Splunk Champs de configuration de l’entrée de données
Description des champs sur le Splunk formulaire de configuration des entrées de données.
Configuration de base
| Champ | Description |
|---|---|
| Nom de l'entrée de données | Nom de la nouvelle entrée de données Ce champ est obligatoire. |
| Description | Description de l'entrée de données. |
| Serveur MID | Serveur MID auquel les journaux sont diffusés. Remarque : Ce champ est obligatoire.
|
| Port | Port du Serveur MID. Assurez-vous que l'équipe de sécurité de votre organisation ouvre le port sélectionné dans le Serveur MID. Ce champ est obligatoire. |
| Protocole de transport | Protocole utilisé pour diffuser des messages de journal vers votre instance ServiceNow.
Pour plus d'informations sur la diffusion de données de journal à l'aide du protocole de transport TCP ou UCP, consultez l'article Diffusion de données Splunk à l'aide d'un Heavy Forwarder : sélectionner TCP ou UDP [KB0998928] dans la base de connaissances Now Support. |
| Utiliser les données préparées | Option permettant d’ingérer les données de Splunk journal au format prétraité (« cuit ») utilisé Splunk sur le redirecteur. L’ingestion de données HLA dans ce format garantit que chaque ligne de journal conserve les informations contextuelles pertinentes qui Splunk y sont intégrées. Remarque : Si vous sélectionnez cette option, il n’est pas nécessaire de modifier les fichiers props.conf et transforms.conf pendant Splunk la configuration de l’entrée de données. |
| Utiliser le fuseau horaire de l'expéditeur | Option permettant de transmettre des informations sur le fuseau horaire dans lequel se trouve l’expéditeur. Utilise Serveur MID ces informations pour s’adapter au fuseau horaire d’où proviennent les journaux. Cette option est pertinente lors de l’utilisation Splunk des redirecteurs universels. |
| Activer la compression | Option pour envoyer des journaux au format compressé. L’envoi de journaux dans un format compressé minimise la taille des données transférées, ce qui est important lorsqu’il s’agit de gros volumes de données de journaux. Cette option est pertinente lors de l’utilisation Splunk des redirecteurs universels et ne peut être utilisée que lorsque SSL/TLS est activé. |
Configuration avancée
| Champ | Description | Valeurs par défaut |
|---|---|---|
| Utiliser SSL/TLS | Option permettant d'utiliser SSL/TLS. Remarque : Pour envoyer des journaux dans un format compressé, SSL/TLS doit être activé. |
|
| Rechercher des noms d'hôtes | Option permettant d'effectuer une recherche DNS pour résoudre les adresses IP en noms d'hôtes. | faux |
| Nombre de threads par Boss | Nombre de threads qui gèrent les connexions. | 1 |
| Nombre de threads de l'agent | Nombre de threads qui géreront les données entrantes | 4 |
| Délai d'expiration de lecture en secondes | Délai d'expiration en secondes depuis la dernière lecture. Lorsque le délai expire, le système ferme le canal. | 30 |
| Fuseau horaire par défaut | Fuseau horaire par défaut des événements. Le système utilise cette valeur par défaut lorsque le journal ne spécifie pas de fuseau horaire. | GMT |
| Taux d'abandon du sous-exemple | Taux d'événements à abandonner. | -1 |
| Taux de réception du sous-exemple | Taux d'événements à recevoir. | -1 |
| Longueur maximale en octets | Longueur maximale des messages de journal en octets. | 32766 |
| Codage des caractères | Codage des caractères pour cette entrée de données. | UTF-8 |
| Abandonner si la file d'attente est saturée | Option permettant de sélectionner l'abandon des journaux s'il y a une charge sur le Serveur MID. |