Konfigurieren Sie die Einstellungen für Splunk Enterprise Event Ingestion

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Splunk Enterprise Event Ingestion-Einstellungen, um die voreingestellten Konfigurationen und ihre Werte entsprechend Ihren Anforderungen zu ändern.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Navigieren zu Alle > Splunk-Integration > Splunk-Integrationseinstellungenan.
    2. Füllen Sie die Felder im Formular aus.
      Tabelle : 1. Splunk-Integrationseinstellungen
      Feld Beschreibung
      Maximale Anzahl von Warnungen, die bei der Profilerstellung angezeigt werden sollen Option zum Definieren der maximalen Anzahl von Warnungen, die beim Erstellen eines Ereignisprofils angezeigt werden sollen.

      Standardmäßig ist der Wert auf 500 festgelegt.
      Maximale Anzahl von Security Incidents, die an einem Tag erstellt werden sollen Option zum Definieren der maximalen Anzahl von Security Incidents, die an einem Tag erstellt werden können.

      Standardmäßig ist der Wert auf 1000 festgelegt.
      Maximale Anzahl von Ereignissen, die pro Anruf aus Splunk abgerufen werden sollen Option zum Definieren der maximalen Anzahl von Ereignissen, die für jeden Anruf von Splunk abgerufen werden sollen.

      Standardmäßig ist der Wert auf 100 festgelegt.
      Die Anzahl der Tage, die ein Element in der Warteschlangentabelle verbleibt, nachdem es zu Informations- oder Debugging-Zwecken abgeschlossen wurde oder ein Fehler aufgetreten ist Option zum Definieren der Anzahl der Tage, für die ein Element nach Abschluss oder Auftreten eines Fehlers aufgrund von Informations- oder Debugging-Zwecken in der Warteschlangentabelle verbleiben soll.

      Standardmäßig ist der Wert auf 14 festgelegt.
      Anzahl der Tage, für die Daten zu Ereignisimporten, Ereignissen zu Aufgaben und ausgelösten Warnungen aufbewahrt werden Mit dieser Option können Sie die Anzahl der Tage festlegen, die Daten für Ereignisimport, Ereignis-zu-Aufgaben und ausgelöste Warnungen aufbewahrt werden sollen.

      Standardmäßig ist der Wert auf 30 festgelegt.
      Aktivieren Sie diese Einstellung, um vorhandene Splunk-Quellkonfigurationen für die Unterstützung der tokenbasierten Authentifizierung zu aktualisieren. Sie müssen die Integrationskonfiguration mit Tokendetails aktualisieren, sobald diese Einstellung aktiviert ist. Option zum Aktualisieren der vorhandenen Splunk-Quellkonfiguration auf Unterstützung der tokenbasierten Authentifizierung von einer vorhandenen Version auf.
      Hinweis:
      Nach dem Upgrade auf die neue Version ist das Tokenfeld nicht mehr verfügbar. Sie müssen diese Einstellung aktivieren, um die tokenbasierte Authentifizierung zu erhalten. Anschließend müssen Sie die Integrationskonfiguration mit den Tokendetails aktualisieren.

      Standardmäßig ist der Wert auf Nein festgelegt.
      Abbildung : 1. Splunk-Integrationseinstellungen
      Konfigurieren Sie die Splunk-Integrationseinstellungen
    3. Klicken Sie auf Speichern.