Configurer les paramètres d’ingestion des événements Splunk Enterprise

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Utilisez les paramètres d’ingestion d’événements Splunk Enterprise pour modifier les configurations prédéfinies et leurs valeurs en fonction de vos besoins.

    Avant de commencer

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Procédure

    1. Accédez à la Tous > Intégration Splunk > Paramètres de Splunk Integration.
    2. Renseignez les champs du formulaire.
      Tableau 1. Paramètres de Splunk Integration
      Champ Description
      Nombre maximal d’alertes à afficher dans la création de profil.

      sn_sec_splunk_v2.max_alertes_à_affichage

      		 Option permettant de définir le nombre maximal d’alertes que vous souhaitez afficher lors de la création d’un profil d’événement.

      Par défaut, cette valeur est définie sur 500.
      Nombre maximal d’incidents de sécurité à créer en une journée.

      sn_sec_splunk_v2.max_si_per_day

      		 Option permettant de définir le nombre maximal d’incidents de sécurité qui peuvent être créés en une journée.

      Par défaut, cette valeur est définie sur 1 000.
      Nombre maximal d’événements à extraire de Splunk par appel.

      sn_sec_splunk_v2.max_événements_par_appel

      		 Option permettant de définir le nombre maximal d’événements à récupérer de Splunk pour chaque appel.

      Par défaut, cette valeur est définie sur 100.
      Nombre de jours pendant lesquels un élément reste dans la table de file d’attente après avoir été terminé/avoir généré une erreur à des fins d’information ou de débogage.

      sn_sec_splunk_v2.queue_item_expire

      		 Option permettant de définir le nombre de jours pendant lesquels un élément doit rester dans la table de file d’attente après achèvement ou une survenue d’erreur en raison d’informations ou à des fins de débogage.

      Par défaut, la valeur est définie sur 14.
      Nombre de jours de conservation des données d’importation d’événements, d’événement à tâche et d’alertes déclenchées.

      sn_sec_splunk_v2.retention_period

      		 Option permettant de déterminer le nombre de jours pendant lesquels vous souhaitez conserver les données d’importation d’événements, d’événement à tâche et d’alertes déclenchées.

      Par défaut, cette valeur est définie sur 30.
      Activez ce paramètre pour mettre à jour les configurations de source Splunk existantes pour la prise en charge de l’authentification basée sur les jetons. Vous devrez mettre à jour la configuration d’intégration avec les détails du jeton une fois ce paramètre activé.

      sn_sec_splunk_v2.upgrade_existing_tile

      		 Option permettant de mettre à jour la configuration source Splunk existante vers la prise en charge de l’authentification basée sur les jetons à partir d’une version existante.
      Remarque :
      Après la mise à niveau vers la nouvelle version, le champ de jeton devient indisponible. Vous devez activer ce paramètre pour obtenir l’authentification basée sur le jeton, après quoi vous devez mettre à jour la configuration d’intégration avec les détails du jeton.

      Par défaut, la valeur est définie sur Non.
      Niveau de la connexion : débogage, informations, avertissement, erreur.

      sn_sec_splunk_v2.logging.verbosité

      		 Option permettant de définir le niveau de journalisation

      (débogage, informations, avertissement ou erreur)
      Durée de vie de recherche Splunk en secondes.

      sn_sec_splunk_v2.sid_ttl

      		 Option permettant de définir la durée de conservation des résultats de recherche Splunk en secondes.

      Par défaut, la valeur est définie sur 14.
      Nombre de minutes de chevauchement à ajouter lors de l’extraction des événements à partir de Splunk (pour surmonter le délai d’indexation de Splunk).

      sn_sec_splunk_v2.overlap_time

      		 Option permettant de spécifier des minutes supplémentaires à chevaucher lors de l’extraction d’événements à partir de Splunk, ce qui permet de tenir compte des retards d’indexation.

      Par défaut, la valeur est définie sur 0.
      Taille du lot de la règle d'alerte à utiliser pour déclencher des requêtes de recherche Splunk pendant l'ingestion.

      sn_sec_splunk_v2.rules_batch_size

      		 Option permettant de définir la taille du lot pour le déclenchement des requêtes de recherche Splunk pendant l’ingestion.

      Par défaut, cette valeur est définie sur 50.
      Limite d'événements par alerte déclenchée pour gérer le pic.

      sn_sec_splunk_v2.spike_events_limit

      		 Option permettant de limiter le nombre d’événements traités par alerte déclenchée, ce qui permet de gérer les pics de volume d’événements.

      Par défaut, cette valeur est définie sur 1 000.
      Caractère du délimiteur pour diviser les valeurs dans les mappages de champs.

      sn_sec_splunk_v2.délimiteur

      		 Option permettant de spécifier le caractère de délimiteur utilisé pour diviser les valeurs dans le mappage de champs.
    3. Sélectionnez Enregistrer.