Defina as configurações de ingestão de evento do Splunk Enterprise

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Use as configurações de ingestão de evento do Splunk Enterprise para modificar as configurações predefinidas e seus valores de acordo com seus requisitos.

    Antes de Iniciar

    Função necessária: sn_si.ingestion_profile_admin

    Nota:
    Usuários com a função sn_si.admin podem executar todas as operações disponíveis para um administrador de perfil, já que a função sn_si.admin herda as permissões necessárias por padrão.

    Procedimento

    1. Navegar até Tudo > Splunk Integration > Configurações do Splunk Integration.
    2. No formulário, preencha os campos.
      Tabela 1. Configurações do Splunk Integration
      Campo Descrição
      Número máximo de alertas a serem exibidos na criação do perfil.

      sn_sec_splunk_v2.max_alerts_to_display

      		 Opção para definir o número máximo de alertas que você deseja exibir ao criar um perfil de evento.

      Por padrão, o valor é definido como 500.
      Número máximo de incidentes de segurança a serem criados em um dia.

      sn_sec_splunk_v2.max_si_per_day

      		 Opção para definir o número máximo de incidentes de segurança que podem ser criados em um dia.

      Por padrão, o valor é definido como 1000.
      Número máximo de eventos a serem obtidos do Splunk por chamada.

      sn_sec_splunk_v2.max_events_per_call

      		 Opção para definir o número máximo de eventos a serem recuperados do Splunk para cada chamada.

      Por padrão, o valor é definido como 100.
      O número de dias que um item permanece na tabela de fila após concluir/errar para fins de informações ou depuração.

      sn_sec_splunk_v2.queue_item_expire

      		 Opção para definir o número de dias para que um item permaneça na tabela de fila após a conclusão ou a ocorrência de erro devido a informações ou fins de depuração.

      Por padrão, o valor é definido como 14.
      Número de dias para reter os dados de importação de evento, evento para tarefa e alertas disparados.

      sn_sec_splunk_v2.retention_period

      		 Opção para determinar o número de dias que você deseja reter os dados de importação de evento, evento para tarefa e alertas disparados.

      Por padrão, o valor é definido como 30.
      Ative esta configuração para atualizar as configurações de origem existentes do Splunk para suporte à autenticação baseada em token. Você precisará atualizar a configuração de integração com os detalhes do token depois que essa configuração estiver habilitada.

      sn_sec_splunk_v2.upgrade_existing_tile

      		 Opção para atualizar a configuração de origem do Splunk existente para suporte à autenticação baseada em token de uma versão existente.
      Nota:
      Depois que você fizer upgrade para a nova versão, o campo de token ficará indisponível. Você precisa habilitar esta configuração para obter a autenticação baseada em token, após a qual você precisa atualizar a configuração de integração com detalhes do token.

      Por padrão, o valor é definido como Não
      Nível de registro em log - depuração, informações, aviso, erro.

      sn_sec_splunk_v2.logging.detalhamento
      Duração em segundos da pesquisa do Splunk.

      sn_sec_splunk_v2.sid_ttl

      Por padrão, o valor é definido como 14.
      Número de minutos de sobreposição a serem adicionados ao buscar os eventos do Splunk (para superar o atraso de indexação do Splunk).

      sn_sec_splunk_v2.overlap_time

      Por padrão, o valor é definido como 0.
      Tamanho do lote da regra de alerta a ser usado para disparar consultas de pesquisa do Splunk durante a ingestão.

      sn_sec_splunk_v2.rules_batch_size

      Por padrão, o valor é definido como 50.
      Limite de eventos por alerta acionado para lidar com pico.

      sn_sec_splunk_v2.spike_events_limit

      Por padrão, o valor é definido como 1000.
      O caractere delimitador para dividir os valores em mapeamentos de campo.

      sn_sec_splunk_v2.delimiter
    3. Selecione Save (Salvar).