Splunk 엔터프라이즈 이벤트 수집 설정 구성
Splunk 엔터프라이즈 이벤트 수집 설정을 사용하여 요구 사항에 따라 사전 설정 구성과 해당 값을 수정합니다.
시작하기 전에
필요한 역할: sn_si.ingestion_profile_admin
주:
sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.
프로시저
- 다음으로 이동 모두 > Splunk Integration > Splunk Integration 설정.
-
양식에서 필드를 채웁니다.
표 1. Splunk Integration 설정 필드 설명 프로파일 작성 시 표시할 최대 경보 수입니다. sn_sec_splunk_v2.max_alerts_to_display
이벤트 프로파일을 생성하는 동안 표시할 최대 경보 수를 정의하는 옵션입니다. 기본적으로 이 값은 500으로 설정됩니다.
하루에 생성할 최대 보안 인시던트 수입니다. sn_sec_splunk_v2.max_si_per_day
하루에 만들 수 있는 최대 보안 인시던트 수를 정의하는 옵션입니다. 기본적으로 이 값은 1000으로 설정됩니다.
호출당 Splunk에서 가져올 최대 이벤트 수입니다. sn_sec_splunk_v2.max_events_per_call
각 호출에 대해 Splunk에서 검색할 최대 이벤트 수를 정의하는 옵션입니다. 기본적으로 이 값은 100으로 설정됩니다.
정보 제공 또는 디버깅을 위해 완료/오류 발생 후 항목이 큐 테이블에 남아 있는 일수입니다. sn_sec_splunk_v2.queue_item_expire
정보 또는 디버깅 목적으로 인해 완료 또는 오류 발생 후 항목이 큐 테이블에 남아 있는 일수를 정의하는 옵션입니다. 기본적으로 이 값은 14로 설정됩니다.
이벤트 임포트, 작업에 대한 이벤트 및 발생한 경보 데이터를 유지할 일 수입니다. sn_sec_splunk_v2.retention_period
이벤트 임포트, 작업에 대한 이벤트 및 발생한 경보 데이터를 보존할 일 수를 결정하는 옵션입니다. 기본적으로 이 값은 30으로 설정됩니다.
토큰 기반 인증 지원을 위한 기존 Splunk 소스 구성을 업데이트하려면 이 설정을 활성화합니다. 이 설정을 사용하도록 설정한 후에는 토큰 상세 정보로 통합 구성을 업데이트해야 합니다. sn_sec_splunk_v2.upgrade_existing_tile
기존 Splunk 소스 구성을 기존 버전의 토큰 기반 인증 지원으로 업데이트하는 옵션입니다. 주:새 버전으로 업그레이드하면 토큰 필드를 사용할 수 없게 됩니다. 토큰 기반 인증을 가져오려면 이 설정을 활성화해야 하며, 그 후에는 토큰 상세 정보로 통합 구성을 업데이트해야 합니다.기본적으로 값은 아니요로 설정됩니다.
로깅 수준 - 디버그, 정보, 경고, 오류. sn_sec_splunk_v2.logging.verbosity
Splunk 검색 유효 시간(초)입니다. sn_sec_splunk_v2.sid_ttl
기본적으로 이 값은 14로 설정됩니다.
Splunk에서 이벤트를 가져오는 동안 추가할 겹침(분) 수입니다(Splunk의 인덱싱 지연을 극복하기 위해). sn_sec_splunk_v2.overlap_time
기본적으로 이 값은 0으로 설정됩니다.
수집 중에 Splunk 검색 쿼리를 발동하는 데 사용할 경보 규칙 배치 크기입니다. sn_sec_splunk_v2.rules_batch_size
기본적으로 이 값은 50으로 설정됩니다.
스파이크를 처리하기 위해 트리거된 경보당 이벤트 제한입니다. sn_sec_splunk_v2.spike_events_limit
기본적으로 이 값은 1000으로 설정됩니다.
필드 매핑에서 값을 분할하는 구분 기호 문자입니다. sn_sec_splunk_v2.delimiter
- 저장을 선택합니다.