Splunk Dateneingabekonfigurationsfelder
Beschreibung der Felder in Splunk Formular für Dateneingabekonfiguration.
Basiskonfiguration
| Feld | Beschreibung |
|---|---|
| Dateneingabename | Name der neuen Dateneingabe. Dies ist ein Pflichtfeld. |
| Beschreibung | Beschreibung der Dateneingabe |
| MID-Server | Der MID-Server, an den die Protokolle gestreamt werden Hinweis: Dies ist ein Pflichtfeld.
|
| Port | Port für den MID-Server. Stellen Sie sicher, dass das Sicherheitsteam Ihrer Organisation den ausgewählten Port auf dem MID-Server öffnet. Dies ist ein Pflichtfeld. |
| Transportprotokoll | Das Protokoll, das zum Streamen von Protokollnachrichten an Ihre ServiceNow-Instanz verwendet wird.
Weitere Informationen zum Streamen von Protokolldaten mit dem TCP- oder UDP-Transportprotokoll finden Sie im Artikel Streaming Splunk data using Heavy Forwarder: Select TCP or UDP [KB0998928] (Splunk mit Heavy Forwarder streamen: TCP oder UDP auswählen in der Now Support-Knowledge Base). |
| Vorbereitete Daten verwenden | Option zum Erfassen von Protokolldaten aus Splunk Im vorverarbeiteten Format („gekocht“) das Splunk Verwendet im Forwarder. Daten werden in erfasst HLA In diesem Format stellt sicher, dass jede Protokollzeile die relevanten kontextbezogenen Informationen enthält, die Splunk Bettet sich darin ein. Hinweis: Wenn Sie diese Option auswählen, muss nicht bearbeitet werden Eigenschaften.Konf. Und Transforms.conf Dateien während Splunk Dateneingabekonfiguration. |
| Zeitzone der Weiterleitung verwenden | Option zum Übergeben von Informationen zur Zeitzone, in der sich der Weiterleitung befindet. Die MID-Server Verwendet diese Informationen, um die Zeitzone anzupassen, aus der die Protokolle ankommen. Diese Option ist relevant, wenn verwendet wird Splunk Universelle Weiterleitungen. |
| Komprimierung aktivieren | Option zum Senden von Protokollen im komprimierten Format. Durch das Senden von Protokollen in einem komprimierten Format wird die Größe der übertragenen Daten minimiert, was bei der Verarbeitung großer Mengen von Protokolldaten wichtig ist. Diese Option ist relevant, wenn verwendet wird Splunk Universelle Weiterleitungen und können nur verwendet werden, wenn SSL/TLS aktiviert ist. |
Erweiterte Konfiguration
| Feld | Beschreibung | Standardwerte |
|---|---|---|
| SSL/TLS verwenden | Hiermit geben Sie an, ob SSL/TLS verwendet werden soll. Hinweis: Um Protokolle in einem komprimierten Format zu senden, muss SSL/TLS aktiviert sein. |
|
| Look up hostnames (Nach Hostnamen suchen) | Hiermit geben Sie an, ob eine DNS-Suche durchgeführt wird, um IPs in Hostnamen aufzulösen. | false |
| Anzahl der Boss-Threads | Anzahl der Threads, mit denen Verbindungen verwaltet werden | 1 |
| Anzahl der Worker-Threads | Anzahl der Threads, mit denen eingehende Daten verarbeitet werden | 4 |
| Lesezeitüberschreitung in Sekunden | Zeitüberschreitung in Sekunden seit dem letzten Lesen. Wenn die Zeitüberschreitung abläuft, schließt das System den Kanal. | 30 |
| Standardzeitzone | Standardzeitzone von Events. Das System verwendet diesen Standard, wenn im Protokoll keine Zeitzone angegeben ist. | GMT |
| Anteil der zu verwerfenden Unterstichproben | Verhältnis der zu verwerfenden Events | -1 |
| Anteil der zu empfangenden Unterstichproben | Verhältnis der zu empfangenden Events | -1 |
| Maximale Länge in Bytes | Maximale Länge von Protokollnachrichten in Byte | 32766 |
| Zeichencodierung | Zeichencodierung für diese Dateneingabe | UTF-8 |
| Verwerfen, wenn Warteschlange voll ist | Hiermit legen Sie fest, dass Protokolle verworfen werden, wenn der MID-Server ausgelastet ist. |