Skip to main content
Glama
deenesjakoruzh

cribl-mcp

by pebbletek
npmGitHub
TypeScript
MIT License
5
3
OverviewInspectNewSchemaRelated ServersReviewsScore
Need Help?View Source CodeReport Issue

Servidor Cribl MCP

Un servidor de Protocolo de Contexto de Modelo (MCP) que permite interacciones de IA con la API de Cribl.

Este servidor permite a los clientes de IA descubrir e invocar operaciones de datos desde una implementación de Cribl, utilizando herramientas MCP estandarizadas.

Para obtener documentación detallada, consulte el directorio docs/ . A continuación, se detalla la documentación:

  • README.md (este archivo): proporciona la introducción de más alto nivel, instrucciones de inicio rápido, ejemplos muy básicos y enlaces al directorio de documentos.
  • docs/configuration.md : Se centra específicamente en las variables de entorno necesarias para la configuración y explica los modos de autenticación. Se centra exclusivamente en la configuración.
  • docs/usage.md : Se centra en cómo ejecutar el servidor (mediante npx o comandos de desarrollo locales) y cómo configurar un cliente MCP para conectarse a él. Proporciona ejemplos conceptuales sobre cómo invocar las herramientas.
  • docs/overview.md : Se encuentra entre el README y la documentación específica de configuración y uso. Detalla lo que ofrece el servidor en términos de autenticación y, sobre todo, proporciona una guía de referencia detallada sobre las herramientas disponibles, sus parámetros y resultados específicos, así como las herramientas futuras.

Empezando

Puedes instalar y ejecutar localmente o ejecutarlo instantáneamente mediante npx . npx te ahorra la instalación de Git, dependencias o herramientas de compilación. En ambos casos, es necesario tener instalada una versión de node posterior a la 16.

Prerrequisitos

Para ejecutar este servidor asegúrese de lo siguiente:

  • Node.js está instalado (se recomienda la versión 16 o posterior)
  • Hay acceso a Internet disponible (para obtener el paquete del servidor MCP desde npm)

Puedes instalar Node.js desde https://nodejs.org .

Para verificar su configuración:

node -v npx -v

Inicio rápido con npx

CRIBL_BASE_URL=https://your.cribl.cloud.instance CRIBL_AUTH_TYPE=cloud CRIBL_CLIENT_ID=abc123 CRIBL_CLIENT_SECRET=secret npx @pebbletek/cribl-mcp

Nota: para ejecutar npx es necesario configurar variables de entorno esenciales (como CRIBL_BASE_URL y detalles de autenticación) en su entorno o pasarlas directamente en la línea de comando para que el servidor se conecte exitosamente.

Consulte docs/usage.md para obtener una configuración de uso avanzada npx , incluido JSON relevante para su cliente MCP y las variables requeridas.

Desarrollo local

  1. Busque la carpeta principal donde almacenará el código base (la clonación creará la carpeta contenedora). Clone el repositorio:
    git clone https://github.com/pebbletek/cribl-mcp.git cd cribl-mcp
  2. Instalar dependencias:
    npm install
  3. Copie el archivo .env.example y complete los valores requeridos:
    cp .env.example .env
  4. Consulte usage.md > Desarrollo local para ejecutar, compilar e iniciar el servidor mcp

Consulte docs/configuration.md para obtener detalles sobre las variables de entorno y la autenticación, y docs/usage.md para ejecutar el servidor.

Herramientas disponibles

Este servidor proporciona herramientas para interactuar con Cribl, incluyendo:

  • Listado de grupos de trabajadores/flotas
  • Obtener/Configurar configuraciones de pipeline
  • Obtener configuraciones de origen
  • Reinicio de grupos de trabajadores
  • Consulta de métricas del sistema (con filtrado)

Para obtener una lista detallada e instrucciones de uso, consulte docs/usage.md .

Ejemplo de uso (Indicaciones)

Una vez conectado a través de un cliente MCP (como Claude Desktop ), puede interactuar con su instancia de Cribl mediante indicaciones en lenguaje natural que aprovechan las herramientas disponibles. A continuación, se muestran algunos ejemplos:

  • Pregunta: what sources are we ingesting?
    (necesitará permitir que el cliente MCP acceda a la herramienta)
    • La respuesta será algo como:
      "Para responder a su pregunta sobre las fuentes ingeridas, permítame verificar las fuentes de datos disponibles en su entorno Cribl Stream.
      <Ver resultado de cribl_getSources de Cribl (local)>Permítame también verificar qué canalizaciones están configuradas en su entorno Cribl Stream:
      <Ver resultado de cribl_getPipelines desde Cribl (local)>Según la información que he recuperado de su entorno Cribl Stream, estas son las fuentes que está ingiriendo:
      Fuentes de datos activas
      Su instancia de Cribl Stream tiene varias fuentes de datos configuradas, entre las que se destacan las siguientes:
      1. Fuentes HTTP/HTTPS:
        Fuente HTTP (puerto 10080)
        Cribl HTTP (puerto 10200)
        Splunk HEC (puerto 8088)...
      2. <etc.>

      Configuraciones de tuberías
      Su entorno también tiene varias canalizaciones configuradas para procesar tipos de datos específicos:

      1. Eventos de Cisco ASA: filtros y ejemplos de registros de seguridad de Cisco ASA
      2. Datos de Cisco eStreamer: procesa datos de Cisco eStreamer
      3. Eventos de tráfico de Palo Alto: filtros y ejemplos de registros de tráfico de Palo Alto
      4. Registros de eventos de Windows: procesa los registros de eventos de seguridad de Windows

      Estas canalizaciones sugieren que está ingiriendo registros de seguridad de red de firewalls Cisco ASA, Cisco eStreamer (probablemente de dispositivos Firepower/FTD), firewalls de Palo Alto Networks y eventos de seguridad de Windows.
      ¿Desea obtener información más detallada sobre alguna configuración de fuente o canalización específica?"

  • Pregunta: what functions are processing the palo alto traffic?
    • Respuesta:
      Permítanme examinar con más detalle las funciones que procesan el tráfico de Palo Alto:
      <Ver resultado de cribl_getPipelineConfig desde Cribl (local)>A continuación se muestra un desglose detallado de cómo se procesan los datos de tráfico de Palo Alto en su entorno de Cribl Stream:
      Funciones del canal de tráfico de Palo Alto
      1. Filtro inicial (Eval):
      • Filtro: sourcetype!='pan'
      • Descripción: Cortocircuita (omite) todos los eventos que NO sean del tipo de fuente 'pan'
      • Esto se establece como una función final, lo que significa que si la condición es verdadera, el procesamiento se detiene para ese evento.

      2. Extracción de campo (Extracción de expresiones regulares):

      • Extrae varios campos clave del evento sin procesar utilizando la coincidencia de patrones de expresiones regulares:
        • __log_subtype: Identifica si el registro es un registro de inicio/fin
        • __src_zone y __dest_zone: Zonas de seguridad de origen y destino
        • __transport: Protocolo de transporte
        • __acción: Acción realizada (permitir, denegar, etc.)
        • __bytes_in: Bytes recibidos

      3. Filtrado de eventos (eliminar):

      • Filtro: __log_subtype=='start'
      • Descripción: Elimina todos los eventos con el subtipo de registro 'inicio'
      • Justificación (del comentario): "Eliminar eventos de log_subtype=start ya que a menudo tienen una asignación de aplicación incorrecta. Log_subtype=end contiene mejor información".
      • etc."
  • Aviso: please update the pipeline to include start events as well as end events.
    • Respuesta:
      Actualizaré el flujo de tráfico de Palo Alto para incluir los eventos de inicio y fin modificando la configuración. Permítanme realizar este cambio:
      <Ver resultado de cribl_getPipelineConfig desde Cribl (local)>Ahora actualizaré la configuración de la canalización para mantener los eventos de "inicio" y "fin" deshabilitando la función de eliminación y actualizando los comentarios:
      <Ver resultado de cribl_setPipelineConfig desde Cribl (local)>Ahora reiniciemos el grupo de trabajadores para aplicar estos cambios: <Ver resultado de cribl_restartWorkerGroup desde Cribl (local)>El flujo de tráfico de Palo Alto se ha actualizado correctamente para incluir los eventos de inicio y fin. Esto es lo que modifiqué:
      1. Se deshabilitó la función Drop:
        • Se ha deshabilitado la función que filtraba los eventos __log_subtype=='start'
        • Esto significa que ahora se procesarán los eventos de "inicio" y "fin" de sesión.
      2. Comentario actualizado:
        • Se modificó el comentario de explicar por qué se descartaban los eventos de "inicio" a indicar que ahora se conservan ambos tipos de eventos para una visibilidad completa del tráfico.
      3. Se reinició el grupo de trabajadores:
        • Se aplicaron los cambios reiniciando el grupo de trabajadores de Cribl Stream

      El flujo de trabajo actualizado procesará ahora los eventos de inicio y fin desde sus firewalls de Palo Alto, lo que le ofrece visibilidad completa de las sesiones de tráfico desde su inicio hasta su finalización. Todas las demás funciones de procesamiento se mantienen, incluyendo:

      • Extracción de campos para atributos de tráfico clave
      • Muestreo de tráfico de cero bytes y tráfico de zona confiable
      • Eliminación de campos de fecha no confiables

      "Los datos de tráfico de Palo Alto ahora incluirán el ciclo de vida completo de las conexiones de red y, al mismo tiempo, mantendrán los beneficios de eficiencia de las reglas de muestreo".

Licencia

Instituto Tecnológico de Massachusetts (MIT)

Install Server
A
security – no known vulnerabilities
A
license - permissive license
A
quality - confirmed to work

How are these scores calculated?

remote-capable server

The server can be hosted and run remotely because it primarily relies on remote services or has no dependency on the local environment.

Este servidor actúa como un puente MCP para interactuar con la API REST de Cribl. Permite que los modelos de IA u otros clientes MCP consulten y administren las configuraciones de Cribl.

  1. Empezando
    1. Prerrequisitos
    2. Inicio rápido con npx
    3. Desarrollo local
  2. Herramientas disponibles
    1. Ejemplo de uso (Indicaciones)
      1. Licencia

        Related MCP Servers

        • Clever Cloud Documentation MCP Server

          LostInBrittany
          -
          security
          A
          license
          -
          quality
          The MCP server provides access to Clever Cloud's documentation, allowing users to query and interact with it through Model Context Protocol clients like Claude Desktop.
          Last updated -
          TypeScript
          MIT License

        • Lodestar MCP Server

          kanlanc
          -
          security
          F
          license
          -
          quality
          This is an MCP server that facilitates building tools for interacting with various APIs and workflows, supporting Python-based development with potential for customizable prompts and user configurations.
          Last updated -
          Python

        • Armor Crypto MCPofficial

          armorwallet
          A
          security
          A
          license
          A
          quality
          An MCP server providing unified access to blockchain operations, bridging, swapping, and crypto trading strategies for AI agents.
          Last updated -
          20
          177
          Python
          GPL 3.0
          • Apple
          • Linux

        • MCP Manager

          samihalawa
          -
          security
          F
          license
          -
          quality
          A flexible server that enables communication between AI models and tools, supporting multiple MCP servers and compatible with Claude, MCP Dockmaster, and other MCP clients.
          Last updated -
          26
          1
          TypeScript

        View all related MCP servers

        Appeared in Searches

        New MCP Servers

        MCP directory API

        We provide all the information about MCP servers via our MCP API.

        curl -X GET 'https://glama.ai/api/mcp/v1/servers/pebbletek/cribl-mcp'

        If you have feedback or need assistance with the MCP directory API, please join our Discord server