Kopieren Sie ein Ereignisprofil für Splunk Enterprise Event Ingestion Integration
Kopieren Sie ein vorhandenes Profil und die zugehörigen Einstellungen, anstatt neue Profile zu erstellen. Wenn Sie mehrere Profile erstellen und die Einstellungen eines vorhandenen Profils wiederverwenden möchten, sollten Sie möglicherweise Alarmprofile kopieren, um Zeit zu sparen.
Vorbereitungen
Erforderliche Rolle: sn_si.ingestion_profile_admin
Warum und wann dieser Vorgang ausgeführt wird
Das Kopieren eines vorhandenen Profils und der zugehörigen Einstellungen ist optional.
Wenn Sie ein Profil kopieren, wird der Profilname anfänglich geändert, um doppelte Profile zu vermeiden. Darüber hinaus ist das kopierte Profil deaktiviert (falsch), sodass es vor Abschluss der Konfiguration nicht versehentlich aktiviert wird. Kopieren Sie Profile, und verwenden Sie vorhandene Zuordnungen für Security Incidents, die Sie bereits in der Vorschau angezeigt und verifiziert haben.
Prozedur
-
In Splunk Liste „Ereignisprofile“, die angezeigt wird, wählen Sie ein Profil aus, das Sie kopieren möchten, und klicken Sie in der Auswahlliste Aktionen für ausgewählte Zeilen auf Kopieren .
Das Profil wird kopiert und in der Liste angezeigt. Die Kopie verfügt über alle Einstellungen des ursprünglichen Profils, einschließlich der Zuordnungs- und Planungskonfiguration. Der Name des Profils enthält Kopie. Obwohl das ursprüngliche Profil aktiviert ist ( Wahr ), die Kopie ist zu diesem Zeitpunkt deaktiviert ( Falsch ). Möglicherweise möchten Sie Werte des kopierten Profils bearbeiten und umbenennen, damit die Konfigurationseinstellungen nach Bedarf auf das neue Profil angewendet werden.
Sie haben die Einstellungen erfolgreich aus einem vorhandenen Profil in ein neues Profil kopiert.
Nächste Maßnahme
Sie werden aufgefordert, das neue Profil zu aktivieren (zu aktivieren), nachdem Sie die Konfigurationsschritte abgeschlossen haben.