Kopieren Sie Splunk Enterprise Event Ingestion Profile mithilfe der Export-/Importfunktion von einer Instanz in eine andere

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Sie können Splunk Enterprise Event Ingestion -Profileinstellungen aus einer Now Platform -Instanz in eine andere Now Platform -Instanz exportieren und importieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Mit dieser Funktionalität kann der Sicherheitsadministrator Profile, die in einer Now Platform -Instanz getestet und verifiziert wurden, z. B. außerhalb der Produktion, in eine andere Now Platform -Instanz kopieren, z. B. in der Produktion, ohne alle Konfigurationseinstellungen wiederholen zu müssen. Zu den Einstellungen, die exportiert und importiert werden, gehören Profilname, Korrelationsregeln, Zuordnungen, Filter, Zusammenfassungskriterien, Feldübersetzungen, abgerufene Beispieldaten, Zeitplanung und Quellinformationen der Konfigurationskachel.

    Hinweis:
    Wenn Sie einen manuellen Event-Weiterleitungsprofiltyp exportieren, werden die für die Beispielfeldzuordnung verwendeten Anhangdaten kopiert, die Anhangdatei selbst wird jedoch nicht exportiert.

    Prozedur

    1. Navigieren zu Alle > Splunk-Integration > Splunk-Ereignisprofile.
    2. Wählen Sie ein Profil aus, das Sie in eine andere Now Platform -Instanz exportieren möchten.
      Sie können mehrere Profile für den Export auswählen.
    3. Klicken Sie im Menü Aktionen auf Exportieren.
    4. Sobald die Meldung „Export abgeschlossen“ angezeigt wird, klicken Sie auf Herunterladen.
      Die folgende Abbildung zeigt das Exportieren eines Splunk -Profils (manuelles Profil 2) aus Ihrer Now Platform -Instanz (psand.service-now.com).Splunk-Profile werden exportiert.

      Die exportierte Datei payload.xml wird auf Ihren Computer heruntergeladen. Die Datei enthält den Profilnamen, Korrelationsregeln, Zuordnungen, Filter, Zusammenfassungskriterien, Feldübersetzungen, abgerufene Beispieldaten, Zeitplanung und Quellinformationen der Konfigurationskachel. Wenn Sie mehrere Profile auswählen und herunterladen, werden sie in derselben payload.xml-Datei angezeigt.

      Sie können jetzt das Profil in eine andere Now Platform -Instanz importieren.

    5. Navigieren zu Splunk-Integration > Splunk-Ereignisprofile.
    6. Klicken Sie auf Importieren.
    7. Klicken Sie auf Datei auswählen, und wählen Sie die XML-Datei auf Ihrem Computer aus.
    8. Klicken Sie auf Hochladen.
    9. Klicken Sie auf Profile schließen und neu laden.
      Die folgende Abbildung zeigt den Import eines Splunk -Profils (manuelles Profil 2) aus der Now Platform -Instanz (psand.service-now.com) in eine andere Now Platform -Instanz (ppsand.service-now.com).

      Splunk-Profile werden importiert.

      Sie haben das Profil erfolgreich aus einer anderen Now Platform -Instanz importiert.

      Vergewissern Sie sich, dass die exportierte Quelle (Splunk API-Konto und Splunk Server-URL) und die MID Server-Konfigurationseinstellungen gültig und in der importierten Now Platform -Instanz verfügbar sind. Aktualisieren Sie bei Bedarf Ihre Splunk Enterprise Event Ingestion -Konfiguration.

    10. Wahlweise: Überprüfen Sie die MID Server-Einstellungen, nachdem Sie ein Profil importiert haben.
    11. Wahlweise: Navigieren zu Security Operations > Integrationskonfigurationen.
    12. Wahlweise: Wählen Sie die Konfigurationskachel Splunk Enterprise Event Ingestion aus, und klicken Sie auf Aktualisieren.
    13. Wahlweise: Überprüfen und aktualisieren Sie die Quell- und MID Server-Details nach Bedarf.