ServiceNow Event Ingestion Integration アドオンを設定する

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:6分

    • Splunk Enterprise コンソールまたは Splunk Cloud インスタンスに ServiceNow Event Ingestion Integration アドオンをインストールして設定します。

    始める前に

    重要:

    手動イベント転送プロファイルを作成して、Splunk コンソールからオンデマンドでアラートを転送し、ServiceNow インスタンスでセキュリティインシデントレスポンス (SIR) を作成します。詳細については、「 イベントプロファイルの作成と名前付け 」を参照し、Splunk V2 で同じことを実装します。

    このアドオンセットアップは、Splunk プロファイルの手動イベント転送を有効にするために必要です。特定のアドオンに対して最大 2 つの構成を作成できます。(Splunk プライマリ および Splunk セカンダリ)

    手動イベントの取り込みに必要な splunkbase からのアドオンプラグインをインストールする前に、 ServiceNow Store からこの統合用のアプリケーションがインストールされていることを確認します。ServiceNow Store から統合用のアプリケーションをインストールしていない場合は、「Splunk Enterprise Event Ingestion 統合用の ServiceNow アプリケーションのインストールと設定」を参照し、手順に従ってインストールします。

    必要なロール:ServiceNow AI Platform アドミニストレーター (admin)

    このタスクについて

    統合のために Splunk コンソールから手動でオンデマンドでイベントをエクスポートする場合は、Splunk コンソールで Splunkbase から ServiceNow Event Ingestion Integration アドオンをダウンロードして設定します。

    この ServiceNow 拡張アドオンは、 ServiceNow AI Platform インスタンスで手動でエクスポートされたイベントからセキュリティインシデントを作成できるようにするために必要です。この ServiceNow Event Ingestion Integration アドオンは splunkbase で利用できます。

    手動イベント転送の場合は、Splunk Enterprise コンソールで最大 2 つの異なる ServiceNow AI Platform エンドポイント (インスタンス) を特定できます。イベントをエンドポイントに手動で転送して、セキュリティインシデントを作成します。たとえば、ステージング (開発) インスタンスと本番インスタンスの両方を指定できます。個別のインスタンスを指定し、各インスタンスのプライマリおよびセカンダリワークフローに名前を付けることで、さまざまなイベントの転送先を選択できます。

    手順

    1. ServiceNow Event Ingestion Integration アドオンをまだインストールしていない場合は、次の手順に従ってインストールして構成します。
      1. Splunkbase から ServiceNow Event Ingestion Integration アドオンをダウンロードします。
      2. プロンプトが表示されたら、 Splunk Enterpriseを再起動します。
        ServiceNow Event Ingestion Integration アドオンが Splunk Enterprise Enterprise コンソールにインストールされている。次のステップは、アドオンを設定することです。
    2. アドオンを設定するには、次のステップを実行します。
      1. 関連エントリフォームで、 Splunk Enterpriseをクリックし、メニュードロップダウンリストの [アプリの管理] ギアアイコンを選択します。
      2. 表示されるアプリケーションのリストの [アクション] 列で、[ServiceNow イベントの取り込み統合セットアップ] を選択します。
        ServiceNow Event Ingestion Integration アドオンは、3 つの異なるタブで構成されています。
        • Splunk プライマリ:デフォルトまたはプライマリの Splunk 構成。
        • Splunk セカンダリ:(オプション) バックアップまたは 2 番目の Splunk 構成。
        • ログレベル:統合で生成されたレポートログのレベル (情報のタイプの名前)。
      3. フォームのフィールドに入力します。
        フィールド 説明
        ワークフローアクションラベル インスタンスの名前。

        これは、Splunk コンソールのアラートの [イベントアクション ] ドロップダウンのアクションになります。
        URL 前のワークフローアクションラベルフィールドに入力した ServiceNow インスタンスの URL。
        エンドポイント ベース API パス。

        このフィールドのデフォルトは /api/sn_sec_splunk_v2/event_ingestion です。
        認証タイプ API 要求に使用される認証方法。使用可能なオプションは次のとおりです。
        • ベーシック認証:ユーザー名とパスワードを使用して要求を認証します。
        • OAuth 2.0 認証:アクセストークンを使用して要求を認証します。
        ベーシック認証
        ユーザー名 ユーザーのユーザー名。

        手動イベント転送では、(sn_sec_splunk_v2.api_account_access) ロールを持つユーザーが、前の URL フィールドで指定されたインスタンスに存在する必要があります。
        パスワード ユーザーのパスワード。

        手動イベント転送では、(sn_sec_splunk_v2.api_account_access) ロールを持つユーザーが、前の URL フィールドで指定されたインスタンスに存在する必要があります。
        OAuth 2.0 認証
        クライアント ID ServiceNow インスタンスで作成されたアプリのクライアント ID。

        クライアント ID を取得する方法については、「 ServiceNow インスタンスでのアプリケーションレジストリの設定」を参照してください。
        クライアントシークレット ServiceNow インスタンスで作成されたアプリのクライアントシークレット。

        クライアントシークレットを取得する方法については、「 ServiceNow インスタンスでのアプリケーションレジストリの設定」を参照してください。
        リダイレクト URL

        この URL をコピーして、アプリケーションレジストリレコードの [リダイレクト URL] フィールドに貼り付けます。

        Splunk での ServiceNow Event Ingestion Integration の設定

      4. [保存] を選択します。
      5. [Splunk セカンダリ] タブを選択します。
      6. フォームのフィールドに入力します。
        フィールドは [Splunk プライマリ] タブと同じです。
      7. [保存] を選択します。
        注:
        特定のアドオンに対して最大 2 つの構成を作成できます。(ベーシック認証 と別の OAuth 2.0 認証)
      8. [ログレベル] タブを選択します。
      9. フォームのフィールドに入力します。
        表 : 1. ログ記録レベル
        フィールド 説明
        ログレベル 統合で生成されたレポートログのレベル (情報のタイプの名前)。値を次のオプションに更新することもできます。
        • info
        • error
        • warn
        • debug

        デフォルト値は INFO です。
      10. [保存] を選択します。

    次のタスク

    ServiceNow Event Ingestion Integration アドオンの使用