Créer une alerte Splunk à champs personnalisés à enregistrements multiples

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Pour créer une alerte Splunk à enregistrements multiples avec des champs personnalisés, vous devez créer une recherche conçue pour correspondre aux colonnes ServiceNow que vous souhaitez renseigner.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à Rechercher.
    2. Dans la zone Rechercher , créez une recherche qui génère vos données d’enregistrement.
      Consultez les exemples de critères de recherche recommandés.
    3. Cliquez sur Enregistrer sous et sélectionnez Alerte.
    4. Définissez le nom, les autorisations et le calendrier selon vos besoins.
    5. Cliquez sur Ajouter des actions.
    6. Sélectionnez l’une des options suivantes.
      • Pour créer un événement par résultat à partir de votre recherche, sélectionnez Créer plusieurs événements de sécurité ServiceNow.
      • Pour créer un incident par résultat de votre recherche, sélectionnez Créer plusieurs incidents de sécurité ServiceNow.
    7. Définissez les valeurs par défaut, selon vos besoins.
      Si le champ des résultats de recherche est vide ou absent, les valeurs par défaut sont utilisées. S’il y a une valeur dans le résultat, les valeurs par défaut sont remplacées.