Splunk Konfigurationsfelder für die Dateneingabe
Beschreibung der Felder im Formular Splunk zur Konfiguration der Dateneingabe.
Basiskonfiguration
| Feld | Beschreibung |
|---|---|
| Dateneingabename | Name der neuen Dateneingabe. Dies ist ein Pflichtfeld. |
| Beschreibung | Beschreibung der Dateneingabe |
| MID-Server | Der MID-Server, an den die Protokolle gestreamt werden Hinweis: Dies ist ein Pflichtfeld.
|
| Port | Port für den MID-Server. Stellen Sie sicher, dass das Sicherheitsteam Ihrer Organisation den ausgewählten Port auf dem MID-Server öffnet. Dies ist ein Pflichtfeld. |
| Transportprotokoll | Das Protokoll, das zum Streamen von Protokollnachrichten an Ihre ServiceNow-Instanz verwendet wird.
Weitere Informationen zum Streamen von Protokolldaten mit dem TCP- oder UDP-Transportprotokoll finden Sie im Artikel Streaming Splunk data using Heavy Forwarder: Select TCP or UDP [KB0998928] (Splunk mit Heavy Forwarder streamen: TCP oder UDP auswählen in der Now Support-Knowledge Base). |
| Vorbereitete Daten verwenden | Option zum Erfassen von Protokolldaten von Splunk im vorverarbeiteten Format („gekocht“), das Splunk für die Weiterleitung verwendet. Durch das Erfassen von Daten in HLA in diesem Format wird sichergestellt, dass jede Protokollzeile die relevanten kontextbezogenen Informationen beibehält, die in Splunk eingebettet sind. Hinweis: Wenn Sie diese Option auswählen, müssen die Dateien „props.conf“ und „transforms.conf“ während der Konfiguration der Dateneingabe für Splunk nicht bearbeitet werden. |
| Zeitzone der Weiterleitung verwenden | Option zum Übergeben von Informationen über die Zeitzone, in der sich der Forwarder befindet. MID-Server verwendet diese Informationen, um die Zeitzone anzupassen, aus der die Protokolle eingehen. Diese Option ist relevant, wenn Splunk universelle Weiterleitungen verwendet werden. |
| Komprimierung aktivieren | Option zum Senden von Protokollen im komprimierten Format. Durch das Senden von Protokollen in einem komprimierten Format wird die Größe der übertragenen Daten minimiert. Dies ist wichtig, wenn große Mengen von Protokolldaten verarbeitet werden. Diese Option ist relevant, wenn Splunk universelle Weiterleitungen verwendet werden, und kann nur verwendet werden, wenn SSL/TLS aktiviert ist. |
Erweiterte Konfiguration
| Feld | Beschreibung | Standardwerte |
|---|---|---|
| SSL/TLS verwenden | Hiermit geben Sie an, ob SSL/TLS verwendet werden soll. Hinweis: Zum Senden von Protokollen in einem komprimierten Format muss SSL/TLS aktiviert sein. |
|
| Look up hostnames (Nach Hostnamen suchen) | Hiermit geben Sie an, ob eine DNS-Suche durchgeführt wird, um IPs in Hostnamen aufzulösen. | false |
| Anzahl der Boss-Threads | Anzahl der Threads, mit denen Verbindungen verwaltet werden | 1 |
| Anzahl der Worker-Threads | Anzahl der Threads, mit denen eingehende Daten verarbeitet werden | 4 |
| Lesezeitüberschreitung in Sekunden | Zeitüberschreitung in Sekunden seit dem letzten Lesen. Wenn die Zeitüberschreitung abläuft, schließt das System den Kanal. | 30 |
| Standardzeitzone | Standardzeitzone von Events. Das System verwendet diesen Standard, wenn im Protokoll keine Zeitzone angegeben ist. | GMT |
| Anteil der zu verwerfenden Unterstichproben | Verhältnis der zu verwerfenden Events | -1 |
| Anteil der zu empfangenden Unterstichproben | Verhältnis der zu empfangenden Events | -1 |
| Maximale Länge in Bytes | Maximale Länge von Protokollnachrichten in Byte | 32766 |
| Zeichencodierung | Zeichencodierung für diese Dateneingabe | UTF-8 |
| Verwerfen, wenn Warteschlange voll ist | Hiermit legen Sie fest, dass Protokolle verworfen werden, wenn der MID-Server ausgelastet ist. |