Splunk Konfigurationsfelder für Abfragedateneingabe

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Beschreibung der Felder im Konfigurationsformular Splunk für Abfragedateneingabe.

    Basiskonfiguration

    Tabelle : 1. Registerkarte „Erste Schritte“
    Feld Beschreibung
    Name Name der neuen Dateneingabe. Dies ist ein Pflichtfeld.
    Beschreibung Beschreibung der Dateneingabe
    Ausführen auf Option, um zu bestimmen, ob ein bestimmtes MID-Server - oder ein MID-Server -Cluster verwendet werden soll.

    Diese Funktion wird in der Anwendung Health Log Analytics, Version 26.0.17 – Februar 2023 und höher, die im ServiceNow Storeverfügbar ist, unterstützt.
    MID (Nur, wenn das Feld Ausführen auf auf Spezifischer MID-Server festgelegt ist.)

    Der MID-Server, an den die Protokolle gestreamt werden.

    Dies ist ein Pflichtfeld.
    MID-Server-Cluster

    (Nur, wenn das Feld Ausführen auf auf MID-Server Cluster festgelegt ist.)

    Der Cluster MID-Server, in den die Protokolldaten abgerufen werden.

    Die Dateneingabe wird für einen einzelnen MID-Server im Cluster ausgeführt, bis dieser MID-Server ausfällt. Das System verschiebt dann alle Dateneingabeaufgaben entsprechend der konfigurierten Reihenfolge zu den nächsten verfügbaren MID-Server im Cluster.

    Diese Funktion wird in der Anwendung Health Log Analytics, Version 26.0.17 – Februar 2023 und höher, die im ServiceNow Storeverfügbar ist, unterstützt.

    Hinweis:
    • Health Log Analytics unterstützt nur Failover-Cluster MID-Server. In diesen Clustern sind mehrere MID Servers zum Failover-Schutz in einer Gruppe zusammengefasst. Wenn Sie ein Cluster aus dem Dateneingabeformular auswählen, werden in der Liste der Cluster MID-Server nur Failover-Cluster angezeigt.
    • Der Cluster MID-Server darf nur MID Servers enthalten, die die Standardauthentifizierung unterstützen. mTLS wird für die Protokollerfassung nicht unterstützt.
    • Die Protokollerfassung muss für jeden MID-Server im Cluster aktiviert werden. Wenn die Protokollerfassung für den aktiven MID-Servernicht aktiviert ist, wird sie von Health Log Analytics automatisch aktiviert.
    • Die standardmäßige maximale Anzahl von Dateneingaben, die Protokolle an einen einzelnen MID-Server streamen, beträgt 10. Ein Cluster besteht die Kapazitätsvalidierung, wenn es mindestens einen MID-Server enthält und weniger als 10 Dateneingaben darauf ausgeführt werden, selbst wenn dieser MID-Server ausgefallen ist.
    Weitere Informationen zu MID-Server -Clustern finden Sie unter MID-Server-Cluster konfigurieren.

    Dies ist ein Pflichtfeld.
    Serviceinstanz Die Serviceinstanz, an die die Protokolldaten gebunden werden sollen. Dies ist ein Pflichtfeld.
    Hinweis:
    Wenn keine relevante Serviceinstanz vorhanden ist, erstellen Sie eine Serviceinstanz, und fügen Sie ihr CIs hinzu. Legen Sie den Status der neuen Serviceinstanz auf „Funktionsfähig“ fest.
    Übertragung Das Protokoll, das zum Streamen von Protokollnachrichten an Ihre ServiceNow-Instanz verwendet wird.
    Quellenanzahl Die Anzahl der Protokollquellen, die von dieser Dateneingabe erstellt wurden
    Status Status der Dateneingabe
    Deaktiviert seit Zeitpunkt, zu dem die Dateneingabe beendet wurde oder fehlgeschlagen ist
    Zeit des letzten Protokolls Zeitpunkt, zu dem das letzte Protokoll in der Dateneingabe gestreamt wurde

    Erweiterte Konfiguration

    Tabelle : 2. Registerkarte „Transport“
    Feld Beschreibung
    Server-URL Die für den Zugriff auf die REST API Splunk verwendete URL.
    Abfrage Die Abfrage, die Splunk zum Durchsuchen Ihrer Daten verwendet.
    Authentifizierungstyp Der Authentifizierungstyp.
    • Standardauthentifizierung: Sendet mit jeder HTTP-Anforderung einen Anwendernamen und ein Passwort. Die Standardauthentifizierung ist einfacher als die tokenbasierte Authentifizierung, aber weniger sicher.
    • Token-Authentifizierung: Der Client erhält ein Token von einem Authentifizierungsserver und verwendet dieses Token zur Authentifizierung bei Splunk.
    Splunk Alias für Anmeldeinformationen für Abfragen Der zu verwendende Anmeldeinformationsalias.

    Geben Sie einen Splunk -Polling-Alias für Anmeldeinformationen an, indem Sie das Lupensymbol und dann entweder einen vorhandenen Anmeldeinformationsalias aus der Liste „Aliasse für Verbindungen und Anmeldeinformationen“ auswählen oder Neu wählen, um einen neuen Datensatz zu erstellen. Der ausgewählte Alias für Anmeldeinformationen kann Basisauthentifizierungs- und Tokenauthentifizierungs-Anmeldeinformationen enthalten.

    Informationen zum Erstellen von Anmeldeinformationsaliasen finden Sie unter Aliasse für Anmeldeinformationen für Discovery.
    Von Datum und Uhrzeit, ab der Splunk die Daten durchsucht.
    An Datum und Uhrzeit, bis zu der Splunk die Daten durchsucht.
    Tabelle : 3. Registerkarte „Erweitert“
    Feld Beschreibung
    Max. Anzahl von Dokumenten pro Abfrage Die maximale Anzahl von Dokumenten, die jedes Mal abgerufen werden, wenn Protokolldaten von Splunkabgerufen werden. Standard: 10.000.
    Splunk Zeitüberschreitung für Anforderung (Sekunden) Die maximale Zeit in Sekunden, die für den Datenabruf verwendet werden darf, bevor die Anforderung abläuft.