Splunk campos de configuração de entrada de dados
Descrição dos campos no formulário de configuração de entrada de dados Splunk.
Configuração básica
| Campo | Descrição |
|---|---|
| Nome da entrada de dados | Nome da nova entrada de dados. Este campo é obrigatório. |
| Descrição | Descrição da entrada de dados. |
| MID Server | O MID Server para o qual os logs são transmitidos. Nota: Este campo é obrigatório.
|
| Porta | A porta para o MID Server. Certifique-se de que a equipe de segurança da sua organização abra a porta selecionada no MID Server. Este campo é obrigatório. |
| Protocolo de transporte | O protocolo usado para transmitir mensagens de log para sua instância ServiceNow.
Para obter mais informações sobre o streaming de dados de log usando o protocolo de transporte TCP ou UCP, consulte o artigo Streaming de dados do Splunk usando o encaminhador pesado: selecionando TCP ou UDP [KB0998928] na Base de conhecimento Now Support. |
| Usar dados preparados | Opção para ingerir dados de log de Splunk no formato pré-processado ("cozido") que Splunk usa no encaminhador. A ingestão de dados em HLA neste formato garante que cada linha de log retenha as informações contextuais relevantes que Splunk incorpora a ela. Nota: Se você selecionar esta opção, não será necessário editar os arquivos props.conf e transforms.conf durante a configuração de entrada de dados Splunk. |
| Usar fuso horário do encaminhador | Opção para passar informações sobre o fuso horário no qual o encaminhador está localizado. O MID Server usa essas informações para ajustar o fuso horário de onde os logs chegam. Esta opção é relevante ao usar Splunk Encaminhadores universais. |
| Habilitar compactação | Opção para enviar logs em formato compactado. O envio de logs em um formato compactado minimiza o tamanho dos dados que estão sendo transferidos, o que é importante ao lidar com grandes volumes de dados de log. Esta opção é relevante ao usar Splunk Encaminhadores universais e só pode ser usada quando o SSL/TLS está habilitado. |
Configuração avançada
| Campo | Descrição | Valores padrão |
|---|---|---|
| Usar SSL/TLS | Opção para selecionar o uso de SSL/TLS. Nota: Para enviar logs em um formato compactado, o SSL/TLS deve estar habilitado. |
|
| Pesquisar nomes de host | Opção para selecionar a execução de pesquisa de DNS para resolver IPs para nomes de host. | falso |
| Contagem de threads do Boss | O número de threads que gerenciam as conexões. | 1 |
| Contagem de threads de trabalhador | O número de threads que manipulam os dados recebidos. | 4 |
| Segundos para o tempos limite de leitura | O tempo limite em segundos desde a última leitura. Quando o tempo limite expira, o sistema fecha o canal. | 30 |
| Fuso horário padrão | O fuso horário padrão dos eventos. O sistema usa este padrão quando o log não especifica um fuso horário. | GMT |
| Proporção de soltura de subamostra | A proporção de eventos a serem descartados. | -1 |
| Taxa de recebimento de subamostra | A proporção de eventos a serem recebidos. | -1 |
| Tamanho máximo em bytes | O tamanho máximo das mensagens de log em bytes. | 32766 |
| Codificação de caracteres | A codificação de caracteres para esta entrada de dados. | UTF-8 |
| Descartar se a fila estiver cheia | Opção para selecionar o descarte de logs se houver uma carga no MID Server. |