Configurar SplunkEntradas de dados de pesquisa

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Configure uma entrada de dados que extrai periodicamente dados de log do Splunkusando uma consulta.

    Antes de Iniciar

    • Certifique-se de que um MID Server Está instalado e configurado com a capacidade de ingestão de log habilitada.

      Configuração do MID Server com a capacidade de ingestão de log habilitada.

      Importante:
      Análise de logs de integridade Não é compatível com IPv6. Para trabalhar com a aplicação, configure o. MID ServerPara IPv4.
    • . MID ServerO endereço IP é exposto por conversão de endereço de rede (NAT), um balanceador de carga ou um dispositivo semelhante, ele deve ter um endereço IP público. Em MID Serverpropriedades, adicione uma propriedade chamada mid.public_ipCom o endereço IP público como o valor. Para obter mais informações, consulte Crie uma propriedade do MID Server .
    • Para obter informações sobre como enviar seus logs criptografados usando SSL TLS, consulte Streaming de dados com rsyslog e Filebeat usando SSL [KB0866319] artigo no Now SupportBase de conhecimento.

    Função necessária: evt_mgmt_admin

    Procedimento

    1. Navegar até Tudo > Análise de logs de integridade > Entrada de dados > Entradas de dados.
    2. Na página Entradas de dados, selecione Novo .
    3. Escolha o. SplunkEntrada de dados de pesquisa.
    4. No formulário, preencha os campos.
      Para obter uma descrição dos campos, consulte Splunk Campos de configuração de entrada de dados de pesquisa.
    5. Opcional: Selecione Avançado para definir campos de configuração adicionais.
      Em Guia Transporte e. Guia Avançado , preencha os campos. Para obter uma descrição dos campos, consulte Splunk Campos de configuração de entrada de dados de pesquisa.
    6. Selecione Salvar.
      Análise de logs de integridade Adiciona o registro de entrada de dados à tabela Entradas de dados.
    7. Certifique-se de que a entrada de dados esteja configurada corretamente selecionando Conexão de teste .
      Análise de logs de integridadetenta conectar o. MID Serverpara o repositório de dados. Se a entrada de dados estiver configurada para ser executada em um MID Servercluster, o sistema tenta conectar todos os MID Serverscontido no cluster para o repositório. O cluster passa no teste se pelo menos um dos seus MID Serversconecta-se.
      Nota:
      Você só pode publicar a configuração de entrada de dados quando a conexão for criada com sucesso.
      • Se a conexão foi estabelecida, o. Conexão de teste o botão está desligado e o. Publicar o botão está habilitado.
      • Se a conexão falhar, o motivo da falha será exibido no Mensagem de erro campo. Resolva o problema, selecione Salvar se você modificou a configuração e selecione Conexão de teste para testar a conexão novamente.
      Nota:
      Você pode reverter para a última configuração publicada selecionando Reverter mudanças . Esta opção só está disponível quando você está modificando uma configuração que foi publicada anteriormente.
    8. Selecione Publicar para publicar a entrada de dados no MID Server.