Configurer Splunk les entrées de données d’interrogation

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Configurez une entrée de données qui extrait périodiquement les données du journal à l’aide d’une Splunk requête.

    Avant de commencer

    • Assurez-vous qu’un Serveur MID est installé et configuré avec l’aptitude d’ingestion de journal activée.

      Configuration du Serveur MID avec l’aptitude d’ingestion de journaux activée.

      Important :
      Analyse de l'intégrité des journaux ne prend pas en charge IPv6. Pour utiliser l'application, configurez le Serveur MID sur IPv4.
    • Si l’adresse IP est exposée par la traduction d’adresses Serveur MID réseau (NAT), un équilibreur de charge ou un appareil similaire, elle doit avoir une adresse IP publique. Dans les propriétés Serveur MID, ajoutez une propriété nommée mid.public_ip avec l'adresse IP publique comme valeur. Pour plus d'informations, voir Créer une propriété de MID Server.
    • Pour plus d'informations sur l'expédition de vos journaux chiffrés à l'aide de SSL/TLS, consultez l'article Streaming Data With Rsyslog & Filebeat Using SSL [KB0866319] dans la base de connaissances Now Support.

    Rôle requis : evt_mgmt_admin

    Procédure

    1. Accédez à la Tout > Analyse de l'intégrité des journaux > Entrée de données > Entrées de données.
    2. Sur la page Entrées de données, sélectionnez Nouveau.
    3. Choisissez l’entrée Données d’interrogation Splunk .
    4. Renseignez les champs du formulaire.
      Pour obtenir une description des champs, consultez la rubrique Splunk Champs de configuration d’entrée des données d’interrogation.
    5. Facultatif : Sélectionnez Avancé pour définir des champs de configuration supplémentaires.
      Renseignez les champs de l’onglet Transport et de l’onglet Avancé. Pour obtenir une description des champs, consultez la rubrique Splunk Champs de configuration d’entrée des données d’interrogation.
    6. Sélectionnez Enregistrer.
      Analyse de l'intégrité des journaux ajoute l'enregistrement d'entrée de données à la table Entrées de données.
    7. Assurez-vous que l’entrée de données est configurée correctement en sélectionnant Test de la connexion.
      Analyse de l'intégrité des journaux tente de se connecter Serveur MID au référentiel de données. Si l’entrée de données est configurée pour s’exécuter sur un Serveur MID cluster, le système tente de connecter tous les Serveurs MID éléments contenus dans le cluster au référentiel. La grappe réussit le test si au moins l’une d’entre elles Serveurs MID est connectée.
      Remarque :
      Vous ne pouvez publier la configuration des entrées de données que lorsque la connexion est créée avec succès.
      • Si la connexion a été établie, le bouton Test de la connexion est désactivé et le bouton Publier est activé.
      • Si la connexion a échoué, le motif de l’échec s’affiche dans le champ Message d’erreur . Résolvez le problème, sélectionnez Enregistrer si vous avez modifié la configuration, puis sélectionnez Test de la connexion pour tester à nouveau la connexion.
      Remarque :
      Vous pouvez revenir à la dernière configuration publiée en sélectionnant Rétablir les changements. Cette option n’est disponible que lorsque vous modifiez une configuration qui a été publiée précédemment.
    8. Sélectionnez Publier pour publier l’entrée de données dans le Serveur MID.