Splunk Poller 통합 구성 필드

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 02월 24일
  • 읽기3분

    • 에 대한 상태 로그 분석폴러 통합 구성 양식의 필드에 대한 설명입니다Splunk.

    표 1. 제공자 상세 정보
    필드 설명
    통합 이름 이 통합의 고유 이름입니다. 이 필드는 필수입니다.
    주:
    이 필드를 채우면 양식에 표시된 일반 이름이 입력된 이름과 일치하도록 자동으로 조정됩니다.
    설명 통합을 식별하는 데 도움이 되도록 통합에 대한 간략한 설명을 추가하는 옵션입니다.
    서비스 인스턴스 로그 데이터를 바인딩할 서비스 인스턴스입니다. 이 필드는 필수입니다.
    다음에서 실행 특정 MID 서버 또는 MID 서버 클러스터를 사용할지 여부를 결정하는 옵션입니다.

    이 기능은 ServiceNow Store에서 제공되는 상태 로그 분석 애플리케이션(버전 26.0.17 - 2023년 2월 이후)에서 지원됩니다.
    MID 서버 이름

    (다음에서 실행 필드가 특정 MID 서버로 설정된 경우에만)

    Apache Kafka에서 로그 데이터를 끌어오는 MID 서버입니다.
    주:
    • 기본 인증을 지원하는 MID 서버만 선택할 수 있습니다. mTLS를 지원하는 MID 서버는 목록에 표시되지 않습니다.
    • 단일 MID 서버에 로그를 스트리밍하는 최대 데이터 입력 수의 기본값은 10입니다. MID 서버 속성에서 이 수를 수정할 수 있습니다.
    • 선택한 MID 서버에 대해 로그 수집이 활성화되지 않은 경우 상태 로그 분석가 로그 수집을 자동으로 활성화합니다.
    이 필드는 필수입니다.
    MID 서버 클러스터

    ( 실행 위치 필드가 MID 서버 클러스터)

    로그 데이터를 끌어오는 대상인 MID 서버 클러스터입니다.

    데이터 입력은 MID 서버가 실패할 때까지 클러스터의 단일 MID 서버에서 실행됩니다. 그런 다음, 시스템은 구성된 순서에 따라 모든 데이터 입력 작업을 클러스터에서 사용 가능한 다음 MID 서버로 이전합니다.

    이 기능은 ServiceNow Store에서 제공되는 상태 로그 분석 애플리케이션(버전 26.0.17 - 2023년 2월 이후)에서 지원됩니다.

    주:
    • 상태 로그 분석는 페일오버 MID 서버 클러스터만 지원합니다. 이러한 클러스터에서는 페일오버 보호를 위해 여러 개의 MID 서버가 함께 그룹화됩니다. 데이터 입력 양식에서 클러스터를 선택할 때 MID 서버 클러스터 목록에는 페일오버 클러스터만 표시됩니다.
    • MID 서버 클러스터에는 기본 인증을 지원하는 MID 서버만 포함되어야 합니다. mTLS는 로그 수집에 지원되지 않습니다.
    • 클러스터의 MID 서버별로 로그 수집을 활성화해야 합니다. 활성 MID 서버에 대해 로그 수집이 활성화되지 않은 경우 상태 로그 분석가 로그 수집을 자동으로 활성화합니다.
    • 단일 MID 서버에 로그를 스트리밍하는 최대 데이터 입력 수의 기본값은 10입니다. 클러스터에 데이터 입력이 10개 미만인 MID 서버가 하나 이상 있는 경우 MID 서버가 다운된 경우에도 클러스터는 용량 확인을 통과합니다.
    MID 서버 클러스터에 대한 자세한 내용은 MID 서버 클러스터 구성을 참조하십시오.

    이 필드는 필수입니다.
    표 2. 데이터 검색 방법 설정
    필드 설명
    REST API 서버 URL REST API에 액세스하는 데 사용되는 URL입니다 Splunk .
    주:
    • 기본적으로 Splunk의 REST API 엔드포인트는 포트 8089에서 사용할 수 있습니다. 따라서 REST API의 Splunk 기본 엔드포인트는 http://<splunk-server>:8089입니다.
    • REST API 엔드포인트는 프론트엔드 엔드포인트와 다릅니다.
    인증 방법 사용할 자격 증명 별칭입니다.

    통합은 Splunk 인증을 위해 자격 증명에 대한 직접 참조 대신 자격 증명 별칭을 사용합니다. 자격 증명 별칭은 기본 인증 자격 증명을 포함하는 별칭과 토큰 인증 자격 증명을 포함하는 별칭 등 유형별로 나열됩니다. 별칭에 두 자격 증명 유형이 모두 있으면 두 범주 모두에 나타납니다.

    자격 증명 별칭 관리를 선택하여 자격 증명 별칭을 관리하고 연결 및 자격 증명 별칭 목록에 새 자격 증명 별칭을 만들 수 있습니다.
    쿼리 쿼리는 Splunk 데이터를 검색하는 데 사용합니다.

    예를 들어 sourcetype="adc_access_log" 쿼리는 소스 유형이 adc_access_log 모든 로그를 검색하도록 Poller 통합에 Splunk 지시합니다.
    표 3. 고급 설정
    필드 설명
    쿼리당 최대 문서 에서 로그 데이터를 가져올 Splunk때마다 검색되는 최대 문서 수입니다. 기본값: 10,000.
    Splunk 요청 시간 제한(초) 요청 시간이 초과되기 전에 데이터를 검색할 수 있는 최대 시간(초)입니다.