Kopieren Sie ein Event-Profil für die Splunk Enterprise Event Ingestion -Integration
Kopieren Sie ein vorhandenes Profil und die zugehörigen Einstellungen, anstatt neue Profile zu erstellen. Wenn Sie mehrere Profile erstellen und die Einstellungen eines vorhandenen Profils wiederverwenden möchten, empfiehlt es sich, Alarmprofile zu kopieren, um Zeit zu sparen.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Warum und wann dieser Vorgang ausgeführt wird
Das Kopieren eines vorhandenen Profils und der zugehörigen Einstellungen ist optional.
Wenn Sie ein Profil kopieren, wird der Profilname anfänglich geändert, um doppelte Profile zu vermeiden. Darüber hinaus ist das kopierte Profil deaktiviert (falsch), damit es vor Abschluss der Konfiguration nicht versehentlich aktiviert wird. Kopieren Sie Profile, und verwenden Sie vorhandene Zuordnungen für Security Incidents, die Sie bereits in der Vorschau angezeigt und überprüft haben.
Prozedur
-
Wählen Sie in der angezeigten Liste Splunk Ereignisprofile ein Profil aus, das Sie kopieren möchten, und klicken Sie in der Auswahlliste Aktionen für ausgewählte Zeilen auf Kopieren.
Das Profil wird kopiert und in der Liste angezeigt. Die Kopie enthält alle Einstellungen des ursprünglichen Profils, einschließlich der Zuordnungs- und Planungskonfiguration. Der Name des Profils enthält Kopie. Obwohl das ursprüngliche Profil aktiviert ist (true), ist die Kopie zu diesem Zeitpunkt deaktiviert (false). Möglicherweise möchten Sie die Werte des kopierten Profils bearbeiten und es umbenennen, damit die Konfigurationseinstellungen wie erforderlich auf das neue Profil angewendet werden.
Sie haben die Einstellungen erfolgreich aus einem vorhandenen Profil in ein neues Profil kopiert.
Nächste Maßnahme
Nachdem Sie die Konfigurationsschritte abgeschlossen haben, werden Sie aufgefordert, das neue Profil zu aktivieren.