Um eine Splunk-Warnung mit mehreren Datensätzen und anwenderdefinierten Feldern zu erstellen, müssen Sie eine Suche erstellen, die den ServiceNow-Spalten entspricht, die Sie ausfüllen möchten.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Prozedur
-
Navigieren Sie zu Suche.
-
Erstellen Sie im Feld Suchen eine Suche, die Ihre Datensatzdaten generiert.
Empfohlene Suchkriterien finden Sie in den
Beispielen.
-
Klicken Sie auf Speichern unter, und wählen Sie Warnungaus.
-
Legen Sie den Namen, die Berechtigungen und den Zeitplan nach Bedarf fest.
-
Klicken Sie auf Aktionen hinzufügen.
-
Treffen Sie eine der folgenden Auswahlen.
- Um ein Ereignis pro Ergebnis aus Ihrer Suche zu erstellen, wählen Sie Mehrere ServiceNow-Sicherheitsereignisse erstellenaus.
- Um einen Incident pro Ergebnis aus Ihrer Suche zu erstellen, wählen Sie Mehrere ServiceNow Security Incidents erstellenaus.
-
Legen Sie nach Bedarf Standardwerte fest.
Wenn das Feld im Suchergebnis leer oder nicht vorhanden ist, werden die Standardwerte verwendet. Wenn das Ergebnis einen Wert enthält, werden die Standardwerte überschrieben.