Copie um perfil de evento para Splunk Enterprise Security Integração de ingestão de evento

Versão de lançamento: Zurich

Atualizado 31 de jul. de 2025

1 min. de leitura

Copie um perfil existente e suas configurações associadas em vez de criar novos perfis. Se você estiver criando vários perfis e quiser reutilizar as configurações de um perfil existente, talvez prefira copiar perfis de alarme para economizar tempo.

Antes de Iniciar

Função necessária: sn_si.ingestion_profile_admin

Nota:

Usuários com a função sn_si.admin podem executar todas as operações disponíveis para um administrador de perfil, já que a função sn_si.admin herda as permissões necessárias por padrão.

Por Que e Quando Desempenhar Esta Tarefa

Se você copiar um perfil, o nome do perfil será modificado inicialmente para evitar perfis duplicados. Além disso, o perfil copiado é desativado (falso) para que não seja ativado acidentalmente antes de concluir a configuração. Copie perfis e use mapas existentes para incidentes de segurança que você já visualizou e verificou.

Procedimento

Navegar até Tudo > Splunk Integration > Perfil de evento do Splunk.
Em Splunk Lista Perfis de evento exibida, selecione um perfil que você deseja copiar e, na lista de seleção Ações nas linhas selecionadas, clique em Cópia .

O perfil é copiado e exibido na lista. A cópia tem todas as configurações do perfil original, incluindo a configuração de mapeamento e programação. O nome do perfil contém cópia. Embora o perfil original esteja ativado ( verdadeiro ), a cópia está desabilitada neste ponto ( falso ). Você pode preferir editar os valores do perfil copiado e renomeá-lo para que as definições de configuração se apliquem ao novo perfil conforme necessário.

Você copiou com sucesso as configurações de um perfil existente para um novo perfil.

O que Fazer Depois

Você será solicitado a ativar (habilitar) o novo perfil depois de concluir a etapa de configuração.