional para parámetros avanzados como filtros, ordenación, o campos a incluir.

Casos de uso: Auditoría de gobernanza: obtén lista completa de reportes y analiza cuáles tienen permisos demasiado amplios o no se han ejecutado en meses. Exportación de catálogo: recupera todos los reportes y publícalos en una base de datos externa para documentación centralizada. Sincronización entre instancias: compara reportes en dos instancias Splunk para detectar discrepancias.

Esta acción recupera la información de un reporte específico en Splunk, incluyendo su configuración, consulta subyacente, permisos, y metadatos. Útil para consultar reportes antes de ejecutarlos, modificarlos o eliminarlos, o para auditar la configuración de reportes existentes.

Parámetros clave: Report: Campo requerido que identifica al reporte. Disponible en dos modos: "Fixed" (menú desplegable "From list" con placeholder "Select a report...") y "Expression" (definición dinámica del nombre o ID del reporte).

Casos de uso: Validación de configuración: antes de ejecutar o modificar un reporte, recupera sus detalles para verificar su consulta SPL, permisos o programación. Auditoría de reportes: obtén información de todos tus reportes para analizar cuáles se usan, cuáles están obsoletos, o cuáles tienen configuraciones de seguridad incorrectas. Enriquecimiento de dashboards externos: recupera metadatos de reportes y publícalos en un dashboard fuera de Splunk.

Esta acción elimina permanentemente un reporte de tu instancia Splunk. Úsala para automatizar la limpieza de reportes obsoletos, no utilizados o de prueba, liberando espacio y manteniendo tu catálogo de reportes limpio y actualizado.

Parámetros clave: Report: Campo requerido que identifica al reporte a eliminar. Menú desplegable "From list" con placeholder "Select a report..." para elegir de una lista de reportes existentes.

Casos de uso: Limpieza automatizada: tras auditar reportes con "Get Many Reports", identifica los no utilizados en X meses y elimínalos automáticamente. Gestión de reportes temporales: al final de un proyecto, elimina los reportes específicos creados para ese proyecto. Políticas de retención: configura workflows que eliminan reportes de prueba o demos tras un período definido.

Esta acción crea un nuevo reporte Splunk a partir de un search job existente. Permite transformar búsquedas ad-hoc o temporales en reportes guardados que pueden consultarse, compartirse o programarse dentro de Splunk, todo ello desde tu workflow n8n.

Parámetros clave: Search Job: Campo requerido que especifica el search job base para el reporte. Menú desplegable "From list" con placeholder "Select a search job...", permitiéndote elegir un job completado. Name: Campo de texto requerido donde introduces el nombre del reporte que se creará.

Casos de uso: Generación automática de reportes recurrentes: ejecuta una búsqueda diaria sobre métricas clave, crea un reporte con los resultados, y notifica a tu equipo. Conversión de investigaciones en reportes: cuando una búsqueda ad-hoc de troubleshooting produce resultados valiosos, crea un reporte para futuras referencias. Catálogo de reportes automatizado: construye workflows que generan múltiples reportes basándose en plantillas de búsqueda estándar.

Esta acción recupera métricas asociadas a alertas Splunk, proporcionando datos estadísticos sobre la frecuencia de activación, rendimiento, o estado de tus alertas configuradas. Útil para análisis de eficacia de alertas, optimización de configuraciones, o reporting de incidentes.

Casos de uso: Dashboard de alertas: recupera métricas periódicamente y publícalas en un dashboard externo (Grafana, Metabase) para visualizar cuántas alertas se activan por día, cuáles son las más frecuentes, etc. Análisis de ruido: identifica alertas que se disparan con demasiada frecuencia para ajustar sus criterios de activación. Reporting de SLA: obtén métricas sobre tiempo de respuesta a alertas críticas para auditorías de operaciones.

Esta acción recupera información sobre alertas que se han activado (fired) recientemente en tu instancia Splunk. Esencial para monitorear eventos críticos, detectar anomalías, o reaccionar automáticamente a condiciones operacionales que requieren atención inmediata.

Casos de uso: Notificaciones en tiempo real: cada 5 minutos, recupera alertas activadas y envía notificaciones a Slack, Microsoft Teams, o PagerDuty con detalles de la alerta. Creación automática de tickets: cuando se detectan alertas críticas, crea tickets en Jira, ServiceNow, o Zendesk con contexto completo. Análisis post-mortem: almacena historial de alertas en una base de datos externa para análisis de tendencias y mejora de configuraciones de alerting.