Configure seu Splunk ambiente para ingestão manual de eventos para Splunk Enterprise integração de ingestão de evento

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 6 min. de leitura

    • Se você quiser exportar eventos manualmente e sob demanda do seu Splunk Enterprise console para esta integração, instale e configure o. ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk Enterprise aplicação em seu Splunk Console empresarial ou instância do Splunk Cloud.

    Antes de Iniciar

    Verifique se você instalou a aplicação para esta integração do ServiceNow Store antes de instalar o plug-in de complemento do splunkbase que é necessário para ingestão manual de eventos. Se você não instalou a aplicação para a integração do ServiceNow Store, consulte Instale e configure o. ServiceNow aplicação para Splunk Enterprise Event Ingestion integração e siga as instruções para instalá-lo.

    Função necessária: ServiceNow AI Platform administrador (admin)

    Por Que e Quando Desempenhar Esta Tarefa

    Instalação e configuração do ServiceNow O complemento de ingestão de evento de operações de segurança é opcional.

    Se você quiser exportar eventos manualmente e sob demanda do seu Splunk Enterprise console para integração, download, instalação e configuração do ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk Enterprise do splunkbase em seu Splunk Enterprise console.

    Isso ServiceNow o complemento de extensão é necessário para que os incidentes de segurança possam ser criados a partir de eventos exportados manualmente em seu ServiceNow AI Platform instância. Isso ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk Enterprise a aplicação está disponível em splunkbase .

    Para encaminhamento manual de eventos, você pode identificar até dois diferentes ServiceNow AI Platform endpoints (instâncias) em seu Splunk Enterprise console. Você encaminha os eventos para o endpoint ou endpoints manualmente para criar incidentes de segurança. Por exemplo, você pode especificar uma instância de preparação (desenvolvimento) e uma instância de produção. Ao especificar instâncias separadas e nomear fluxos de trabalho primários e secundários para cada instância, você pode escolher para onde deseja encaminhar eventos diferentes.

    Procedimento

    1. Se você ainda não instalou o. ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk Enterprise, siga estas etapas para instalá-lo e configurá-lo.
      1. Navegue até splunkbase .
      2. PESQUISE ServiceNow Operações de segurança Complemento de ingestão de evento de operações de segurança para Splunk Enterprise.
        Nota:
        Verifique se você selecionou ServiceNow Operações de segurança Complemento de ingestão de evento para Splunk Enterprise. Há adicionais ServiceNow complementos exibidos nesta lista. Estes addons são para diferentes ServiceNow Splunk e elas não são necessárias para esta integração.
      3. Baixe a aplicação.
      4. Abra seu Splunk Enterprise conta.
      5. Na página Aplicativos, clique no ícone de engrenagem ou em Gerenciar aplicações atalho na lista suspensa do menu.
      6. No canto superior esquerdo da página Aplicativos exibida, clique em Instale o app do arquivo .
      7. Clique em Escolha Arquivo , selecione ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk Enterprise e clique em Upload .
      8. Se solicitado, reinicie Splunk Enterprise.
        . ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk Enterprise está instalado em seu Splunk Enterprise console empresarial. A próxima etapa para configurar o complemento.
    2. Para configurar o complemento, siga estas etapas.
      1. Em Splunk Enterprise, clique em Aplicações ícone de engrenagem ou Gerenciar aplicações na lista suspensa do menu.
      2. Na lista de aplicações exibida, em Ações , clique em Configurar para ServiceNow Operações de segurança Complemento de ingestão de evento para Splunk Enterprise.
      3. Preencha o formulário.
        A figura a seguir é um exemplo de um formulário preenchido em seu Splunk Enterprise console.
        Formulário preenchido com definições de configuração para instâncias primária e secundária da ServiceNow
      Campo na seção Especificar instância primária da ServiceNowDescrição
      Rótulo da ação do fluxo de trabalho Nome do ServiceNow AI Platform fluxo de trabalho para sua instância de produção (primária). Este nome é o nome de um ServiceNow AI Platform instância que seus usuários que estão monitorando Splunk Os eventos são identificados como uma instância primária, por exemplo, Ingestão de eventos da ServiceNow (produção).

      O padrão para este campo é Ingestão de eventos da ServiceNow (produção).

      Em seu Splunk Enterprise Este nome de fluxo de trabalho é exibido para a instância de produção (primária) no expandido Ações de evento lista suspensa de uma pesquisa. Este nome é o nome da sua instância de produção. Você pode editar o nome.
      URL O URL do ServiceNow AI Platform Instância que você inseriu no campo Rótulo de ação de fluxo de trabalho anterior.

      Copie o URL no seu navegador e cole-o neste campo no formulário.
      Endpoint Caminho da API de base. Para obter mais informações, consulte a figura que segue a tabela.

      Se você não tiver um valor para o endpoint do seu ServiceNow AI Platform instância de produção, siga estas etapas.

      1. Faça login no seu ServiceNow AI Platform instância de produção como um usuário com a função de administrador do sistema (administrador).
      2. Insira REST APIs com script no painel de navegação.
      3. Depois que o painel de navegação for atualizado, selecione REST APIs com script módulo exibido.
      4. Se a ingestão de evento não estiver listada na coluna Nome do REST APIs com script lista exibida, no campo de pesquisa na parte superior, insira Ingestão de evento .
      5. Na coluna Caminho da API base na página atualizada, copie este valor e cole-o no campo Endpoint do formulário. Um exemplo de caminho de api base é, /api/sn_sec_splunk_v2/event_ingestion .
      Nome do usuário Nome de usuário do ServiceNow AI Platform instância. Este nome é o nome de usuário do ServiceNow AI Platform instância na qual você atribuiu a um usuário a função (sn_sec_splunk_v2.api_account_access) para encaminhamento manual de eventos.

      Para obter mais informações sobre como atribuir esta função, consulte Configure seu ServiceNow AI Platform instância do Splunk Enterprise Event Ingestion integração.
      Senha Senha do ServiceNow AI Platform instância.

      Esta senha é a senha do ServiceNow AI Platform instância na qual você atribuiu a um usuário a função (sn_sec_splunk_v2.api_account_access) para encaminhamento manual de eventos.
      (Opcional) Campos na seção Especificar instância secundária da ServiceNow Descrição

      Esses campos são opcionais. Você não precisa especificar uma instância secundária.
      Rótulo da ação do fluxo de trabalho Nome do ServiceNow AI Platform fluxo de trabalho para sua instância secundária (preparação). Este nome é o nome de um ServiceNow AI Platform instância que seus usuários que estão monitorando Splunk os eventos são identificados como uma instância secundária, por exemplo, ServiceNow Ingestão de evento (preparação).

      Em seu Splunk Enterprise Este nome de fluxo de trabalho é exibido para a instância de preparação (secundária) na lista suspensa Ações de evento expandidas de uma pesquisa. Isso ServiceNow AI Platform a instância é sua instância de preparação. Você pode editar o nome.
      URL O URL do ServiceNow AI Platform Instância que você inseriu no campo Rótulo de ação de fluxo de trabalho anterior para o secundário ServiceNow AI Platform instância.

      Copie o URL no seu navegador e cole-o neste campo no formulário.
      Endpoint Caminho da API de base. O valor do caminho da API base para sua instância secundária é o mesmo valor do caminho da API base para sua instância primária. Consulte a figura anterior do formulário para obter mais informações.
      Nome do usuário Nome de usuário do ServiceNow AI Platform instância de preparação. O usuário deve ter a função (sn_sec_splunk_v2.api_account_access).
      Senha Senha do ServiceNow AI Platform instância de preparação. O usuário deve ter a função (sn_sec_splunk_v2.api_account_access).
      A figura a seguir é um exemplo da lista REST APIs com script em seu ServiceNow AI Platform. A lista exibe o local do valor de endpoint de um ServiceNow AI Platform instância que você insere no formulário como parte da configuração para ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk Enterprise extensão em seu Splunk Enterprise console.
      Figura 1. REST APIs com script no ServiceNow AI Platform
      Caminho da API de base realçado.
    3. No formulário de configuração do seu Splunk Enterprise console, clique em Salvar para salvar suas edições.

      Após alguns momentos, na parte superior esquerda do formulário em seu Splunk Enterprise uma mensagem é exibida informando que o registro foi atualizado com sucesso.

      Depois de salvar o formulário, os nomes (rótulos de ação de fluxo de trabalho) do seu ServiceNow AI Platform As instâncias que você criou no formulário estão disponíveis na lista de seleção Ações de evento em um evento selecionado de uma pesquisa em seu Splunk Enterprise console.

    O que Fazer Depois

    Se você ainda não salvou as pesquisas em seu Splunk Enterprise console, a próxima etapa é salvar pesquisas como alertas em seu Splunk Enterprise console.