Splunk Konfigurationsfelder für Integration von mit Abfragefunktion

  • Freigeben Version: Yokohama
  • Aktualisiert 24. Februar 2025
  • 3 Minuten Lesedauer

    • Beschreibung der Felder in den Konfigurationsformularen der Splunk -Poller- -Integration für Health Log Analytics.

    Tabelle : 1. Details angeben
    Feld Beschreibung
    Integrationsname Eindeutiger Name dieser Integration. Dies ist ein Pflichtfeld.
    Hinweis:
    Wenn Sie dieses Feld ausfüllen, wird der im Formular angezeigte generische Name automatisch an den eingegebenen Namen angepasst.
    Beschreibung Option zum Hinzufügen einer kurzen Beschreibung der -Integration, um sie zu identifizieren.
    Serviceinstanz Die Serviceinstanz, an die die Protokolldaten gebunden werden sollen. Dies ist ein Pflichtfeld.
    Ausführen auf Option, um zu bestimmen, ob ein bestimmtes MID-Server - oder ein MID-Server -Cluster verwendet werden soll.

    Diese Funktion wird in der Anwendung Health Log Analytics, Version 26.0.17 – Februar 2023 und höher, die im ServiceNow Storeverfügbar ist, unterstützt.
    MID-Server-Name

    (Nur, wenn das Feld Ausführen auf auf Spezifischer MID-Server gesetzt ist)

    MID-Server, von dem die Protokolldaten aus Apache Kafka abgerufen werden.
    Hinweis:
    • Sie können nur MID Servers auswählen, die die Standardauthentifizierung unterstützen. MID Servers, die mTLS unterstützen, sind nicht aufgeführt.
    • Die standardmäßige maximale Anzahl von Dateneingaben, die Protokolle an einen einzelnen MID-Server streamen, beträgt 10. Sie können diese Anzahl in den MID Server-Eigenschaften ändern.
    • Wenn die Protokollerfassung für den ausgewählten MID-Servernicht aktiviert ist, wird sie von Health Log Analytics automatisch aktiviert.
    Dies ist ein Pflichtfeld.
    MID-Server-Cluster

    (Nur, wenn das Feld Ausführen auf auf MID-Server Cluster festgelegt ist.)

    Der Cluster MID-Server, in den die Protokolldaten abgerufen werden.

    Die Dateneingabe wird für einen einzelnen MID-Server im Cluster ausgeführt, bis dieser MID-Server ausfällt. Das System verschiebt dann alle Dateneingabeaufgaben entsprechend der konfigurierten Reihenfolge zu den nächsten verfügbaren MID-Server im Cluster.

    Diese Funktion wird in der Anwendung Health Log Analytics, Version 26.0.17 – Februar 2023 und höher, die im ServiceNow Storeverfügbar ist, unterstützt.

    Hinweis:
    • Health Log Analytics unterstützt nur Failover-Cluster MID-Server. In diesen Clustern sind mehrere MID Servers zum Failover-Schutz in einer Gruppe zusammengefasst. Wenn Sie ein Cluster aus dem Dateneingabeformular auswählen, werden in der Liste der Cluster MID-Server nur Failover-Cluster angezeigt.
    • Der Cluster MID-Server darf nur MID Servers enthalten, die die Standardauthentifizierung unterstützen. mTLS wird für die Protokollerfassung nicht unterstützt.
    • Die Protokollerfassung muss für jeden MID-Server im Cluster aktiviert werden. Wenn die Protokollerfassung für den aktiven MID-Servernicht aktiviert ist, wird sie von Health Log Analytics automatisch aktiviert.
    • Die standardmäßige maximale Anzahl von Dateneingaben, die Protokolle an einen einzelnen MID-Server streamen, beträgt 10. Ein Cluster besteht die Kapazitätsvalidierung, wenn es mindestens einen MID-Server enthält und weniger als 10 Dateneingaben darauf ausgeführt werden, selbst wenn dieser MID-Server ausgefallen ist.
    Weitere Informationen zu MID-Server -Clustern finden Sie unter MID-Server-Cluster konfigurieren.

    Dies ist ein Pflichtfeld.
    Tabelle : 2. Datenabrufmethode festlegen
    Feld Beschreibung
    URL des REST API-Servers Die für den Zugriff auf die REST API Splunk verwendete URL.
    Hinweis:
    • Standardmäßig ist der REST API-Endpunkt von Splunkan Port 8089 verfügbar. Daher lautet der Standardendpunkt für die REST API Splunk : http://.<splunk-server> :8089 .
    • Der REST API-Endpunkt unterscheidet sich vom Front-End-Endpunkt.
    Authentifizierungsmethode Der zu verwendende Anmeldeinformationsalias.

    Die Splunk -Integration verwendet Aliasse für Anmeldeinformationen anstelle direkter Verweise auf Anmeldeinformationen für die Authentifizierung. Die Aliasse für Anmeldeinformationen sind nach Typ aufgelistet: Aliasse, die Anmeldeinformationen für die Standardauthentifizierung enthalten, und Aliasse, die Anmeldeinformationen für die Token-Authentifizierung enthalten. Wenn ein Alias beide Anmeldeinformationstypen enthält, wird er in beiden Kategorien angezeigt.

    Über Aliasse für Anmeldeinformationen verwalten können Sie Ihre Anmeldeinformationsaliase verwalten und in der Liste „Aliasse für Verbindungen und Anmeldeinformationen“ neue erstellen.
    Abfrage Die Abfrage, die Splunk zum Durchsuchen Ihrer Daten verwendet.

    Beispiel: Die Abfrage „sourcetype="adc_access_log"“ weist die Integration [] des Abrufs Splunk an, alle Protokolle mit dem Quelltyp „adc_access_log“ abzurufen.
    Tabelle : 3. Erweiterte Einstellungen
    Feld Beschreibung
    Max. Anzahl von Dokumenten pro Abfrage Die maximale Anzahl von Dokumenten, die jedes Mal abgerufen werden, wenn Protokolldaten von Splunkabgerufen werden. Standard: 10.000.
    Splunk Zeitüberschreitung für Anforderung (Sekunden) Die maximale Zeit in Sekunden, die für den Datenabruf verwendet werden darf, bevor die Anforderung abläuft.