Planen und rufen Sie Warnungen für ab Splunk Enterprise Event Ingestion Integration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Bei Profilen der automatisierten Warnungserfassung ist dieser Schritt der letzte Schritt der Ereignisprofilkonfiguration. Während dieses Schritts können Sie die Standardeinstellungen für den Warnungsabruf überprüfen oder die Planung nach Bedarf ändern. Mit diesem Schritt können Sie Ihren Warnungsabruf basierend auf einem Datumsbereich filtern.

    Vorbereitungen

    Erforderliche Rolle: sn_si.ingestion_profile_admin

    Hinweis:
    Benutzer mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt.

    Warum und wann dieser Vorgang ausgeführt wird

    Nachdem Sie alle Schritte im Fortschrittsbalken für die Profilkonfiguration wie in der folgenden Abbildung gezeigt abgeschlossen haben, haben Sie die Konfiguration für Profile für die manuelle Ereignisweiterleitung abgeschlossen. Für manuell von Ihrem weitergeleitete Ereignisse ist keine Planung verfügbar Splunk Enterprise Konsole. Für Profile für die automatisierte Warnungserfassung wählen Sie aus, ob Sie während des Planungsschritts historische Warnungen erfassen möchten. Sie wählen auch aus, wie oft Sie nach zukünftigen Warnungen abfragen, die der Warnungsprofilkonfiguration entsprechen.

    Abbildung : 1. Fortschrittsbalken
    Fortschrittsbalken.

    Bei Profilen zur automatisierten Warnungserfassung überprüfen und ändern Sie die Planung und den Warnungsabruf, bevor das Profil aktiviert wird. Dieser Schritt ist der letzte Schritt des Ereignisprofilkonfigurationsprozesses für geplante Warnungsprofile.

    Konfigurieren Sie diese Abfrageintervalle pro Profil. Die Leistung von Splunk Die Integration der Ereigniserfassung wird von den verschiedenen Abfrageintervallen beeinflusst. Bei der Planung ziehen Sie es möglicherweise vor, die Systemlast gegen die Dringlichkeit des Incident auszugleichen. Für jedes Profil ist ein fünf-Minuten-Standardwert festgelegt. Sie können diese Einstellung jedoch basierend auf der Dringlichkeit des Incident und der erwarteten Belastung Ihres Systems ändern.

    In Splunk Enterprise-Konsole legen Sie eine auslösende Warnung fest, die auf Inkrementen oder einer bestimmten Zeit basiert. Verwenden Sie diese Einstellung, um die Planung in zu konfigurieren ServiceNow AI Platform Instanz, sodass die Zeit in Ihrem erhöht wird Splunk Enterprise Konsole synchronisieren mit der Planung, die Sie in eingerichtet haben ServiceNow AI Platform Instanz.

    Prozedur

    1. Wenn die Seite „Zeitplanung“ im Fortschrittsbalken nicht angezeigt wird, wählen Sie aus Zeitplanung .
    2. Wählen Sie eine aus, um zu planen, wie und wann Warnungen aus abgerufen werden Splunk Enterprise Konsole.
      OptionBeschreibung
      • Feld „laufende Warnung“ ausgewählt
      • Feld „Einmalabruf“ gelöscht
      		 Laufende Warnung

      Basierend auf der Standardeinstellung ServiceNow AI Platform Instanz ruft aus ab Splunk Enterprise Server für neue Warnungen alle fünf Minuten. Security Incidents werden erstellt, wenn ausgelöste Warnungen gefunden werden und die Filterkriterien erfüllt sind. Um die Warnungserfassung gegen die Serverauslastung auszugleichen und die neuesten Daten abzurufen, sollten Sie fünf Minuten bevorzugen. Dieser Wert kann jedoch nach Bedarf geändert werden.
      • Feld „laufende Warnung“ gelöscht
      • Feld „Einmalabruf“ ausgewählt
      		 Einmaliger Abruf

      Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf zum Erfassen von Warnungen basierend auf historischen Ereignissen wünschen.

      Wenn konfiguriert, wird ein Profil einmal verwendet, um ausgelöste Warnungen abzurufen, einschließlich Warnungen aus historischen Ereignissen, die auf einem Datumsbereich basieren. Rechts von Seit Datum Klicken Sie auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abrufen von Warnungen beginnen möchten. Beginnend mit Seit Datum Wert, ausgelöste Warnungen werden bis zum aktuellen Datum abgerufen.

      Nachdem die Warnungen abgerufen wurden, ruft diese Einstellung ab dem aktuellen Datum keine ausgelösten Warnungen für dieses Profil ab. Diese Einstellung füllt den Security Incident mit allen Warnungen aus, die für den von Ihnen eingegebenen Bereich gefunden werden.

      Planungsseite mit angezeigtem Kalender.

      Beispiel für die Planung, wenn Sie täglich eine haben Splunk Warnung, die einmal täglich um 4 Uhr Ortszeit ausgeführt wird. Sie können das entsprechende Warnungsprofil in einrichten ServiceNow AI Platform Instanz, die um 4:05 UHR Ortszeit ausgeführt werden soll, um die Warnung sofort zu erfassen und einen Security Incident zu erstellen. Geben Sie Ein 04 05 00 In Erste Warnungserfassung Feld. In Inkrement (Minuten) Feld eingeben 1440 (24 Stunden) zum Planen der nächsten Warnungserfassung für 24 Stunden ab der ersten Warnungserfassung. In den Feldern werden sowohl die Zeit der ersten Warnungserfassung als auch die Zeit der nächsten Warnungserfassung angezeigt.

    3. Um die Einstellungen für dieses Beispiel zu konfigurieren, führen Sie die folgenden Schritte aus.
      1. Wenn die Seite „Zeitplanung“ angezeigt wird, wählen Sie aus Laufende Warnung Kontrollkästchen zum Aktivieren dieser Option.
      2. In Inkrement (Minuten) Feld eingeben 1440 (24 Stunden).
      3. Klicken Sie auf Wählen Sie erste Warnungserfassung aus Kontrollkästchen zum Aktivieren der Bearbeitung der Felder „erste Warnungserfassung“ und „nächste Warnungserfassung“.
      4. Geben Sie im Feld erste Warnungserfassung ein 04 05 00 .
        In Die nächste Warnungserfassung (geschätzt) Feld wird die Zeit der nächsten Warnungserfassung angezeigt.
    4. Klicken Sie Auf Beenden Um die Konfiguration abzuschließen.
      Ein Bestätigungsdialogfeld wird angezeigt. Sie haben das Setup und die Konfiguration für die Integration erfolgreich abgeschlossen. Dieses Profil ist aktiviert und ruft Warnungen aus ab Splunk Enterprise Konsole basierend auf Ihrer Planung. Es gibt ein Limit von 1.000 Security Incidents, die innerhalb von 24 Stunden erstellt werden können. Pro ausgelöster Warnung werden bis zu 100 Ereignisse ausgeführt. Nachfolgende Ereignisse werden ignoriert, nachdem die Grenzwerte erreicht wurden.