Defina as configurações de ingestão de evento do Splunk Enterprise
Use as configurações de ingestão de evento do Splunk Enterprise para modificar as configurações predefinidas e seus valores de acordo com seus requisitos.
Antes de Iniciar
Função necessária: sn_si.ingestion_profile_admin
Procedimento
- Navegar até Tudo > Splunk Integration > Configurações do Splunk Integration.
-
No formulário, preencha os seguintes campos.
Tabela 1. Configurações do Splunk Integration Campo Descrição Número máximo de alertas a serem exibidos na criação do perfil. sn_sec_splunk_v2.max_alerts_to_display
Opção para definir o número máximo de alertas que você deseja exibir ao criar um perfil de evento. Por padrão, o valor é definido como 500.
Número máximo de incidentes de segurança a serem criados em um dia. sn_sec_splunk_v2.max_si_per_day
Opção para definir o número máximo de incidentes de segurança que podem ser criados em um dia. Por padrão, o valor é definido como 1000.
Número máximo de eventos a serem obtidos do Splunk por chamada. sn_sec_splunk_v2.max_events_per_call
Opção para definir o número máximo de eventos a serem recuperados do Splunk para cada chamada. Por padrão, o valor é definido como 100.
O número de dias que um item permanece na tabela de fila após concluir/errar para fins de informações ou depuração. sn_sec_splunk_v2.queue_item_expire
Opção para definir o número de dias para que um item permaneça na tabela de fila após a conclusão ou a ocorrência de erro devido a informações ou fins de depuração. Por padrão, o valor é definido como 14.
Número de dias para reter os dados de importação de evento, evento para tarefa e alertas disparados. sn_sec_splunk_v2.retention_period
Opção para determinar o número de dias que você deseja reter os dados de importação de evento, evento para tarefa e alertas disparados. Por padrão, o valor é definido como 30.
Ative esta configuração para atualizar as configurações de origem existentes do Splunk para suporte à autenticação baseada em token. Você precisará atualizar a configuração de integração com os detalhes do token depois que essa configuração estiver habilitada. sn_sec_splunk_v2.upgrade_existing_tile
Opção para atualizar a configuração de origem do Splunk existente para suporte à autenticação baseada em token de uma versão existente. Nota:Depois que você fizer upgrade para a nova versão, o campo de token ficará indisponível. Você precisa habilitar esta configuração para obter a autenticação baseada em token, após a qual você precisa atualizar a configuração de integração com detalhes do token.Por padrão, o valor é definido como Não
Nível de registro em log - depuração, informações, aviso, erro. sn_sec_splunk_v2.logging.detalhamento
Opção para definir o nível de registro em log (depurar, informações, aviso ou erro)
Duração em segundos da pesquisa do Splunk. sn_sec_splunk_v2.sid_ttl
Opção para definir o tempo em segundos que os resultados da pesquisa Splunk são mantidos. Por padrão, o valor é definido como 14.
Número de minutos de sobreposição a serem adicionados ao buscar os eventos do Splunk (para superar o atraso de indexação do Splunk). sn_sec_splunk_v2.overlap_time
Opção para especificar minutos adicionais a serem sobrepostos ao buscar eventos do Splunk, ajudando a contabilizar atrasos na indexação. Por padrão, o valor é definido como 0.
Tamanho do lote da regra de alerta a ser usado para disparar consultas de pesquisa do Splunk durante a ingestão. sn_sec_splunk_v2.rules_batch_size
Opção para definir o tamanho do lote para acionar consultas de pesquisa Splunk durante a ingestão. Por padrão, o valor é definido como 50.
Limite de eventos por alerta acionado para lidar com pico. sn_sec_splunk_v2.spike_events_limit
Opção para limitar o número de eventos processados por alerta acionado, ajudando a gerenciar picos no volume de eventos. Por padrão, o valor é definido como 1000.
O caractere delimitador para dividir os valores em mapeamentos de campo. sn_sec_splunk_v2.delimiter
Opção para especificar o caractere delimitador usado para dividir valores no mapeamento de campo. - Selecione Save (Salvar).