複数レコードのカスタムフィールド Splunk アラートの作成

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:1分

    • カスタムフィールドを使用して複数レコードの Splunk アラートを作成するには、入力する ServiceNow 列に一致するように設計された検索をビルドする必要があります。

    始める前に

    必要なロール:sn_si.admin

    手順

    1. [検索] に移動します。
    2. [検索] ボックスで、レコードデータを生成する検索を作成します。
      推奨される検索条件については、を参照してください。
    3. [名前を付けて保存] をクリックし、[アラート] を選択します。
    4. 必要に応じて、名前、権限、およびスケジュールを設定します。
    5. [アクションの追加] をクリックします。
    6. 次のいずれかを選択します。
      • 検索の結果ごとに 1 つのイベントを作成するには、[複数の ServiceNow セキュリティイベントを作成 (Create Multiple ServiceNow Security Events)] を選択します。
      • 検索の結果ごとに 1 つのインシデントを作成するには、[複数の ServiceNow セキュリティインシデントを作成 (Create Multiple ServiceNow Security Incidents)] を選択します。
    7. 必要に応じてデフォルトを設定します。
      検索結果のフィールドが空白であるか存在しない場合は、デフォルトが使用されます。結果に値がある場合、デフォルトは上書きされます。