Splunk Enterprise 이벤트 수집 설정 구성
Splunk Enterprise 이벤트 수집 설정을 사용하여 요구 사항에 따라 사전 설정 구성과 해당 값을 수정합니다.
시작하기 전에
필요한 역할: sn_si.admin
프로시저
-
양식에서 필드를 채웁니다.
표 1. Splunk 통합 설정 필드 설명 프로파일 작성 시 표시할 최대 경보 수 이벤트 프로파일을 생성하는 동안 표시할 최대 경보 수를 정의하는 옵션입니다. 기본적으로 이 값은 500으로 설정됩니다.
하루에 생성되는 최대 보안 인시던트 수 하루에 만들 수 있는 최대 보안 인시던트 수를 정의하는 옵션입니다. 기본적으로 값은 1000으로 설정됩니다.
호출당 Splunk에서 가져올 최대 이벤트 수 각 호출에 대해 Splunk에서 검색할 최대 이벤트 수를 정의하는 옵션입니다. 기본적으로 값은 100으로 설정됩니다.
정보 또는 디버깅을 위해 항목이 완료/오류 발생 후 큐 테이블에 남아 있는 일 수 정보 또는 디버깅 목적으로 인해 완료 또는 오류 발생 후 항목이 큐 테이블에 남아 있을 일 수를 정의하는 옵션입니다. 기본적으로 이 값은 14로 설정됩니다.
이벤트 임포트, 작업에 대한 이벤트 및 발생한 경보 데이터를 보존할 일 수 이벤트 임포트, 작업에 대한 이벤트 및 발생한 경보 데이터를 보존할 일 수를 결정하는 옵션입니다. 기본적으로 이 값은 30으로 설정됩니다.
토큰 기반 인증 지원을 위한 기존 Splunk 소스 구성을 업데이트하려면 이 설정을 활성화합니다. 이 설정을 활성화한 후에는 토큰 상세 정보로 통합 구성을 업데이트해야 합니다. 기존 Splunk 소스 구성을 기존 버전에서 토큰 기반 인증 지원으로 업데이트하는 옵션입니다. 주:새 버전으로 업그레이드한 후에는 토큰 필드를 사용할 수 없게 됩니다. 토큰 기반 인증을 가져오려면 이 설정을 활성화해야 하며, 그 후에는 토큰 상세 정보로 통합 구성을 업데이트해야 합니다.기본적으로 값은 아니요로 설정됩니다.
그림 1. Splunk 통합 설정