Configurer les paramètres d’ingestion d’événements Splunk Enterprise

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Utilisez les paramètres d’ingestion d’événements Splunk Enterprise pour modifier les configurations prédéfinies et leurs valeurs en fonction de vos besoins.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tout > Splunk Integration > Paramètres d’intégration Splunk.
    2. Renseignez les champs du formulaire.
      Tableau 1. Paramètres d’intégration Splunk
      Champ Description
      Nombre maximal d’alertes à afficher dans la création de profil Option permettant de définir le nombre maximal d’alertes que vous souhaitez afficher lors de la création d’un profil d’événement.

      Par défaut, cette valeur est définie sur 500.
      Nombre maximal d’incidents de sécurité à créer en une journée Option permettant de définir le nombre maximal d’incidents de sécurité qui peuvent être créés en une journée.

      Par défaut, cette valeur est définie sur 1 000.
      Nombre maximal d’événements à extraire de Splunk par appel Option permettant de définir le nombre maximal d’événements à extraire de Splunk pour chaque appel.

      Par défaut, cette valeur est définie sur 100.
      Nombre de jours durant lesquels un élément reste dans la table de file d’attente après l’achèvement ou la création d’erreurs à des fins d’informations ou de débogage Option permettant de définir le nombre de jours pendant lesquels un élément doit rester dans la table de file d’attente après l’achèvement ou la survenue d’une erreur à des fins d’informations ou de débogage.

      Par défaut, cette valeur est définie sur 14.
      Nombre de jours de conservation des données d’importation d’événement, d’événement vers tâche et d’alertes déclenchées Option permettant de déterminer le nombre de jours pendant lesquels vous souhaitez conserver les données d’importation d’événement, d’événement en tâche et d’alertes déclenchées.

      Par défaut, cette valeur est définie sur 30.
      Activez ce paramètre pour mettre à jour les configurations de source Splunk existantes pour la prise en charge de l’authentification basée sur le jeton. Une fois ce paramètre activé, vous devez mettre à jour la configuration d’intégration avec les détails du jeton. Option permettant de mettre à jour la configuration source Splunk existante vers la prise en charge de l’authentification basée sur les jetons à partir d’une version existante.
      Remarque :
      Après la mise à niveau vers la nouvelle version, le champ Jeton devient indisponible. Vous devez activer ce paramètre pour obtenir l’authentification basée sur le jeton, après quoi vous devez mettre à jour la configuration d’intégration avec les détails du jeton.

      Par défaut, cette valeur est définie sur Non.
      Figure 1. Paramètres d’intégration Splunk
      Configurer les paramètres d’intégration Splunk
    3. Cliquez sur Enregistrer.