Planifier et récupérer des alertes pour l’intégration Splunk Enterprise Event Ingestion

Rversion finale: Australia

Mis à jour 12 mars 2026

4 minutes de lecture

Pour les profils d’ingestion automatisée d’alertes, cette étape est la dernière étape de la configuration du profil d’événement. Au cours de cette étape, vous pouvez vérifier les paramètres par défaut pour la récupération des alertes ou modifier la planification si nécessaire. Cette étape vous permet de filtrer votre récupération d’alerte en fonction d’une plage de dates.

Avant de commencer

Rôle requis : sn_si.ingestion_profile_admin

Remarque :

Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

Pourquoi et quand exécuter cette tâche

Une fois que vous avez terminé toutes les étapes de la barre de progression de la configuration du profil, comme illustré dans la figure suivante, vous avez terminé la configuration des profils pour le transfert manuel d’événements. Il n’existe aucune planification disponible pour les événements transférés manuellement à partir de votre Splunk Enterprise console. Pour les profils d’ingestion automatisée d’alertes, vous choisissez d’ingérer ou non les alertes historiques pendant l’étape de planification. Vous choisissez également la fréquence à laquelle vous interrogerez les alertes futures qui correspondent à la configuration du profil d’alerte.

Pour les profils d’ingestion d’alertes automatisées, avant d’activer le profil, vous vérifiez et modifiez la planification et la récupération des alertes. Cette étape est la dernière étape du processus de configuration du profil d’événement pour les profils d’alerte planifiée.

Configurez ces intervalles d’interrogation pour chaque profil. Les différents intervalles d’interrogation affectent les performances de l’intégration Splunk de l’ingestion d’événements. Lors de la planification, vous préférerez peut-être équilibrer la charge du système par rapport à l’urgence de l’incident. Une valeur par défaut de cinq minutes est définie pour n’importe quel profil, mais vous préférez peut-être modifier ce paramètre en fonction de l’urgence de l’incident et de la charge prévue sur votre système.

Dans la Splunk Enterprise console, vous définissez une alerte à déclencher en fonction d’incréments ou d’une heure spécifique. Utilisez ce paramètre pour vous aider à configurer la planification dans votre ServiceNow AI Platform instance afin que les incréments de temps de votre Splunk Enterprise console se synchronisent avec la planification que vous configurez dans votre ServiceNow AI Platform instance.

Procédure

Si la page Planification de la barre de progression ne s’affiche pas, sélectionnez Planification.

Choisissez-en un pour planifier comment et quand les alertes sont extraites de la Splunk Enterprise console.

Option	Description
Champ d’alerte en cours sélectionné Champ Récupération ponctuelle effacé	Alerte en cours En fonction du paramètre par défaut, l’instance ServiceNow AI Platform extrait du Splunk Enterprise serveur de nouvelles alertes toutes les cinq minutes. Les incidents de sécurité sont créés si des alertes déclenchées sont détectées et que les critères de filtrage correspondent. Pour équilibrer l’ingestion des alertes par rapport à la charge du serveur, et pour extraire les données les plus récentes, vous préférerez peut-être cinq minutes. Toutefois, cette valeur peut être modifiée si nécessaire.
Champ d’alerte en cours effacé Champ de récupération ponctuelle sélectionné	Récupération ponctuelle Utilisez cette configuration si vous souhaitez qu’une extraction ponctuelle ingère des alertes basées sur des événements historiques. Lorsqu’il est configuré, un profil est utilisé une fois pour récupérer des alertes déclenchées, y compris des alertes provenant d’événements historiques basés sur une plage de dates. À droite du champ Depuis la date , cliquez sur l’icône Calendrier. Dans le calendrier qui s’affiche, sélectionnez la date à laquelle vous souhaitez commencer à extraire les alertes. À partir de la valeur Date de début , les alertes déclenchées sont récupérées jusqu’à la date actuelle. Une fois les alertes extraites, ce paramètre ne récupère pas les alertes déclenchées pour ce profil à partir de la date actuelle. Ce paramètre remplit l’incident de sécurité avec toutes les alertes trouvées pour la plage que vous entrez.

Option

Description

Champ d’alerte en cours sélectionné
Champ Récupération ponctuelle effacé

Alerte en cours

En fonction du paramètre par défaut, l’instance ServiceNow AI Platform extrait du Splunk Enterprise serveur de nouvelles alertes toutes les cinq minutes. Les incidents de sécurité sont créés si des alertes déclenchées sont détectées et que les critères de filtrage correspondent. Pour équilibrer l’ingestion des alertes par rapport à la charge du serveur, et pour extraire les données les plus récentes, vous préférerez peut-être cinq minutes. Toutefois, cette valeur peut être modifiée si nécessaire.

Champ d’alerte en cours effacé
Champ de récupération ponctuelle sélectionné

Récupération ponctuelle

Utilisez cette configuration si vous souhaitez qu’une extraction ponctuelle ingère des alertes basées sur des événements historiques.

Lorsqu’il est configuré, un profil est utilisé une fois pour récupérer des alertes déclenchées, y compris des alertes provenant d’événements historiques basés sur une plage de dates. À droite du champ Depuis la date , cliquez sur l’icône Calendrier. Dans le calendrier qui s’affiche, sélectionnez la date à laquelle vous souhaitez commencer à extraire les alertes. À partir de la valeur Date de début , les alertes déclenchées sont récupérées jusqu’à la date actuelle.

Une fois les alertes extraites, ce paramètre ne récupère pas les alertes déclenchées pour ce profil à partir de la date actuelle. Ce paramètre remplit l’incident de sécurité avec toutes les alertes trouvées pour la plage que vous entrez.

Page de planification avec calendrier affiché.

À titre d’exemple pour la planification, si vous avez une alerte quotidienne Splunk qui s’exécute une fois par jour à 4 heures du matin, heure locale, vous pouvez configurer le profil d’alerte correspondant dans votre ServiceNow AI Platform instance pour qu’il s’exécute à 4 h 05, heure locale, afin de capturer immédiatement l’alerte et de créer un incident de sécurité. Saisissez 04 05 00 dans le champ d’ingestion d’alerte initiale . Dans le champ Incrément (minutes), entrez 1 440 (24 heures) pour planifier l’ingestion d’alerte suivante pendant 24 heures à compter de l’ingestion d’alerte initiale. Les délais d’ingestion des alertes initiales et des alertes suivantes sont affichés dans les champs.

Pour configurer les paramètres de cet exemple, procédez comme suit.
1. Une fois la page Planification affichée, cochez la case Alerte en cours pour activer cette option.
2. Dans le champ Incrément (minutes), saisissez 1 440 (24 heures).
3. Cochez la case Sélectionner l’ingestion de l’alerte initiale pour activer la modification des champs Ingestion de l’alerte initiale et Ingestion de l’alerte suivante.
4. Dans le champ Ingestion de l’alerte initiale, saisissez 04 05 00.
  L’heure de l’ingestion de l’alerte suivante (estimation) s’affiche dans le champ Ingestion de l’alerte suivante.
Cliquez sur Terminer pour terminer la configuration.
Une boîte de dialogue de confirmation s’affiche. Vous avez terminé les installations et la configuration de l’intégration. Ce profil est activé et extrait les alertes de la Splunk Enterprise console en fonction de votre planification. Il existe une limite de 1 000 incidents de sécurité qui peuvent être créés dans une période de 24 heures. Jusqu’à 100 événements par alerte déclenchée. Les événements ultérieurs sont ignorés une fois les limites atteintes.