Konfigurieren Sie die Einstellungen für die Splunk Enterprise-Ereigniserfassung

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Verwenden Sie die Einstellungen für die Splunk Enterprise-Ereigniserfassung, um die voreingestellten Konfigurationen und ihre Werte gemäß Ihren Anforderungen zu ändern.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Navigieren zu Alle > Splunk Integration > Einstellungen von Splunk Integrationan.
    2. Füllen Sie die Felder im Formular aus.
      Tabelle : 1. Einstellungen von Splunk Integration
      Feld Beschreibung
      Maximale Anzahl von Warnungen, die bei der Profilerstellung angezeigt werden Option zum Definieren der maximalen Anzahl von Warnungen, die Sie beim Erstellen eines Ereignisprofils anzeigen möchten.

      Standardmäßig ist der Wert auf 500 festgelegt.
      Maximale Anzahl von Security Incidents, die an einem Tag erstellt werden sollen Option zum Definieren der maximalen Anzahl von Security Incidents, die an einem Tag erstellt werden können.

      Standardmäßig ist der Wert auf 1000 festgelegt.
      Maximale Anzahl von Ereignissen, die pro Aufruf von Splunk abgerufen werden sollen Option zum Definieren der maximalen Anzahl von Ereignissen, die für jeden Anruf von Splunk abgerufen werden sollen.

      Standardmäßig ist der Wert auf 100 festgelegt.
      Die Anzahl der Tage, die ein Element nach Abschluss/fehler zu Informations- oder Debugging-Zwecken in der Warteschlangentabelle verbleibt Option zum Definieren der Anzahl der Tage, die ein Element nach Abschluss oder Auftreten eines Fehlers aufgrund von Informationen oder Debugging-Zwecken in der Warteschlangentabelle verbleiben soll.

      Standardmäßig ist der Wert auf 14 festgelegt.
      Anzahl der Tage, für die Daten für Ereignisimport, Ereignis zu Aufgabe und ausgelöste Warnungen aufbewahrt werden Option zum Bestimmen der Anzahl der Tage, die Sie den Ereignisimport, das Ereignis zu Aufgabe und die ausgelösten Warnungsdaten beibehalten möchten.

      Standardmäßig ist der Wert auf 30 festgelegt.
      Aktivieren Sie diese Einstellung, um vorhandene Splunk-Quellkonfigurationen für die Unterstützung der tokenbasierten Authentifizierung zu aktualisieren. Sie müssen die Integrationskonfiguration mit Tokendetails aktualisieren, sobald diese Einstellung aktiviert ist. Option zum Aktualisieren der vorhandenen Splunk-Quellkonfiguration auf die tokenbasierte Authentifizierungsunterstützung von einer vorhandenen Version.
      Hinweis:
      Nach dem Upgrade auf die neue Version ist das Tokenfeld nicht mehr verfügbar. Sie müssen diese Einstellung aktivieren, um die tokenbasierte Authentifizierung abzurufen. Danach müssen Sie die Integrationskonfiguration mit Tokendetails aktualisieren.

      Standardmäßig ist der Wert auf „Nein“ festgelegt
      Abbildung : 1. Einstellungen von Splunk Integration
      Konfigurieren Sie Splunk-Integrationseinstellungen
    3. Klicken Sie auf Speichern.