Criar registros de configuração de pesquisa de vistas

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Crie vários registros de configuração de pesquisa de vistas e use-os ao consultar vários armazenamentos de log ou variar os parâmetros de pesquisa.

    Antes de Iniciar

    Função necessária: sn_si.admin

    • O complemento CIM deve ser instalado na instância do Splunk.
    • Pesquisas salvas e consultas no local são compatíveis somente com a Integração Splunk.

    Por Que e Quando Desempenhar Esta Tarefa

    Você também pode criar registros de configuração de pesquisa de vistas para invocar pesquisas salvas No armazenamento de logs do Splunk Enterprise.
    Nota:
    As consultas de configuração de pesquisa dependem dos dados de log do Splunk para serem compatíveis com CIM (Common Information Model, Modelo de informações comuns) do Splunk.
    Com as configurações de pesquisa salvas, você pode:
    • Crie pesquisas personalizadas que combinam vários registros de evento.
    • Pesquisas eficientes e eficazes.
    • Use entradas com parâmetros na pesquisa salva do Splunk.

    O sistema de base inclui as configurações de amostra mostradas nesta imagem:

    Figura 1. Configurações de pesquisa salvas
    Configuração de pesquisa
    A pesquisa salva e as consultas de configuração no local são consultas de exemplo e podem ser substituídas por parâmetros apropriados para seu ambiente. Crie configurações de pesquisa salvas adicionais conforme necessário. Quando você define uma configuração de pesquisa salva, o nome e os parâmetros na consulta de pesquisa devem corresponder à configuração salva definida em sua instância do Splunk. Se o nome e os parâmetros não forem os mesmos, talvez você não veja resultados precisos ao executar uma pesquisa de vistas.
    Nota:
    Em sua instância do Splunk, navegue até a página Pesquisas, relatórios e alertas e localize sua consulta de pesquisa salva. Clique em Permissões Link para navegar até a página Permissões. Selecione Todos os aplicativos botão de opção e habilite Permissão de leitura opção para Todos . Isso mudará o valor da coluna Compartilhamento de Privado para App para sua consulta de pesquisa salva. Se isso não estiver definido, a consulta de pesquisa salva poderá não retornar resultados.

    Para verificar se a configuração de pesquisa salva corresponde à configuração definida em sua instância do Splunk:

    1. Navegar até Configurações > Pesquisas, Relatórios e Alertas.
    2. Mudança Contexto da aplicação . Todos .

      Uma lista de relatórios de pesquisa é exibida.

    3. Confirme se a consulta de pesquisa salva está presente na lista.
    Por exemplo, o formulário Configuração de pesquisa de vistas contém o endereço de e-mail e o remetente do e-mail como parâmetros de pesquisa:
    Figura 2. Formulário Configuração de pesquisa de vistas
    Configuração salva

    Em sua instância do Splunk, defina a pesquisa salva com o mesmo nome, Pesquisa salva padrão - E-mails e os mesmos parâmetros de pesquisa para o endereço de e-mail e o assunto do e-mail. Se o nome e os parâmetros de pesquisa não forem os mesmos, a pesquisa de vistas não gerará um resultado preciso.

    Procedimento

    1. Navegar até Operações de segurança > Integrações > Configuração da Pesquisa de detecções e criar um novo registro (consulte a tabela para obter descrições dos campos).
      Tabela 1. Formulário Configuração de pesquisa de vistas
      Campo Descrição
      Nome Nome da configuração.
      Pesquisa salva A configuração de pesquisa salva será criada se você selecionar esta opção.
      Origem da pesquisa de detecções A origem da pesquisa de vistas. Selecione o armazenamento de logs do Splunk como a origem.
      Ativo Opção para o status da pesquisa salva. Somente configurações de pesquisa ativas podem ser usadas para executar uma pesquisa de vistas.
      Tipo de observável O tipo de observável pode ser qualquer tipo de observável, como IP, valor de hash, URL, nome de domínio e assim por diante.
      Máximo de observáveis por pesquisa Número máximo de observáveis a serem retornados da pesquisa.
      Pesquisar A cadeia de caracteres de pesquisa padrão é (observável) , Mas você pode definir sua própria consulta de pesquisa especificando parâmetros compatíveis com o armazenamento de logs do Splunk.
    2. Clique em Enviar.

    Resultado

    Você criou um registro de configuração de pesquisa de vistas.

    O que Fazer Depois

    Depois de definir a consulta de pesquisa, clique em Gerar consulta de teste de pesquisa de vistas e especificam uma lista de valores observáveis para gerar uma consulta de teste com base nesta configuração de pesquisa salva.