Splunk Champs de configuration d’intégration de l’analyseur

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Description des champs sur les formulaires de configuration de l’intégration de l’analyseur Splunk pour Analyse de l'intégrité des journaux.

    Pour connaître la procédure de configuration de l’intégration de l’analyseur Splunk , reportez-vous à la section Configurer une Splunk intégration de l’analyseur pour Analyse de l'intégrité des journaux.

    Tableau 1. Fournir des détails
    Champ Description
    Nom de l'intégration Nom unique de cette intégration. Ce champ est obligatoire.
    Remarque :
    Lorsque vous remplissez ce champ, le nom générique affiché sur le formulaire s’ajuste automatiquement pour correspondre au nom que vous avez saisi.
    Exécuter sur Option permettant de choisir d’utiliser une grappe spécifique Serveur MID ou une Serveur MID grappe. Ce champ est obligatoire.
    Nom du serveur MID

    (Uniquement lorsque le champ Exécuter sur est défini sur Serveur MID spécifique)

    Serveur MID vers lequel les données de journal de Splunk sont extraites. Ce champ est obligatoire.
    Remarque :
    • Vous pouvez sélectionner uniquement des Serveurs MID qui prennent en charge l'authentification de base. Les Serveurs MID qui prennent en charge mTLS ne sont pas répertoriés.
    • Le nombre maximal par défaut d'entrées de données qui diffusent des journaux vers un seul Serveur MID est de 10. Vous pouvez modifier ce nombre dans les propriétés du MID Server.
    • Si l’ingestion de journal n’est pas activée pour la tâche sélectionnée Serveur MID, Analyse de l'intégrité des journaux elle est activée automatiquement.
    Grappe de serveurs MID

    (Uniquement lorsque Exécuter sur est défini sur Grappe spécifique Serveur MID .)

    Grappe Serveur MID vers laquelle les données de journal sont extraites. Ce champ est obligatoire.

    L’entrée de données s’exécute sur une seule Serveur MID entrée dans le cluster jusqu’à ce que cela Serveur MID échoue. Le système déplace ensuite toutes les tâches d’entrée de données vers la prochaine tâche disponible Serveur MID dans le cluster en fonction de l’ordre configuré.

    Remarque :
    • Analyse de l'intégrité des journaux prend en charge uniquement les clusters de basculement Serveur MID . Dans ces clusters, plusieurs Serveurs MID sont regroupés pour la protection contre le basculement. Lors de la sélection d’un cluster à partir de l’entrée de données ou du formulaire d’intégration, la Serveur MID liste des clusters affiche uniquement les clusters de basculement.
    • La Serveur MID grappe ne doit inclure que Serveurs MID ceux qui prennent en charge l’authentification de base. mTLS n’est pas pris en charge pour l’ingestion de journaux.
    • L’ingestion de journaux doit être activée pour chaque Serveur MID élément de la grappe. Si l’ingestion de journal n’est pas activée pour l’actif Serveur MID, Analyse de l'intégrité des journaux l’active automatiquement.
    • Le nombre maximal par défaut d’entrées de données ou de journaux de diffusion d’intégrations à une seule Serveur MID est de 10. Une grappe réussit la validation de capacité si elle en contient au moins une Serveur MID avec moins de 10 entrées de données ou intégrations en cours d’exécution, même lorsqu’elle Serveur MID est hors service.
    Pour plus d’informations sur Serveur MID les grappes, consultez Configurer une grappe de serveur MID.
    Instance de service Instance de service (anciennement service d’application) à laquelle lier les données de journal. Ce champ est obligatoire.
    Source de données La source des données de journal que l’intégration transmet à votre ServiceNow instance : Splunk. Ce champ est en lecture seule.
    Description Option permettant d’ajouter une brève description de l’intégration pour faciliter son identification.
    Tableau 2. Définir la méthode de récupération de données
    Champ Description
    URL du serveur de l'API REST URL utilisée pour accéder à l’API Splunk REST. Ce champ est obligatoire.
    Remarque :
    • Par défaut, le point de terminaison de REST API est disponible sur le Splunk port 8089. Par conséquent, le point de terminaison par défaut de l’API Splunk REST est le suivant : http://<splunk-server> :8089.
    • Le point de terminaison de l’API REST est différent du point de terminaison frontal.
    Méthode d'authentification L’alias d’informations d’identification à utiliser. Ce champ est obligatoire.

    L’intégration Splunk utilise des alias d’informations d’identification au lieu de références directes aux informations d’identification pour l’authentification. Les alias d’informations d’identification sont répertoriés par type : les alias qui contiennent des informations d’identification d’authentification de base et ceux qui contiennent des informations d’identification d’authentification par jeton. Si un alias contient les deux types d’informations d’identification, il apparaît dans les deux catégories.

    Vous pouvez sélectionner Gérer les alias d’informations d’identification pour gérer vos alias d’informations d’identification et en créer de nouveaux dans la liste Alias de connexion et d’informations d’identification .
    Requête La requête Splunk utilise pour rechercher vos données. Ce champ est obligatoire.

    Par exemple, la requête sourcetype="adc_access_log » indique à l’intégration de l’analyseur Splunk de récupérer tous les journaux avec le type de source adc_access_log.
    Tableau 3. Paramètres avancés
    Champ Description
    Nombre maximal de documents par requête Nombre maximal de documents récupérés à chaque fois que des données de journal sont extraites à partir de Splunk. Par défaut : 10 000.
    Splunk Délai d’expiration de la demande (secondes) La durée maximale, en secondes, autorisée pour la récupération des données avant l’expiration de la demande.