Splunk Campos de configuração de entrada de dados de pesquisa

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Descrição dos campos no Splunk Formulário de configuração de entrada de dados de pesquisa.

    Configuração básica

    Tabela 1. Guia Introdução
    Campo Descrição
    Nome Nome da nova entrada de dados. Este campo é obrigatório.
    Descrição Descrição da entrada de dados.
    Executar nos(as) Opção para selecionar se um específico deve ser usado MID Server ou um MID Server cluster.
    MID (Somente quando Executar em O campo está definido como MID Server específico.)

    . MID Server para o qual os logs são transmitidos.

    Este campo é obrigatório.
    Cluster do MID Server

    (Somente quando Executar em está definido como MID Server cluster.)

    . MID Server cluster para o qual os dados de log são extraídos.

    A entrada de dados é executada em um único MID Server no cluster até isso MID Server falhas. Em seguida, o sistema move todas as tarefas de entrada de dados para as próximas disponíveis MID Server no cluster de acordo com a ordem configurada.

    Nota:
    • Análise de logs de integridade oferece suporte somente a failover MID Server clusters. Nesses clusters, vários MID Servers são agrupados para proteção de failover. Ao selecionar um cluster no formulário de entrada de dados, o MID Server a lista de clusters exibe somente clusters de failover.
    • . MID Server o cluster deve incluir somente MID Servers que oferecem suporte à autenticação básica. MTLS não é compatível com ingestão de log.
    • A ingestão de log deve estar habilitada para cada MID Server no cluster. Se a ingestão de log não estiver habilitada para o ativo MID Server, Análise de logs de integridade habilita automaticamente.
    • O número máximo padrão de entradas de dados que transmitem logs para um único MID Serveré 10. Um cluster passa na validação de capacidade se contiver pelo menos um MID Server com menos de 10 entradas de dados em execução, mesmo quando isso é feito MID Server está inativo.
    Para obter mais informações sobre MID Server clusters, consulte Configure um cluster do MID Server .

    Este campo é obrigatório.
    Instância do serviço A instância de serviço à qual vincular os dados de log. Este campo é obrigatório.
    Nota:
    Se nenhuma instância de serviço relevante existir, crie uma instância de serviço E adicionar ICs a ele. Defina o status da nova instância de serviço como Operacional.
    Transporte O protocolo usado para transmitir mensagens de log para seu ServiceNow instância.
    Contagem de fontes O número de origens de log que esta entrada de dados criou.
    Status Status da entrada de dados.
    Desativado desde A hora em que a entrada de dados parou ou falhou.
    Hora do último log A hora em que o último log foi transmitido na entrada de dados.

    Configuração avançada

    Tabela 2. Guia Transporte
    Campo Descrição
    URL do servidor O URL usado para acessar o. Splunk REST API.
    Consulta A consulta Splunk usa para pesquisar seus dados.
    Tipo de autenticação O tipo de autenticação.
    • Autenticação básica: Envia um nome de usuário e senha com cada solicitação HTTP. A autenticação básica é mais simples do que a autenticação baseada em token, mas menos segura.
    • Autenticação de token: O cliente obtém um token de um servidor de autenticação e usa esse token para autenticar Splunk.
    Splunk Alias de credencial de pesquisa O alias de credencial a ser usado.

    Especifique um Splunk Consulte o alias de credencial selecionando o ícone de lupa e, em seguida, selecionando um alias de credencial existente no Aliases de conexão e credencial ou selecionando Novo para criar um novo registro. O alias de credencial selecionado pode conter uma credencial de Autenticação básica e uma credencial de Autenticação de token.

    Para obter informações sobre como criar um alias de credencial, consulte Aliases de credencial para Descoberta .
    De A data e a hora a partir das quais Splunk pesquisa os dados.
    Para A data e a hora até as quais Splunk pesquisa os dados.
    Tabela 3. Guia Avançado
    Campo Descrição
    Máximo de documentos por consulta O número máximo de documentos recuperados cada vez que os dados de log são obtidos Splunk. Padrão: 10 000.
    Splunk tempo limite da solicitação (segundos) O tempo máximo, em segundos, permitido para a recuperação de dados antes que a solicitação expire.