Splunk Champs de configuration de l’entrée de données d’interrogation

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Description des champs sur le formulaire Configuration de l’entrée de données d’interrogation Splunk .

    Configuration de base

    Tableau 1. Onglet Mise en route
    Champ Description
    Nom Nom de la nouvelle entrée de données. Ce champ est obligatoire.
    Description Description de l’entrée de données.
    Exécuter sur Option permettant de choisir d’utiliser une grappe spécifique Serveur MID ou une Serveur MID grappe. Ce champ est obligatoire.
    MID (Uniquement lorsque le champ Exécuter sur est défini sur Serveur MID spécifique.)

    Serveur MID vers lequel les journaux sont diffusés.

    Ce champ est obligatoire.
    Grappe de serveurs MID

    (Uniquement lorsque Exécuter sur est défini sur Grappe spécifique Serveur MID .)

    Grappe Serveur MID vers laquelle les données de journal sont extraites. Ce champ est obligatoire.

    L’entrée de données s’exécute sur une seule Serveur MID entrée dans le cluster jusqu’à ce que cela Serveur MID échoue. Le système déplace ensuite toutes les tâches d’entrée de données vers la prochaine tâche disponible Serveur MID dans le cluster en fonction de l’ordre configuré.

    Remarque :
    • Analyse de l'intégrité des journaux prend en charge uniquement les clusters de basculement Serveur MID . Dans ces clusters, plusieurs Serveurs MID sont regroupés pour la protection contre le basculement. Lors de la sélection d’un cluster à partir de l’entrée de données ou du formulaire d’intégration, la Serveur MID liste des clusters affiche uniquement les clusters de basculement.
    • La Serveur MID grappe ne doit inclure que Serveurs MID ceux qui prennent en charge l’authentification de base. mTLS n’est pas pris en charge pour l’ingestion de journaux.
    • L’ingestion de journaux doit être activée pour chaque Serveur MID élément de la grappe. Si l’ingestion de journal n’est pas activée pour l’actif Serveur MID, Analyse de l'intégrité des journaux l’active automatiquement.
    • Le nombre maximal par défaut d’entrées de données ou de journaux de diffusion d’intégrations à une seule Serveur MID est de 10. Une grappe réussit la validation de capacité si elle en contient au moins une Serveur MID avec moins de 10 entrées de données ou intégrations en cours d’exécution, même lorsqu’elle Serveur MID est hors service.
    Pour plus d’informations sur Serveur MID les grappes, consultez Configurer une grappe de serveur MID.
    Instance de service Instance de service à laquelle lier les données de journal. Ce champ est obligatoire.
    Remarque :
    S’il n’existe aucune instance de service pertinente, créez une instance de service et ajoutez-y des CI. Définissez l’état de la nouvelle instance de service sur Opérationnel.
    Transport Protocole utilisé pour diffuser les messages du journal vers votre ServiceNow instance.
    Nombre de sources Nombre de sources de journal créées par cette entrée de données.
    Statut État de l’entrée de données.
    Désactivé depuis Heure à laquelle l’entrée de données s’est arrêtée ou a échoué.
    Heure du dernier journal Heure à laquelle le dernier journal a été diffusé dans l’entrée de données.

    Configuration avancée

    Tableau 2. Onglet Transport
    Champ Description
    URL serveur URL utilisée pour accéder à l’API Splunk REST.
    Requête La requête Splunk utilise pour rechercher vos données.
    Type d'authentification Le type d’authentification.
    • Authentification de base : envoie un nom d’utilisateur et un mot de passe à chaque requête HTTP. L’authentification de base est plus simple que l’authentification basée sur un jeton, mais moins sécurisée.
    • Authentification par jeton : le client obtient un jeton d’un serveur d’authentification et l’utilise pour s’authentifier auprès Splunk de .
    Splunk Alias d’informations d’identification d’interrogation L’alias d’informations d’identification à utiliser.

    Pour spécifier un Splunk alias d’informations d’identification d’interrogation, sélectionnez l’icône de loupe, puis sélectionnez un alias d’informations d’identification existant dans la liste Alias de connexion et d’informations d’identification ou sélectionnez Nouveau pour créer un nouvel enregistrement. L’alias d’informations d’identification sélectionné peut contenir des informations d’identification d’authentification de base et des informations d’identification d’authentification par jeton.

    Pour plus d’informations sur la création d’un alias d’informations d’identification, consultez la rubrique Alias d’informations d’identification pour Discovery.
    De Date et heure à partir desquelles les données sont Splunk recherchées.
    À Date et heure jusqu’auxquelles Splunk la recherche de données est effectuée.
    Tableau 3. Onglet Avancé
    Champ Description
    Nombre maximal de documents par requête Nombre maximal de documents récupérés à chaque fois que des données de journal sont extraites à partir de Splunk. Par défaut : 10 000.
    Splunk Délai d’expiration de la demande (secondes) La durée maximale, en secondes, autorisée pour la récupération des données avant l’expiration de la demande.