Kopieren Splunk Enterprise Event IngestionProfile von einer Instanz in eine andere mithilfe der Export-/Importfunktion

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Sie können exportieren und importieren Splunk Enterprise Event IngestionProfileinstellungen von eins Now PlatformInstanz zu einer anderen Now PlatformInstanz.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Mit dieser Funktionalität kann der Sicherheitsadministrator Profile kopieren, die für eines getestet und verifiziert wurden Now PlatformInstanz, z. B. in nicht-Produktion, an eine andere Now PlatformInstanz, z. B. Produktion, ohne dass alle Konfigurationseinstellungen wiederholt werden müssen. Die Einstellungen, die exportiert und importiert werden, umfassen Profilname, Korrelationsregeln, Zuordnungen, Filter, Zusammenfassungskriterien Feldübersetzungen, abgerufene Beispieldaten, Zeitplanung und Quellinformationen der Konfigurationskachel.

    Hinweis:
    Wenn Sie einen Profiltyp für die manuelle Ereignisweiterleitung exportieren, werden die für die Beispielfeldzuordnung verwendeten Anhangsdaten kopiert, die Anhangsdatei selbst wird jedoch nicht exportiert.

    Prozedur

    1. Navigieren zu Alle > Splunk Integration > Splunk-Ereignisprofilean.
    2. Wählen Sie ein Profil aus, das Sie in ein anderes exportieren möchten Now PlatformInstanz.
      Sie können mehrere Profile für den Export auswählen.
    3. Klicken Sie im Menü Aktionen auf Exportieren .
    4. Sobald die Meldung „Export abgeschlossen“ angezeigt wird, klicken Sie auf Herunterladen .
      Die folgende Abbildung zeigt den Export von SplunkProfil (Manuelles Profil 2) aus Ihrem Now PlatformInstanz (psand.service-now.com).Splunk-Profile werden exportiert.

      Die exportierte Datei payload.xml wird auf Ihren Computer heruntergeladen. Die Datei enthält den Profilnamen, Korrelationsregeln, Zuordnungen, Filter, Zusammenfassungskriterien Feldübersetzungen, abgerufene Beispieldaten, Zeitplanung und Quellinformationen der Konfigurationskachel. Wenn Sie mehrere Profile auswählen und herunterladen, werden sie in derselben Datei payload.xml angezeigt.

      Sie können jetzt mit dem Import des Profils in ein anderes fortfahren Now PlatformInstanz.

    5. Navigieren zu Splunk Integration > Splunk-Ereignisprofilean.
    6. Klicken Sie Auf Importieren .
    7. Klicken Sie Auf Wählen Sie die Datei aus Und wählen Sie die XML-Datei auf Ihrem Computer aus.
    8. Klicken Sie auf Hochladen.
    9. Klicken Sie Auf Profile schließen und neu laden .
      Die folgende Abbildung zeigt den Import von SplunkProfil (Manuelles Profil 2) aus Now PlatformInstanz (psand.service-now.com) zu einer anderen Now PlatformInstanz (ppsand.service-now.com).

      Splunk-Profile werden importiert.

      Sie haben das Profil erfolgreich aus einem anderen importiert Now PlatformInstanz.

      Überprüfen Sie, ob die exportierte Quelle ( SplunkAPI-Account und SplunkServer-URL) und MID-Server-Konfigurationseinstellungen sind gültig und in importiert verfügbar Now PlatformInstanz. Aktualisieren Sie Ihr Splunk Enterprise Event IngestionKonfiguration, falls erforderlich.

    10. Wahlweise: Überprüfen Sie die MID-Servereinstellungen nach dem Importieren eines Profils.
    11. Wahlweise: Navigieren zu Security Operations > Integrationskonfigurationenan.
    12. Wahlweise: Wählen Sie aus Splunk Enterprise Event IngestionKonfigurationskachel und klicken Sie auf Aktualisieren .
    13. Wahlweise: Überprüfen und aktualisieren Sie die Quell- und MID-Serverdetails nach Bedarf.