Splunk Champs de configuration de l’entrée de données
Description des champs sur le Splunk formulaire de configuration des entrées de données.
Configuration de base
| Champ | Description |
|---|---|
| Nom de l'entrée de données | Nom de la nouvelle entrée de données. Ce champ est obligatoire. |
| Description | Description de l’entrée de données. |
| Serveur MID | Vers Serveur MID lequel les journaux sont diffusés. Remarque : Ce champ est obligatoire.
|
| Port | Port du Serveur MID. Assurez-vous que l’équipe de sécurité de votre organisation ouvre le port sélectionné dans le Serveur MID. Ce champ est obligatoire. |
| Protocole de transport | Protocole utilisé pour diffuser les messages du journal vers votre ServiceNow instance.
Pour plus d’informations sur la diffusion de données de journal à l’aide du protocole de transport TCP ou UCP, consultez l’article Diffusion de données Splunk à l’aide d’un redirecteur lourd : sélection de TCP ou UDP [KB0998928] dans la Now Support base de connaissances. |
| Utiliser les données préparées | Option permettant d’ingérer les données de Splunk journal au format prétraité (« cuit ») utilisé Splunk sur le redirecteur. L’ingestion de données HLA dans ce format garantit que chaque ligne de journal conserve les informations contextuelles pertinentes qui Splunk y sont intégrées. Remarque : Si vous sélectionnez cette option, il n’est pas nécessaire de modifier les fichiers props.conf et transforms.conf pendant Splunk la configuration de l’entrée de données. |
| Utiliser le fuseau horaire de l'expéditeur | Option permettant de transmettre des informations sur le fuseau horaire dans lequel se trouve l’expéditeur. Utilise Serveur MID ces informations pour s’adapter au fuseau horaire d’où proviennent les journaux. Cette option est pertinente lors de l’utilisation Splunk de redirecteurs universels. |
| Activer la compression | Option pour envoyer des journaux au format compressé. L’envoi de journaux dans un format compressé minimise la taille des données transférées, ce qui est important lorsqu’il s’agit de gros volumes de données de journaux. Cette option est pertinente lors de l’utilisation Splunk de redirecteurs universels et ne peut être utilisée que lorsque SSL/TLS est activé. |
Configuration avancée
| Champ | Description | Valeurs par défaut |
|---|---|---|
| Utiliser SSL/TLS | Option permettant d’utiliser SSL/TLS. Remarque : Pour envoyer des journaux dans un format compressé, SSL/TLS doit être activé. |
|
| Rechercher des noms d’hôtes | Option permettant d’effectuer une recherche DNS pour résoudre les adresses IP en noms d’hôtes. | Faux |
| Nombre de threads par Boss | Le nombre de threads qui gèrent les connexions. | 1 |
| Nombre de threads de l'agent | Le nombre de threads qui gèrent les données entrantes. | 4 |
| Délai d'expiration de lecture en secondes | Délai d’expiration en secondes depuis la dernière lecture. À l’expiration du délai d’expiration, le système ferme le canal. | 30 |
| Fuseau horaire par défaut | Le fuseau horaire par défaut des événements. Le système utilise cette valeur par défaut lorsque le journal ne spécifie pas de fuseau horaire. | GMT |
| Taux d'abandon du sous-échantillon | Le taux d'événements à abandonner. | -1 |
| Taux de réception de sous-échantillon | Le taux d'événements à recevoir. | -1 |
| Longueur maximale en octets | La longueur maximale des messages du journal, en octets. | 32766 |
| Codage des caractères | Le codage des caractères pour cette entrée de données. | UTF-8 |
| Abandonner si la file d'attente est saturée | Option permettant d’ignorer les journaux en cas de chargement sur le Serveur MID. |