Splunk Champs de configuration d’intégration TCP

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Description des champs sur les formulaires de configuration d’intégration Splunk TCP pour Analyse de l'intégrité des journaux.

    Pour connaître la procédure de configuration de l’intégration Splunk TCP, reportez-vous à la section Configurer une Splunk intégration TCP pour Analyse de l'intégrité des journaux.

    Tableau 1. Fournir des détails
    Champ Description
    Nom de l'intégration Nom unique de cette intégration. Par exemple : Mon Splunk intégration TCP. Ce champ est obligatoire.
    Remarque :
    Lorsque vous remplissez ce champ, le nom générique affiché sur le formulaire s’ajuste automatiquement pour correspondre au nom que vous avez saisi.
    Nom du serveur MID Serveur MID vers lequel les données de journal de Splunk sont extraites. Ce champ est obligatoire.
    Remarque :
    • Vous pouvez sélectionner uniquement des Serveurs MID qui prennent en charge l'authentification de base. Les Serveurs MID qui prennent en charge mTLS ne sont pas répertoriés.
    • Le nombre maximal par défaut d'entrées de données qui diffusent des journaux vers un seul Serveur MID est de 10. Vous pouvez modifier ce nombre dans les propriétés du MID Server.
    • Si l’ingestion de journal n’est pas activée pour la tâche sélectionnée Serveur MID, Analyse de l'intégrité des journaux elle est activée automatiquement.
    Port Port du Serveur MID. Ce champ est obligatoire.

    Assurez-vous que l’équipe de sécurité de votre organisation ouvre le port sélectionné sur le Serveur MID.
    Description Option permettant d’ajouter une brève description de l’intégration pour faciliter son identification.
    Transport Protocole utilisé pour diffuser les messages du journal sur votre ServiceNow instance : TCP. Ce champ est en lecture seule.
    Utiliser les données préparées Option permettant d’ingérer les données de Splunk journal au format prétraité (« cuit ») utilisé Splunk sur le redirecteur.

    L’ingestion de données HLA dans ce format garantit que chaque ligne de journal conserve les informations contextuelles pertinentes qui Splunk y sont intégrées.
    Tableau 2. Paramètres avancés
    Champ Description
    Utiliser SSL/TLS Option permettant d’utiliser SSL/TLS, pour une sécurité et une protection des données améliorées.
    Remarque :
    SSL/TLS doit être activé si vous souhaitez envoyer des journaux dans un format compressé.
    Rechercher les noms d'hôtes Option permettant d’effectuer une recherche DNS pour résoudre les adresses IP en noms d’hôtes. La valeur par défaut est faux.
    Utiliser le fuseau horaire de l'expéditeur Option permettant de transmettre des informations sur le fuseau horaire dans lequel se trouve l’expéditeur.

    Utilise Serveur MID ces informations pour s’adapter au fuseau horaire d’où proviennent les journaux.

    Cette option s’affiche lorsque l’option Utiliser les données préparées est sélectionnée. Cela est pertinent lors de l’utilisation Splunk des redirecteurs universels.
    Activer la compression Option pour envoyer des journaux au format compressé.

    L’envoi de journaux dans un format compressé minimise la taille des données transférées, ce qui est important lorsqu’il s’agit de gros volumes de données de journaux.

    Cette option s’affiche lorsque Utiliser les données préparées et Utiliser SSL/TLS sont sélectionnés. Cela est pertinent lors de l’utilisation Splunk des redirecteurs universels.
    Taux d'abandon du sous-échantillon Le taux de grumes à abandonner. La valeur par défaut est -1 : aucun journal n’est déposé.

    Par exemple : si vous voulez qu’un journal sur cinq soit supprimé, changez la valeur sur 5.
    Taux de réception de sous-échantillon Le taux de journaux à recevoir. La valeur par défaut est -1 : aucun journal n’est reçu.

    Par exemple : si vous souhaitez recevoir un journal sur cinq, modifiez la valeur sur 5.
    Longueur maximale en octets La longueur maximale des messages du journal, en octets. La valeur par défaut est 32766.
    Codage des caractères Le codage des caractères pour cette entrée de données. La valeur par défaut est UTF-8.
    Nombre de threads par Boss Le nombre de threads qui gèrent les connexions.
    Nombre de threads de l'agent Le nombre de threads qui gèrent les données entrantes.
    Délai d'expiration de lecture en secondes Délai d’expiration en secondes depuis la dernière lecture. À l’expiration du délai d’expiration, le système ferme le canal.
    Fuseau horaire par défaut Fuseau horaire des événements que le système utilisera si un journal ne spécifie pas le fuseau horaire.

    Par défaut, le système utilise GMT dans de tels cas, mais vous pouvez spécifier un fuseau horaire différent.
    Abandonner si la file d'attente est saturée Option permettant d’ignorer les journaux en cas de chargement sur le Serveur MID.