Configurer les paramètres d’ingestion d’événements Splunk Enterprise

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Utilisez les paramètres d’ingestion d’événements Splunk Enterprise pour modifier les configurations prédéfinies et leurs valeurs en fonction de vos besoins.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tous > Splunk Integration > Paramètres d’intégration Splunk.
    2. Renseignez les champs du formulaire.
      Tableau 1. Paramètres d’intégration Splunk
      Champ Description
      Nombre maximal d’alertes à afficher dans la création de profil Option permettant de définir le nombre maximal d’alertes que vous souhaitez afficher lors de la création d’un profil d’événement.

      Par défaut, la valeur est définie sur 500.
      Nombre maximal d’incidents de sécurité à créer en une journée Option permettant de définir le nombre maximal d’incidents de sécurité qui peuvent être créés en une journée.

      Par défaut, la valeur est définie sur 1000.
      Nombre maximal d’événements à extraire de Splunk par appel Option permettant de définir le nombre maximal d’événements à récupérer de Splunk pour chaque appel.

      Par défaut, la valeur est définie sur 100.
      Nombre de jours pendant lesquels un élément reste dans la table de file d’attente après l’opération terminée/la génération d’erreurs à des fins d’information ou de débogage Option permettant de définir le nombre de jours pendant lesquels un élément reste dans la table de file d’attente après l’achèvement ou l’occurrence d’une erreur due à des fins d’information ou de débogage.

      Par défaut, la valeur est définie sur 14.
      Nombre de jours de conservation des données d’importation d’événement, d’événement vers la tâche et d’alertes déclenchées Option permettant de déterminer le nombre de jours pendant lesquels vous souhaitez conserver les données d’importation d’événements, d’événement vers la tâche et d’alertes déclenchées.

      Par défaut, la valeur est définie sur 30.
      Activez ce paramètre pour mettre à jour les configurations sources Splunk existantes pour la prise en charge de l’authentification basée sur le jeton. Vous devrez mettre à jour la configuration de l’intégration avec les détails du jeton une fois ce paramètre activé. Option permettant de mettre à jour la configuration source Splunk existante pour la prise en charge de l’authentification basée sur le jeton à partir d’une version existante.
      Remarque :
      Une fois la mise à niveau vers la nouvelle version, le champ Jeton devient indisponible. Vous devez activer ce paramètre pour obtenir l’authentification basée sur le jeton, après quoi vous devez mettre à jour la configuration d’intégration avec les détails du jeton.

      Par défaut, la valeur est définie sur Non.
      Figure 1. Paramètres d’intégration Splunk
      Configurer les paramètres d’intégration Splunk
    3. Cliquez sur Enregistrer.