Salve pesquisas em seu Splunk Enterprise console para Splunk Enterprise Event Ingestion integração

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • As etapas a seguir para salvar pesquisas em seu Splunk Enterprise o console é fornecido para um usuário com Splunk Enterprise função de administrador.

    Antes de Iniciar

    Se você já tiver pesquisas salvas e alertas acionados em seu Splunk Enterprise não é necessário modificar essas pesquisas para esta integração.

    A integração do ServiceNow AI Platform® Operações de segurança produto com Splunk o serviço de notificação de eventos extrai informações de evento e alerta do Splunk.

    Antes de ingerir alertas em seu Operações de segurança, configure pesquisas em seu Splunk Enterprise para que você extraia automaticamente os eventos de segurança relevantes no Splunk Enterprise que você deseja salvar como alertas.

    Se você não tiver pesquisas salvas e alertas acionados estabelecidos para notificação quando ocorrerem eventos de segurança importantes em seu Splunk Enterprise siga estas etapas para salvar as pesquisas.

    Função necessária: Splunk Enterprise administrador

    Procedimento

    1. Faça login na sua conta Splunk Enterprise.
    2. Clique em Pesquisa guia.
    3. No campo Nova pesquisa exibido, insira um valor para o alerta, por exemplo, Malware.
    4. Para exibir os eventos relacionados à sua pesquisa, à direita do campo Nova pesquisa, clique no ícone de pesquisa ou pressione Enter.
      Os resultados da pesquisa com eventos são exibidos.
    5. Para salvar a pesquisa como um alerta, no canto superior direito da página, expanda a lista de seleção Salvar como e selecione Alerta .
    6. No formulário exibido, preencha os campos.
      CampoDescrição
      Título Nome descritivo do alerta, por exemplo, Eventos de malware. Depois de salvar esta pesquisa como um alerta, os eventos de um alerta dispararam no Splunk os serviços são processados automaticamente em alertas acionados usando esses dados de pesquisa. Este título de alerta acionado é usado no perfil de evento que você cria em ServiceNow AI Platform instância para identificar quais eventos são ingeridos em sua instância para ServiceNow AI Platform® Resposta a incidentes de segurança SIR criação de incidente de segurança.
      (Opcional) Descrição Texto para ajudá-lo a distinguir este alerta de outros alertas.
      Tipo de alerta Nos campos exibidos, selecione Programado para pesquisar este alerta em uma programação, ou Tempo real para pesquisar continuamente este alerta.
      Acionar resultados Você pode preferir definir uma das seguintes condições de filtro:
      • O número de resultados é maior ou menor que
      • Uma vez (uma vez) para cada resultado
      Ações de gatilho Adicione ações para acionar este alerta. Expanda a lista Adicionar seleção e clique em Adicionar a Alertas acionados para que ele seja exibido no formulário. Você pode preferir esta configuração para os alertas que você ingerem em seu ServiceNow AI Platform instância.
    7. Clique em Salvar.
      Seu alerta é salvo e exibido na guia Alertas na página Pesquisar.
      . Splunk o serviço extrai os eventos correspondendo aos critérios configurados no alerta. Os eventos são armazenados em cache e você solicita esses eventos de seus perfis que configurou em seu ServiceNow AI Platform instância. Porque a extração de ingestão de eventos ocorre de um cache no Splunk, esta ingestão do seu ServiceNow AI Platform não afeta o desempenho do seu Splunk plataforma.

    O que Fazer Depois

    Você concluiu com sucesso a configuração necessária para a integração em seu Splunk Enterprise console. Se você ainda não instalou a aplicação para a integração do ServiceNow Store, a próxima etapa é instalar a aplicação para a integração e configurá-la.