Configurer les paramètres d’ingestion d’événements d’entreprise Splunk
Utilisez les paramètres d’ingestion d’événements d’entreprise Splunk pour modifier les configurations prédéfinies et leurs valeurs en fonction de vos besoins.
Avant de commencer
Rôle requis : sn_si.ingestion_profile_admin
Procédure
- Accédez à la Tous > Intégration Splunk > Paramètres de Splunk Integration.
-
Renseignez les champs du formulaire.
Tableau 1. Paramètres de Splunk Integration Champ Description Nombre maximal d’alertes à afficher dans la création de profil. sn_sec_splunk_v2.max_alertes_à_affichage
Option permettant de définir le nombre maximal d’alertes que vous souhaitez afficher lors de la création d’un profil d’événement. Par défaut, la valeur est définie sur 500.
Nombre maximal d’incidents de sécurité à créer en une journée. sn_sec_splunk_v2.max_si_per_day
Option permettant de définir le nombre maximal d’incidents de sécurité qui peuvent être créés en une journée. Par défaut, la valeur est définie sur 1 000.
Nombre maximal d’événements à extraire de Splunk par appel. sn_sec_splunk_v2.max_événements_par_appel
Option permettant de définir le nombre maximal d’événements à récupérer à partir de Splunk pour chaque appel. Par défaut, la valeur est 100.
Nombre de jours pendant lesquels un élément reste dans la table des files d’attente après s’être terminé ou avoir généré des erreurs à des fins d’information ou de débogage. sn_sec_splunk_v2.queue_item_expire
Option permettant de définir le nombre de jours pendant lesquels un élément doit rester dans la table des files d’attente après l’achèvement ou une erreur survenue en raison de l’information ou du débogage. Par défaut, la valeur est définie sur 14.
Nombre de jours de conservation des données d’importation d’événement, d’événement à tâche et d’alertes déclenchées. sn_sec_splunk_v2.retention_period
Option permettant de déterminer le nombre de jours pendant lesquels vous souhaitez conserver les données d’importation d’événement, d’événement à tâche et d’alertes déclenchées. Par défaut, la valeur est définie sur 30.
Activez ce paramètre pour mettre à jour les configurations de source Splunk existantes pour la prise en charge de l’authentification basée sur les jetons. Vous devrez mettre à jour la configuration d’intégration avec les détails du jeton une fois ce paramètre activé. sn_sec_splunk_v2.upgrade_existing_tile
Option permettant de mettre à jour la configuration source Splunk existante sur la prise en charge de l’authentification basée sur les jetons à partir d’une version existante. Remarque :Après la mise à niveau vers la nouvelle version, le champ de jeton devient indisponible. Vous devez activer ce paramètre pour obtenir l’authentification basée sur le jeton, après quoi vous devez mettre à jour la configuration d’intégration avec les détails du jeton.Par défaut, la valeur est définie sur Non.
Niveau de journalisation : débogage, informations, avertissement, erreur. sn_sec_splunk_v2.logging.verbosité
Durée de vie de recherche Splunk en secondes. sn_sec_splunk_v2.sid_ttl
Par défaut, la valeur est définie sur 14.
Nombre de minutes de chevauchement à ajouter lors de l’extraction des événements à partir de Splunk (pour surmonter le délai d’indexation de Splunk). sn_sec_splunk_v2.overlap_time
Par défaut, la valeur est définie sur 0.
Taille du lot de la règle d'alerte à utiliser pour déclencher des requêtes de recherche Splunk pendant l'ingestion. sn_sec_splunk_v2.rules_batch_size
Par défaut, la valeur est définie sur 50.
Limite d'événements par alerte déclenchée pour gérer le pic. sn_sec_splunk_v2.spike_events_limit
Par défaut, la valeur est définie sur 1 000.
Le caractère du délimiteur pour diviser les valeurs dans les mappages de champs. sn_sec_splunk_v2.délimiteur
- Sélectionnez Enregistrer.