Konfigurieren Sie die Einstellungen für die Splunk Enterprise-Event-Erfassung

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Einstellungen für die Splunk Enterprise-Event-Erfassung, um die voreingestellten Konfigurationen und ihre Werte gemäß Ihren Anforderungen zu ändern.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Navigieren zu Alle > Splunk-Integration > Splunk-Integrationseinstellungen.
    2. Füllen Sie die Felder im Formular aus.
      Tabelle : 1. Splunk-Integrationseinstellungen
      Feld Beschreibung
      Maximale Anzahl von Warnungen, die in der Profilerstellung angezeigt werden sollen Option zum Definieren der maximalen Anzahl von Warnungen, die beim Erstellen eines Event-Profils angezeigt werden sollen.

      Standardmäßig ist der Wert auf 500 festgelegt.
      Maximale Anzahl von Security Incidents, die an einem Tag erstellt werden sollen Option zum Definieren der maximalen Anzahl von Security Incidents, die an einem Tag erstellt werden können.

      Standardmäßig ist der Wert auf 1000 festgelegt.
      Maximale Anzahl von Events, die pro Aufruf aus Splunk abgerufen werden sollen Option zum Definieren der maximalen Anzahl von Events, die für jeden Anruf aus Splunk abgerufen werden sollen.

      Standardmäßig ist der Wert auf 100 festgelegt.
      Die Anzahl der Tage, die ein Element in der Warteschlangentabelle verbleibt, nachdem es zu Informations- oder Debugging-Zwecken abgeschlossen oder fehlerhaft war Option zum Definieren der Anzahl von Tagen, für die ein Element nach Abschluss oder Auftreten eines Fehlers aufgrund von Informations- oder Debugging-Zwecken in der Warteschlangentabelle verbleibt.

      Standardmäßig ist der Wert auf 14 festgelegt.
      Anzahl der Tage, für die die Daten für Event-Import, Event zu Aufgabe und ausgelöste Warnungen aufbewahrt werden sollen Option, um die Anzahl der Tage zu bestimmen, für die Sie die Daten für Event-Import, Event zu Aufgabe und ausgelöste Warnungen aufbewahren möchten.

      Standardmäßig ist der Wert auf 30 festgelegt.
      Aktivieren Sie diese Einstellung, um vorhandene Splunk-Quellkonfigurationen für die Unterstützung der tokenbasierten Authentifizierung zu aktualisieren. Sie müssen die Integrationskonfiguration mit Tokendetails aktualisieren, sobald diese Einstellung aktiviert ist. Option zum Aktualisieren der vorhandenen Splunk-Quellkonfiguration auf die Unterstützung der tokenbasierten Authentifizierung von einer vorhandenen Version.
      Hinweis:
      Nach dem Upgrade auf die neue Version ist das Tokenfeld nicht mehr verfügbar. Sie müssen diese Einstellung aktivieren, um die tokenbasierte Authentifizierung zu erhalten. Anschließend müssen Sie die Integrationskonfiguration mit Tokendetails aktualisieren.

      Standardmäßig ist der Wert auf Nein festgelegt.
      Abbildung : 1. Splunk-Integrationseinstellungen
      Konfigurieren Sie die Splunk-Integrationseinstellungen
    3. Klicken Sie auf Speichern.