Splunk Champs de configuration d’intégration de l’analyseur

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 3 minutes de lecture

    • Description des champs sur les formulaires de configuration de l’intégration de l’analyseur Splunk pour Analyse de l'intégrité des journaux.

    Tableau 1. Fournir des détails
    Champ Description
    Nom de l'intégration Nom unique de cette intégration. Ce champ est obligatoire.
    Remarque :
    Lorsque vous remplissez ce champ, le nom générique affiché sur le formulaire s’ajuste automatiquement pour correspondre au nom que vous avez saisi.
    Exécuter sur Option permettant de choisir d’utiliser une grappe spécifique Serveur MID ou une Serveur MID grappe.
    Nom du serveur MID

    (Uniquement lorsque le champ Exécuter sur est défini sur Serveur MID spécifique)

    Serveur MID vers lequel les données de journal de Splunk sont extraites. Ce champ est obligatoire.
    Remarque :
    • Vous pouvez sélectionner uniquement des Serveurs MID qui prennent en charge l'authentification de base. Les Serveurs MID qui prennent en charge mTLS ne sont pas répertoriés.
    • Le nombre maximal par défaut d'entrées de données qui diffusent des journaux vers une seul Serveur MID est de 10. Vous pouvez modifier ce nombre dans les propriétés du MID Server.
    • Si l’ingestion de journal n’est pas activée pour la tâche sélectionnée Serveur MID, Analyse de l'intégrité des journaux elle est activée automatiquement.
    Grappe de serveurs MID

    (Uniquement lorsque Exécuter sur est défini sur Serveur MID grappe.)

    Grappe Serveur MID vers laquelle les données de journal sont extraites.

    L’entrée de données s’exécute sur une seule Serveur MID dans la grappe jusqu’à ce que cela Serveur MID échoue. Le système déplace ensuite toutes les tâches d’entrée de données vers la prochaine tâche disponible Serveur MID dans la grappe en fonction de l’ordre configuré.

    Remarque :
    • Analyse de l'intégrité des journaux ne prend en charge que les clusters de basculement Serveur MID . Dans ces clusters, plusieurs Serveurs MID sont regroupés pour la protection contre le basculement. Lors de la sélection d’une grappe à partir du formulaire d’entrée de données, la Serveur MID liste de grappes affiche uniquement les grappes de basculement.
    • La Serveur MID grappe ne doit inclure que Serveurs MID ceux qui prennent en charge l’authentification de base. mTLS n’est pas pris en charge pour l’ingestion de journaux.
    • L’ingestion de journaux doit être activée pour chacun Serveur MID des éléments de la grappe. Si l’ingestion de journal n’est pas activée pour l’actif Serveur MID, Analyse de l'intégrité des journaux l’active automatiquement.
    • Le nombre maximal par défaut d'entrées de données qui diffusent des journaux vers un seul Serveur MID est de 10. Un cluster passe la validation de capacité s’il en contient au moins un Serveur MID avec moins de 10 entrées de données en cours d’exécution, même lorsque celui-ci Serveur MID est en panne.
    Pour plus d’informations sur Serveur MID les grappes, voir Configurer une grappe de Serveur MID.

    Ce champ est obligatoire.
    Instance de service Instance de service (anciennement service d’application) à laquelle lier les données de journal. Ce champ est obligatoire.
    Source de données La source des données de journal que l’intégration transmet à votre ServiceNow instance : Splunk. Ce champ est en lecture seule.
    Description Option permettant d’ajouter une brève description de l’intégration pour faciliter son identification.
    Tableau 2. Définir la méthode de récupération de données
    Champ Description
    URL du serveur de l'API REST URL utilisée pour accéder à l’API Splunk REST. Ce champ est obligatoire.
    Remarque :
    • Par défaut, le point de terminaison de REST API est disponible sur le Splunk port 8089. Par conséquent, le point de terminaison par défaut de l’API Splunk REST est le suivant : http://<splunk-server> :8089.
    • Le point de terminaison de REST API est différent du point de terminaison frontal.
    Méthode d'authentification L’alias d’informations d’identification à utiliser. Ce champ est obligatoire.

    L’intégration Splunk utilise des alias d’informations d’identification au lieu de références directes aux informations d’identification pour l’authentification. Les alias d’informations d’identification sont répertoriés par type : les alias qui contiennent des informations d’identification d’authentification de base et ceux qui contiennent des informations d’identification d’authentification par jeton. Si un alias contient les deux types d’informations d’identification, il apparaît dans les deux catégories.

    Vous pouvez sélectionner Gérer les alias d’informations d’identification pour gérer vos alias d’informations d’identification et en créer de nouveaux dans la liste Alias de connexion et d’informations d’identification .
    Requête La requête Splunk utilise pour rechercher vos données. Ce champ est obligatoire.

    Par exemple, la requête sourcetype="adc_access_log » indique à l’intégration de l’analyseur Splunk de récupérer tous les journaux avec le type de source adc_access_log.
    Tableau 3. Paramètres avancés
    Champ Description
    Nombre maximal de documents par requête Nombre maximal de documents récupérés à chaque fois que des données de journal sont extraites à partir de Splunk. Par défaut : 10 000.
    Splunk Délai d’expiration de la demande (secondes) La durée maximale, en secondes, autorisée pour la récupération des données avant l’expiration de la demande.