Copier un profil d’événement pour l’intégration Splunk Enterprise Event Ingestion
Copiez un profil existant et ses paramètres associés au lieu de créer de nouveaux profils. Si vous créez plusieurs profils et que vous souhaitez réutiliser les paramètres d’un profil existant, vous préférerez peut-être copier les profils d’alarme pour gagner du temps.
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
La copie d’un profil existant et de ses paramètres associés est facultative.
Si vous copiez un profil, le nom du profil est initialement modifié pour éviter les profils en double. En outre, le profil copié est désactivé (faux) et n’est donc pas activé accidentellement avant de terminer la configuration. Copiez les profils et utilisez les cartes existantes pour les incidents de sécurité que vous avez déjà prévisualisés et vérifiés.
Procédure
-
Dans la liste Profils d’événements Splunk qui s’affiche, sélectionnez un profil que vous souhaitez copier et, dans la liste de choix Actions sur les lignes sélectionnées, cliquez sur Copier.
Le profil est copié et affiché dans la liste. La copie contient tous les paramètres du profil d’origine, y compris la configuration du mappage et de la planification. Le nom du profil contient une copie. Bien que le profil d’origine soit activé (vrai), la copie est désactivée à ce stade (faux). Vous préférez peut-être modifier les valeurs du profil copié et le renommer afin que les paramètres de configuration s’appliquent au nouveau profil selon les besoins.
Vous avez copié avec succès les paramètres d’un profil existant vers un nouveau profil.
Que faire ensuite
Vous êtes invité à activer le nouveau profil une fois que vous avez terminé les étapes de configuration.