Configurer le complément d’intégration d’ingestion d’événement ServiceNow

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Installez et configurez le module complémentaire d’intégration d’ingestion d’événements ServiceNow dans votre console d’entreprise ou votre Splunk instance Splunk Cloud.

    Avant de commencer

    Important :

    Créez un profil de transfert manuel d’événements pour transférer des alertes à la demande depuis votre console Splunk afin de créer une réponse aux incidents de sécurité (SIR) sur l’instance ServiceNow . Pour plus d’informations, consultez Créer et nommer un profil d’événement et implémentez la même chose pour Splunk V2.

    Cette configuration du module complémentaire est nécessaire pour activer le transfert manuel d’événements pour le profil Splunk. Jusqu’à deux configurations peuvent être créées pour un module complémentaire particulier. (Splunk primaire et Splunk secondaire)

    Vérifiez que vous avez installé l’application pour cette intégration avant ServiceNow Store d’installer le module d’extension du module d’extension à partir de splunkbase requis pour l’ingestion manuelle d’événements. Si vous n’avez pas installé l’application pour l’intégration à partir du ServiceNow Store, consultez Installez et configurez l’application pour l’intégration ServiceNowSplunk Enterprise Event Ingestion et suivez les instructions pour l’installer.

    Rôle requis : ServiceNow AI Platform administrateur (admin)

    Pourquoi et quand exécuter cette tâche

    Si vous souhaitez exporter des événements manuellement et à la demande à partir de votre console Splunk pour l’intégration, téléchargez et configurez le module complémentaire d’intégration d’ingestion ServiceNow d’événements à partir de Splunkbase dans votre console Splunk.

    Ce ServiceNow module complémentaire d’extension est requis pour que des incidents de sécurité puissent être créés à partir d’événements exportés manuellement dans votre ServiceNow AI Platform instance. Ce ServiceNow module complémentaire d’intégration d’ingestion d’événements est disponible sur splunkbase.

    Pour le transfert manuel d’événements, vous pouvez identifier jusqu’à deux points de terminaison différents ServiceNow AI Platform (instances) dans votre Splunk Enterprise console. Vous transférez manuellement les événements au(x) point(s) de terminaison(s) pour créer des incidents de sécurité. Par exemple, vous pouvez spécifier à la fois une instance intermédiaire (de développement) et une instance de production. En spécifiant des instances distinctes et en nommant des workflows primaires et secondaires pour chaque instance, vous pouvez choisir où vous souhaitez transférer différents événements.

    Procédure

    1. Si vous n’avez pas encore installé le module complémentaire d’intégration d’ingestion d’événements ServiceNow , procédez comme suit pour l’installer et le configurer.
      1. Téléchargez le module complémentaire d’intégration d’ingestion d’événements ServiceNow à partir de Splunkbase.
      2. Si vous y êtes invité, redémarrez le fichier Splunk Enterprise.
        Le module complémentaire d’intégration d’ingestion d’événements ServiceNow est installé dans votre Splunk Enterprise console d’entreprise. L’étape suivante consiste à configurer le module complémentaire.
    2. Pour configurer le module complémentaire, procédez comme suit.
      1. Dans le Splunk Enterprise, sélectionnez l’icône d’engrenage Gérer les applications dans la liste déroulante du menu.
      2. Dans la liste des applications qui s’affiche, dans la colonne Actions , sélectionnez Configurer pour l’intégration d’ingestion d’événementsServiceNow.
        Le ServiceNow module complémentaire d’intégration d’ingestion d’événements est configuré en trois onglets différents.
        • Splunk Primary : configuration Splunk par défaut ou principale.
        • Splunk secondaire : (facultatif) la configuration de sauvegarde ou la deuxième configuration Splunk.
        • Niveau de connexion : niveau des journaux de génération de rapports générés par l’intégration, c’est-à-dire le nom du type d’information.
      3. Remplissez les champs du formulaire.
        Champ Description
        Étiquette de l’action du workflow Nom de l’instance.

        Il s’agit d’une action dans la liste déroulante des actions d’événement pour les alertes dans la console Splunk.
        URL URL de l’instance ServiceNow que vous avez saisie dans le champ précédent d’étiquette d’action de workflow.
        Point de terminaison Chemin de l’API de base.

        La valeur par défaut de ce champ est : /api/sn_sec_splunk_v2/event_ingestion.
        Type d'authentification Méthode d’authentification à utiliser pour les demandes d’API. Les options disponibles sont les suivantes :
        • Authentification de base : utilise un nom d’utilisateur et un mot de passe pour authentifier les demandes.
        • Authentification OAuth 2.0 : utilise des jetons d’accès pour authentifier les demandes.
        Authentification de base
        Nom d'utilisateur Nom d'utilisateur de l'utilisateur

        Un utilisateur ayant le rôle (sn_sec_splunk_v2.api_account_access) doit être présent dans l’instance spécifiée dans le champ URL précédent pour le transfert manuel d’événements.
        Mot de passe Mot de passe de l’utilisateur.

        Un utilisateur ayant le rôle (sn_sec_splunk_v2.api_account_access) doit être présent dans l’instance spécifiée dans le champ URL précédent pour le transfert manuel d’événements.
        Authentification OAuth 2.0
        ID client ID client de l’application créée dans l’instance ServiceNow .

        Pour en savoir plus sur l’obtention de l’ID client, reportez-vous à la section Configurez le registre d’application sur l’instance ServiceNow.
        Secret client Secret client de l’application créée dans l’instance ServiceNow .

        Pour plus d’informations sur l’obtention du secret client, reportez-vous à la section Configurez le registre d’application sur l’instance ServiceNow.
        URL de redirection

        Copiez et collez cette URL dans le champ URL de redirection de l’enregistrement des registres d’application.

        Intégration d’ingestion d’événements ServiceNow configurée sur Splunk

      4. Sélectionnez Enregistrer.
      5. Sélectionnez l’onglet secondaire Splunk .
      6. Remplissez les champs du formulaire.
        Les champs sont identiques à ceux de l’onglet primaire Splunk.
      7. Sélectionnez Enregistrer.
        Remarque :
        Jusqu’à deux configurations peuvent être créées pour un module complémentaire particulier. (Authentification de base et autre authentification OAuth 2.0)
      8. Sélectionnez l’onglet Niveau de journalisation .
      9. Remplissez les champs du formulaire.
        Tableau 1. Niveau de connexion
        Champ Description
        Niveau de journal Niveau des journaux de génération de rapports générés par l’intégration, c’est-à-dire le nom du type d’information. Vous pouvez également mettre à jour la valeur selon les options suivantes :
        • infos
        • erreur
        • avertir
        • déboguer

        Par défaut, la valeur est info.
      10. Sélectionnez Enregistrer.

    Que faire ensuite

    Utilisation ServiceNow du complément d’intégration d’ingestion d’événements