Splunk Champs de configuration de l’entrée de données

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Description des champs sur le formulaire de configuration d’entrée Splunk de données.

    Configuration de base

    Tableau 1. Onglet Mise en route
    Champ Description
    Nom de l'entrée de données Nom de la nouvelle entrée de données Ce champ est obligatoire.
    Description Description de l'entrée de données.
    Serveur MID Serveur MID auquel les journaux sont diffusés.
    Remarque :
    • Vous pouvez sélectionner uniquement des Serveurs MID qui prennent en charge l'authentification de base. Les Serveurs MID qui prennent en charge mTLS ne sont pas répertoriés.
    • Le nombre maximal par défaut d'entrées de données qui diffusent des journaux vers une seul Serveur MID est de 10. Vous pouvez modifier ce nombre dans les propriétés du MID Server.
    Ce champ est obligatoire.
    Port Port du Serveur MID.

    Assurez-vous que l'équipe de sécurité de votre organisation ouvre le port sélectionné dans le Serveur MID.

    Ce champ est obligatoire.
    Protocole de transport Protocole utilisé pour diffuser des messages de journal vers votre instance ServiceNow.
    • TCP : lors de l'utilisation du protocole TCP (Transmission Control Protocol), tous les journaux atteignent l'instance. Toutefois, le pipeline Splunk peut être bloqué si le Serveur MID est en panne ou si la connexion est perdue. TCP est le protocole de transport par défaut.
    • UDP : lors de l'utilisation du protocole UDP (User Datagram Protocol), le pipeline Splunk ne sera jamais bloqué. Toutefois, certains journaux peuvent être abandonnés avant qu'ils n'atteignent l'instance.

    Pour plus d'informations sur la diffusion de données de journal à l'aide du protocole de transport TCP ou UCP, consultez l'article Diffusion de données Splunk à l'aide d'un Heavy Forwarder : sélectionner TCP ou UDP [KB0998928] dans la base de connaissances Now Support.

    Configuration avancée

    Tableau 2. Formulaire Configuration avancée
    Champ Description Valeurs par défaut
    Utiliser SSL/TLS Option permettant d'utiliser SSL/TLS.
    Rechercher des noms d'hôtes Option permettant d'effectuer une recherche DNS pour résoudre les adresses IP en noms d'hôtes. faux
    Nombre de threads par Boss Nombre de threads qui gèrent les connexions. 1
    Nombre de threads de l'agent Nombre de threads qui géreront les données entrantes 4
    Délai d'expiration de lecture en secondes Délai d'expiration en secondes depuis la dernière lecture. Lorsque le délai expire, le système ferme le canal. 30
    Fuseau horaire par défaut Fuseau horaire par défaut des événements. Le système utilise cette valeur par défaut lorsque le journal ne spécifie pas de fuseau horaire. GMT
    Taux d'abandon du sous-exemple Taux d'événements à abandonner. -1
    Taux de réception du sous-exemple Taux d'événements à recevoir. -1
    Longueur maximale en octets Longueur maximale des messages de journal en octets. 32766
    Codage des caractères Codage des caractères pour cette entrée de données. UTF-8
    Abandonner si la file d'attente est saturée Option permettant de sélectionner l'abandon des journaux s'il y a une charge sur le Serveur MID.