Splunk Enterprise イベントの取り込み設定の構成
Splunk エンタープライズイベントの取り込み設定を使用して、事前設定された構成とその値を要件に従って変更します。
始める前に
必要なロール:sn_si.ingestion_profile_admin
注:
sn_si.admin ロールはデフォルトで必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミンが利用できるすべての操作を実行できます。
手順
- 移動先 すべて > Splunk Integration > Splunk Integration の設定.
-
フォームの各フィールドに入力します。
表 : 1. Splunk Integration 設定 フィールド 説明 プロファイル作成時に表示されるアラートの最大数。 sn_sec_splunk_v2.max_alerts_to_display
イベントプロファイルの作成時に表示するアラートの最大数を定義するオプション。 デフォルト値は 500 に設定されています。
1 日に作成されるセキュリティインシデントの最大数。 sn_sec_splunk_v2.max_si_per_day
1 日に作成できるセキュリティインシデントの最大数を定義するオプション。 デフォルト値は 1000 に設定されています。
呼び出しごとに Splunk からフェッチするイベントの最大数。 sn_sec_splunk_v2.max_events_per_call
呼び出しごとに Splunk から取得するイベントの最大数を定義するオプション。 デフォルト値は 100 に設定されています。
情報提供またはデバッグの目的で、完了/エラーが発生した後にアイテムがキューテーブルに保持される日数。 sn_sec_splunk_v2.queue_item_expire
情報提供またはデバッグの目的で、完了またはエラー発生後にアイテムがキューテーブルに保持される日数を定義するオプション。 デフォルト値は 14 に設定されています。
イベントインポート、タスクに対するイベント、および発生したアラートデータを保持する日数。 sn_sec_splunk_v2.retention_period
イベントインポート、タスクに対するイベント、および発生したアラートデータを保持する日数を決定するオプション。 デフォルト値は 30 に設定されています。
トークンベースの認証をサポートする既存の Splunk ソース構成を更新するには、この設定をアクティブ化します。この設定を有効にしたら、トークンの詳細を使用して統合構成を更新する必要があります。 sn_sec_splunk_v2.upgrade_existing_tile
既存のバージョンからトークンベースの認証をサポートする既存の Splunk ソース構成を更新するオプション。 注:新しいバージョンにアップグレードすると、トークンフィールドは使用できなくなります。トークンベースの認証を取得するには、この設定を有効にし、その後、トークンの詳細を使用して統合構成を更新する必要があります。デフォルト値は [いいえ] に設定されています。
ロギングレベル - デバッグ、情報、警告、エラー。 sn_sec_splunk_v2.logging.verbosity
Splunk 検索の存続時間 (秒)。 sn_sec_splunk_v2.sid_ttl
デフォルト値は 14 に設定されています。
Splunk からイベントをフェッチする際に追加する重複分数 (Splunk からのインデックス作成遅延を克服するため)。 sn_sec_splunk_v2.overlap_time
デフォルト値は 0 に設定されています。
取り込み中に Splunk 検索クエリを起動するために使用するアラートルールのバッチサイズ。 sn_sec_splunk_v2.rules_batch_size
デフォルト値は 50 に設定されています。
スパイクを処理するためのトリガーされたアラートごとのイベント制限。 sn_sec_splunk_v2.spike_events_limit
デフォルト値は 1000 に設定されています。
フィールドマッピングで値を分割する区切り文字 sn_sec_splunk_v2.delimiter
- [Save (保存)] を選択します。