Konfigurieren Sie die Einstellungen für die Splunk Enterprise-Ereigniserfassung
Verwenden Sie die Einstellungen für die Splunk Enterprise-Ereigniserfassung, um die voreingestellten Konfigurationen und ihre Werte gemäß Ihren Anforderungen zu ändern.
Vorbereitungen
Erforderliche Rolle: sn_si.ingestion_profile_admin
Prozedur
- Navigieren zu Alle > Splunk Integration > Einstellungen von Splunk Integrationan.
-
Füllen Sie die Felder im Formular aus.
Tabelle : 1. Einstellungen von Splunk Integration Feld Beschreibung Maximale Anzahl von Warnungen, die bei der Profilerstellung angezeigt werden sollen. sn_sec_splunk_v2.max_Alerts_to_Display
Option zum Definieren der maximalen Anzahl von Warnungen, die Sie beim Erstellen eines Ereignisprofils anzeigen möchten. Standardmäßig ist der Wert auf 500 festgelegt.
Maximale Anzahl von Security Incidents, die an einem Tag erstellt werden sollen. sn_sec_splunk_v2.max_si_per_day
Option zum Definieren der maximalen Anzahl von Security Incidents, die an einem Tag erstellt werden können. Standardmäßig ist der Wert auf 1000 festgelegt.
Maximale Anzahl von Ereignissen, die pro Aufruf aus Splunk abgerufen werden sollen. sn_sec_splunk_v2.max_Events_per_call
Option zum Definieren der maximalen Anzahl von Ereignissen, die für jeden Anruf aus Splunk abgerufen werden sollen. Standardmäßig ist der Wert auf 100 festgelegt.
Die Anzahl der Tage, die ein Element in der Warteschlangentabelle verbleibt, nachdem es zu Informations- oder Debugging-Zwecken abgeschlossen/fehler gemacht hat. sn_sec_splunk_v2.Queue_item_expire
Option zum Definieren der Anzahl der Tage, die ein Element nach Abschluss oder Auftreten eines Fehlers aufgrund von Informationen oder Debugging-Zwecken in der Warteschlangentabelle verbleiben soll. Standardmäßig ist der Wert auf 14 festgelegt.
Anzahl der Tage, um den Ereignisimport, das Ereignis in die Aufgabe und die Daten der ausgelösten Warnungen beizubehalten. sn_sec_splunk_v2.Retention_period
Option zum Bestimmen der Anzahl der Tage, die Sie den Ereignisimport, das Ereignis zu Aufgabe und die Daten ausgelöster Warnungen beibehalten möchten. Standardmäßig ist der Wert auf 30 festgelegt.
Aktivieren Sie diese Einstellung, um vorhandene Splunk-Quellkonfigurationen für die Unterstützung der tokenbasierten Authentifizierung zu aktualisieren. Sie müssen die Integrationskonfiguration mit Tokendetails aktualisieren, sobald diese Einstellung aktiviert ist. sn_sec_splunk_v2.Upgrade_existing_TIle
Option zum Aktualisieren der vorhandenen Splunk-Quellkonfiguration auf die tokenbasierte Authentifizierungsunterstützung von einer vorhandenen Version. Hinweis:Nach dem Upgrade auf die neue Version ist das Token-Feld nicht mehr verfügbar. Sie müssen diese Einstellung aktivieren, um die tokenbasierte Authentifizierung abzurufen. Danach müssen Sie die Integrationskonfiguration mit Tokendetails aktualisieren.Standardmäßig ist der Wert auf Nein festgelegt
Protokollierungsebene: Debuggen, Info, Warnung, Fehler. sn_sec_splunk_v2.Logging.verbosity
Gültigkeitsdauer der Splunk-Suche in Sekunden. sn_sec_splunk_v2.sid_ttl
Standardmäßig ist der Wert auf 14 festgelegt.
Anzahl der Minuten, die beim Abrufen der Ereignisse aus Splunk hinzugefügt werden sollen (um die Indexierungsverzögerung von Splunk zu überwinden). sn_sec_splunk_v2.overlap_time
Standardmäßig ist der Wert auf 0 festgelegt.
Batchgröße der Warnungsregel, die zum Auslösen von Splunk-Suchabfragen während der Erfassung verwendet werden soll. sn_sec_splunk_v2.rules_batch_size
Standardmäßig ist der Wert auf 50 festgelegt.
Ereignisgrenzwert pro ausgelöster Warnung zur Behandlung von Spitzen. sn_sec_splunk_v2.Spike_Events_limit
Standardmäßig ist der Wert auf 1000 festgelegt.
Das Trennzeichen zum Aufteilen der Werte in Feldzuordnungen. sn_sec_splunk_v2.delimiter
- Wählen Sie Speichern.