Splunk Champs de configuration d’entrée des données d’interrogation

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 3 minutes de lecture

    • Description des champs sur le formulaire de configuration des entrées de données d’interrogation Splunk .

    Configuration de base

    Tableau 1. Onglet Mise en route
    Champ Description
    Nom Nom de la nouvelle entrée de données Ce champ est obligatoire.
    Description Description de l'entrée de données.
    Exécuter sur Option permettant de choisir d’utiliser une grappe spécifique Serveur MID ou une Serveur MID grappe.
    MID (Uniquement lorsque le champ Exécuter sur est défini sur Serveur MID spécifique.)

    Serveur MID vers lequel les journaux sont diffusés.

    Ce champ est obligatoire.
    Grappe de serveurs MID

    (Uniquement lorsque Exécuter sur est défini sur Serveur MID grappe.)

    Grappe Serveur MID vers laquelle les données de journal sont extraites.

    L’entrée de données s’exécute sur une seule Serveur MID dans la grappe jusqu’à ce que cela Serveur MID échoue. Le système déplace ensuite toutes les tâches d’entrée de données vers la prochaine tâche disponible Serveur MID dans la grappe en fonction de l’ordre configuré.

    Remarque :
    • Analyse de l'intégrité des journaux ne prend en charge que les clusters de basculement Serveur MID . Dans ces clusters, plusieurs Serveurs MID sont regroupés pour la protection contre le basculement. Lors de la sélection d’une grappe à partir du formulaire d’entrée de données, la Serveur MID liste de grappes affiche uniquement les grappes de basculement.
    • La Serveur MID grappe ne doit inclure que Serveurs MID ceux qui prennent en charge l’authentification de base. mTLS n’est pas pris en charge pour l’ingestion de journaux.
    • L’ingestion de journaux doit être activée pour chacun Serveur MID des éléments de la grappe. Si l’ingestion de journal n’est pas activée pour l’actif Serveur MID, Analyse de l'intégrité des journaux l’active automatiquement.
    • Le nombre maximal par défaut d'entrées de données qui diffusent des journaux vers un seul Serveur MID est de 10. Un cluster passe la validation de capacité s’il en contient au moins un Serveur MID avec moins de 10 entrées de données en cours d’exécution, même lorsque celui-ci Serveur MID est en panne.
    Pour plus d’informations sur Serveur MID les grappes, voir Configurer une grappe de Serveur MID.

    Ce champ est obligatoire.
    Instance de service Instance de service à laquelle lier les données du journal. Ce champ est obligatoire.
    Remarque :
    S’il n’existe aucune instance de service pertinente, créez une instance de service et ajoutez-y des CI. Définissez l’état de la nouvelle instance de service sur Opérationnel.
    Transport Protocole utilisé pour diffuser des messages de journal vers votre instance ServiceNow.
    Nombre de sources Nombre de sources de journal créées par cette entrée de données.
    Statut État de l'entrée de données.
    Désactivé depuis Heure à laquelle l'entrée de données s'est arrêtée ou a échoué.
    Heure du dernier journal Heure à laquelle le dernier journal a été diffusé à l'entrée de données.

    Configuration avancée

    Tableau 2. Onglet Transport
    Champ Description
    URL serveur URL utilisée pour accéder à l’API Splunk REST.
    Requête La requête Splunk utilise pour rechercher vos données.
    Type d'authentification Le type d’authentification.
    • Authentification de base : envoie un nom d’utilisateur et un mot de passe à chaque demande HTTP. L’authentification de base est plus simple que l’authentification basée sur un jeton, mais moins sécurisée.
    • Authentification par jeton : le client obtient un jeton auprès d’un serveur d’authentification et l’utilise pour s’authentifier auprès Splunk de .
    Splunk Alias d’informations d’identification d’interrogation L’alias d’informations d’identification à utiliser.

    Pour spécifier un Splunk alias d’informations d’identification d’interrogation, sélectionnez l’icône de loupe, puis sélectionnez un alias d’informations d’identification existant dans la liste Alias de connexion et d’informations d’identification ou sélectionnez Nouveau pour créer un nouvel enregistrement. L’alias d’informations d’identification sélectionné peut contenir une information d’identification d’authentification de base et une information d’identification d’authentification par jeton.

    Pour plus d’informations sur la création d’un alias d’informations d’identification, consultez Alias d’informations d’identification pour Discovery.
    De Date et heure à partir desquelles Splunk la recherche porte sur les données.
    À Date et heure auxquelles Splunk la recherche porte sur les données.
    Tableau 3. Onglet Avancé
    Champ Description
    Nombre maximal de documents par requête Nombre maximal de documents récupérés à chaque fois que des données de journal sont extraites à partir de Splunk. Par défaut : 10 000.
    Splunk Délai d’expiration de la demande (secondes) La durée maximale, en secondes, autorisée pour la récupération des données avant l’expiration de la demande.