Copier Splunk Enterprise Event Ingestion des profils d’une instance à une autre à l’aide de la fonction d’exportation/importation

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Vous pouvez exporter et importer Splunk Enterprise Event Ingestion des paramètres de profil d’une Now Platform instance à une autre Now Platform .

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Cette fonctionnalité permet à l’administrateur de sécurité de copier des profils qui ont été testés et vérifiés sur une Now Platform instance, par exemple en non-production, vers une autre Now Platform instance, par exemple en production, sans avoir besoin de refaire tous les paramètres de configuration. Les paramètres exportés et importés incluent le nom de profil, les règles de corrélation, les mappages, les filtres, les critères d’agrégation, les traductions de champs, les exemples de données extraites, la planification et les informations sur la source des vignettes de configuration.

    Remarque :
    Lorsque vous exportez un type de profil de transfert d’événements manuel, les données de pièce jointe utilisées pour le mappage des champs d’exemple sont copiées, mais le fichier de pièce jointe lui-même n’est pas exporté.

    Procédure

    1. Accédez à la Tout > Splunk Integration > Profils d’événements Splunk.
    2. Sélectionnez un profil que vous souhaitez exporter vers une autre Now Platform instance.
      Vous pouvez sélectionner plusieurs profils pour l’exportation.
    3. Dans le menu Actions, cliquez sur Exporter.
    4. Une fois que le message d’exportation terminée s’affiche, cliquez sur Télécharger.
      L’illustration suivante montre l’exportation d’un Splunk profil (profil manuel 2) à partir de votre Now Platform instance (psand.service-now.com).Exportation de profils Splunk.

      Le fichier payload.xml exporté est téléchargé sur votre ordinateur. Le fichier contient le nom du profil, les règles de corrélation, les mappages, les filtres, les critères d’agrégation, les traductions de champs, les exemples de données extraits, la planification et les informations sur la source des vignettes de configuration. Lorsque vous sélectionnez et téléchargez plusieurs profils, ils apparaissent dans le même fichier payload.xml.

      Vous pouvez maintenant procéder à l’importation du profil dans une autre Now Platform instance.

    5. Accédez à la Splunk Integration > Profils d’événements Splunk.
    6. Cliquez sur Importer.
    7. Cliquez sur Choisir un fichier et sélectionnez le fichier XML sur votre ordinateur.
    8. Cliquez sur Charger.
    9. Cliquez sur Fermer et recharger les profils.
      L’illustration suivante montre l’importation d’un Splunk profil (profil manuel 2) de l’instance Now Platform (psand.service-now.com) vers une autre Now Platform instance (ppsand.service-now.com).

      Importation de profils Splunk.

      Vous avez importé le profil avec succès à partir d’une autre Now Platform instance.

      Vérifiez que les paramètres de configuration de la source exportée (Splunk compte API et Splunk URL du serveur) et du serveur MID sont valides et disponibles dans l’instance importée Now Platform . Mettez à jour votre Splunk Enterprise Event Ingestion configuration si nécessaire.

    10. Facultatif : Vérifiez les paramètres du serveur MID après l’importation d’un profil.
    11. Facultatif : Accédez à la Opérations de sécurité > Configurations d'intégration.
    12. Facultatif : Sélectionnez la vignette de Splunk Enterprise Event Ingestion configuration, puis cliquez sur Mettre à jour.
    13. Facultatif : Examinez et mettez à jour les détails de la source et du serveur MID selon vos besoins.