Programar e recuperar alertas para Splunk Enterprise Event Ingestion integração

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 4 min. de leitura

    • Para perfis de ingestão de alertas automatizados, esta etapa é a etapa final da configuração do perfil de evento. Durante esta etapa, você pode verificar as configurações padrão para recuperação de alertas ou modificar a programação conforme necessário. Esta etapa permite filtrar sua recuperação de alertas com base em um intervalo de datas.

    Antes de Iniciar

    Função necessária: sn_si.ingestion_profile_admin

    Nota:
    Usuários com a função sn_si.admin podem executar todas as operações disponíveis para um administrador de perfil, já que a função sn_si.admin herda as permissões necessárias por padrão.

    Por Que e Quando Desempenhar Esta Tarefa

    Depois de concluir todas as etapas na barra de andamento da configuração do perfil, conforme mostrado na figura a seguir, você concluiu a configuração dos perfis para encaminhamento manual de eventos. Não há programação disponível para eventos encaminhados manualmente do seu Splunk Enterprise console. Para perfis para ingestão automatizada de alertas, você escolhe se deseja ingerir alertas históricos durante a etapa Programação. Você também escolhe a frequência com que pesquisará alertas futuros que correspondam à configuração do perfil de alerta.

    Figura 1. Barra de andamento
    Barra de andamento.

    Para perfis de ingestão de alertas automatizados, antes que o perfil seja ativado, você verifica e modifica a programação e a recuperação de alertas. Esta etapa é a etapa final do processo de configuração do perfil de evento para perfis de alerta programados.

    Configure esses intervalos de pesquisa por perfil. O desempenho do Splunk a integração de ingestão de evento é afetada pelos diferentes intervalos de pesquisa. Ao programar, você pode preferir equilibrar a carga do sistema em relação à urgência do incidente. Um valor padrão de cinco minutos é definido para qualquer perfil, mas você pode preferir modificar essa configuração com base na urgência do incidente e na carga prevista em seu sistema.

    Em Splunk Enterprise console, você define um alerta a ser acionado com base em incrementos ou em um horário específico. Use esta configuração para ajudá-lo a configurar a programação no seu ServiceNow AI Platform para que o tempo seja incrementado em seu Splunk Enterprise sincronização do console com a programação que você configurou no seu ServiceNow AI Platform instância.

    Procedimento

    1. Se a página Programação na barra de andamento não for exibida, selecione Programação .
    2. Escolha um para programar como e quando os alertas são extraídos do Splunk Enterprise console.
      OpçãoDescrição
      • Campo Alerta contínuo selecionado
      • Campo Recuperação única limpo
      		 Alerta contínuo

      Com base na configuração padrão, o. ServiceNow AI Platform a instância extrai do Splunk Enterprise servidor para novos alertas a cada cinco minutos. Os incidentes de segurança serão criados se alertas acionados forem encontrados e os critérios de filtragem forem correspondidos. Para equilibrar a ingestão de alertas em relação à carga do servidor e extrair os dados mais atuais, cinco minutos é a configuração que você pode preferir. No entanto, este valor pode ser modificado conforme necessário.
      • Campo de alerta contínuo limpo
      • Campo Recuperação única selecionado
      		 Recuperação única

      Use esta configuração se quiser que uma extração única ingere alertas com base em eventos históricos.

      Quando configurado, um perfil é usado uma vez para recuperar alertas acionados, incluindo alertas de eventos históricos baseados em um intervalo de datas. À direita do Desde a data , clique no ícone de calendário. No calendário exibido, selecione a data em que você deseja começar a extrair alertas. Começando com Desde a data alertas acionados são recuperados até a data atual.

      Depois que os alertas forem extraídos, esta configuração não recuperará alertas acionados para este perfil a partir da data atual. Esta configuração preenche o incidente de segurança com todos os alertas encontrados para o intervalo inserido.

      Página de programação com calendário exibido.

      Como exemplo de programação, se você tiver um diário Splunk Alerta que é executado uma vez por dia às 4 hora local, você pode configurar o perfil de alerta correspondente em seu ServiceNow AI Platform Instância a ser executada às 4:05 hora local para capturar o alerta imediatamente e criar um incidente de segurança. Insira 04 05 00 em Ingestão de alerta inicial campo. Em Incremento (minutos) campo, insira 1440 (24 horas) para programar a próxima ingestão de alerta para 24 horas a partir da ingestão de alerta inicial. A hora de ingestão do alerta inicial e a hora da próxima ingestão do alerta são exibidas nos campos.

    3. Para definir as configurações deste exemplo, siga estas etapas.
      1. Com a página Programação exibida, selecione Alerta contínuo marque a caixa para habilitar esta opção.
      2. Em Incremento (minutos) campo, insira 1440 (24 horas).
      3. Clique em Selecione Ingestão de alerta inicial Caixa de seleção para habilitar a edição dos campos Ingestão de alerta inicial e Próxima ingestão de alerta.
      4. No campo Ingestão de alerta inicial, insira 04 05 00 .
        Em A próxima ingestão de alerta (estimada) a hora da próxima ingestão de alerta é exibida.
    4. Clique em Concluir para concluir a configuração.
      Uma caixa de diálogo de confirmação é exibida. Você concluiu com sucesso a instalação e a configuração da integração. Este perfil está ativado e extrai alertas do Splunk Enterprise console baseado em sua programação. Há um limite de 1 000 incidentes de segurança que podem ser criados em um período de 24 horas. Até 100 eventos são por alerta disparado. Eventos subsequentes serão ignorados depois que os limites forem atingidos.