Enregistrer les recherches dans votre Splunk Enterprise console pour l’intégration Splunk Enterprise Event Ingestion

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Les étapes suivantes pour enregistrer les recherches dans votre Splunk Enterprise console sont fournies à un utilisateur disposant du rôle d’administrateur Splunk Enterprise .

    Avant de commencer

    Si vous avez déjà des recherches enregistrées et des alertes déclenchées dans votre Splunk Enterprise console, vous n’êtes pas obligé de modifier ces recherches pour cette intégration.

    L’intégration du produit au service de notification d’événements Splunk extrait les informations sur les ServiceNow AI Platform® Opérations de sécurité événements et les alertes à partir de Splunk.

    Avant d’ingérer des alertes dans votre Opérations de sécurité environnement, configurez les recherches dans votre Splunk Enterprise console afin d’extraire automatiquement les événements de sécurité pertinents que Splunk Enterprise vous souhaitez enregistrer en tant qu’alertes.

    Si vous n’avez pas enregistré de recherches et déclenché d’alertes établies pour la notification lorsque des événements de sécurité importants se produisent dans votre Splunk Enterprise console, procédez comme suit pour enregistrer les recherches.

    Rôle requis : Splunk Enterprise administrateur

    Procédure

    1. Connectez-vous à votre compte Splunk Enterprise.
    2. Cliquez sur l’onglet Rechercher .
    3. Dans le champ Nouvelle recherche qui s’affiche, saisissez une valeur pour l’alerte, par exemple Programme malveillant.
    4. Pour afficher les événements associés à votre recherche, à droite du champ Nouvelle recherche, cliquez sur l’icône de recherche ou appuyez sur Entrée.
      Les résultats de la recherche avec les événements s’affichent.
    5. Pour enregistrer la recherche sous forme d’alerte, dans le coin supérieur droit de la page, développez la liste de choix Enregistrer sous et sélectionnez Alerte.
    6. Renseignez les champs du formulaire qui s’affiche.
      ChampDescription
      Titre Nom descriptif de l’alerte, par exemple Événements de programme malveillant. Une fois cette recherche enregistrée en tant qu’alerte, les événements provenant d’une alerte déclenchée dans le Splunk service sont automatiquement traités en alertes déclenchées à l’aide de ces données de recherche. Ce titre d’alerte déclenchée est utilisé dans le profil d’événement que vous créez dans votre ServiceNow AI Platform instance pour identifier les événements ingérés dans votre instance pour ServiceNow AI Platform® Réponse aux incidents de sécurité SIR la création d’un incident de sécurité.
      (Facultatif) Descriptif Texte pour vous aider à distinguer cette alerte des autres alertes.
      Type d'alerte Dans les champs affichés, sélectionnez Planifié pour rechercher cette alerte selon une planification ou En temps réel pour rechercher cette alerte en continu.
      Résultats du déclencheur Vous préférez peut-être définir l’une des conditions de filtre suivantes :
      • Le nombre de résultats est supérieur ou inférieur à
      • Unique (une fois) pour chaque résultat
      Actions de déclencheurs Ajoutez des actions pour déclencher cette alerte. Développez la liste de choix Ajouter et cliquez sur Ajouter aux alertes déclenchées pour qu’il s’affiche sur le formulaire. Vous préférerez peut-être ce paramètre pour les alertes que vous ingérez dans votre ServiceNow AI Platform instance.
    7. Cliquez sur Enregistrer.
      Votre alerte est enregistrée et s’affiche sous l’onglet Alertes de la page Rechercher.
      Le Splunk service extrait les événements en fonction des critères que vous avez configurés dans l’alerte. Il met en cache les événements, puis vous les demandez à partir de vos profils que vous configurez dans votre ServiceNow AI Platform instance. Étant donné que l’extraction d’ingestion des événements se produit à partir d’un cache dans le Splunk service, cette ingestion à partir de votre ServiceNow AI Platform n’a pas d’impact sur les performances de votre Splunk plateforme.

    Que faire ensuite

    Vous avez terminé la configuration requise pour l’intégration dans votre Splunk Enterprise console. Si vous n’avez pas déjà installé l’application pour l’intégration à partir du ServiceNow Store, l’étape suivante consiste à installer l’application pour l’intégration et à la configurer.