Copier Splunk Enterprise Security des profils d’une instance à une autre à l’aide de la fonctionnalité d’exportation/importation

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Vous pouvez exporter et importer Splunk Enterprise Security des paramètres de profils d’une ServiceNow AI Platform instance à une autre ServiceNow AI Platform .

    Avant de commencer

    Les paramètres que vous pouvez exporter et importer incluent le nom du profil, les règles de corrélation, les mappages, les filtres, les critères d’agrégation, les traductions de champs, les exemples de données extraites, la planification et les informations sources des vignettes de configuration.

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Pourquoi et quand exécuter cette tâche

    Cette fonctionnalité permet à l’administrateur de sécurité de copier les profils qui ont été testés et vérifiés sur une ServiceNow AI Platform instance, par exemple en non-production, vers une autre ServiceNow AI Platform instance, par exemple en production, sans avoir besoin de refaire tous les paramètres de configuration. Les paramètres exportés et importés incluent le nom du profil, les règles de corrélation, les mappages, les filtres, les critères d’agrégation, les traductions de champs, les exemples de données extraites, la planification et les informations sur la source de la vignette de configuration.

    Remarque :
    Lorsque vous exportez un type de profil de transfert manuel d’événements, les données de pièce jointe utilisées pour le mappage d’échantillon de champ sont copiées, mais le fichier de pièce jointe lui-même n’est pas exporté.

    Procédure

    1. Accédez à la Tous > Intégration Splunk ES > Profils d'événements Splunk ES.
    2. Sélectionnez un profil que vous souhaitez exporter vers une autre ServiceNow AI Platform instance.
      Vous pouvez sélectionner plusieurs profils pour l’exportation.
    3. Dans le menu Actions, cliquez sur Exporter.
    4. Une fois que le message de fin de l’exportation s’affiche, cliquez sur Télécharger.

      L’illustration suivante montre comment exporter un profil (SplunkES3profile) à partir de l’instance ServiceNow AI Platform (psand.service-now.com).

      Exportation des données de profil Splunk.

      Le fichier payload.xml exporté est téléchargé sur votre ordinateur. Le fichier contient le nom du profil, les règles de corrélation, les mappages, les filtres, les critères d’agrégation, les traductions de champs, les exemples de données extraits, la planification et les informations sur la source de la vignette de configuration. Lorsque vous sélectionnez et téléchargez plusieurs profils, ils apparaissent dans le même fichier payload.xml.

      Vous pouvez maintenant procéder à l’importation du profil dans une autre ServiceNow AI Platform instance.

    5. Accédez à la Intégration Splunk ES > Profils d'événements Splunk ES.
    6. Cliquez sur Importer.
    7. Cliquez sur Choisir un fichier et sélectionnez le fichier XML sur votre ordinateur.
    8. Cliquez sur Charger.
    9. Cliquez sur Fermer et recharger les profils.

      L’illustration suivante montre l’importation d’un profil (SplunkES3profile) de l’instance ServiceNow AI Platform (psand.service-now.com) vers l’instance ServiceNow AI Platform (ppsand.service-now.com).

      Importation d’un profil Splunk.

      Vous avez importé le profil avec succès à partir d’une autre ServiceNow AI Platform instance.

      Vérifiez que les paramètres de configuration de la source exportée (Splunk compte API et Splunk URL du serveur) et du serveur MID sont valides et disponibles dans l’instance importée ServiceNow AI Platform . Mettez à jour votre Splunk Enterprise Security configuration si nécessaire.

    10. Facultatif : Vérifiez les paramètres du serveur MID après avoir importé un profil.
    11. Facultatif : Accédez à la Opérations de sécurité > Configurations d'intégration.
    12. Facultatif : Sélectionnez la vignette de Splunk Enterprise Security configuration, puis cliquez sur Mettre à jour.
    13. Facultatif : Examinez et mettez à jour les détails de la source et du serveur MID selon les besoins.