SplunkChamps de configuration d’intégration de l’analyseur

  • Rversion finale: Yokohama
  • Mis à jour 24 févr. 2025
  • 3 minutes de lecture

    • Description des champs sur les formulaires de configuration de l’intégration de l’analyseur Splunk pour .Analyse de l'intégrité des journaux

    Tableau 1. Fournir des détails
    Champ Description
    Nom de l'intégration Nom unique de cette intégration. Ce champ est obligatoire.
    Remarque :
    Lorsque vous remplissez ce champ, le nom générique affiché sur le formulaire s’ajuste automatiquement pour correspondre au nom que vous avez saisi.
    Description Option permettant d’ajouter une brève description de l’intégration pour faciliter son identification.
    Instance de service Instance de service à laquelle lier les données du journal. Ce champ est obligatoire.
    Exécuter sur Option permettant de déterminer s’il faut utiliser une unité spécifique Serveur MID ou une Serveur MID grappe.

    Cette fonctionnalité est prise en charge dans l’application, version Analyse de l'intégrité des journaux 26.0.17 : février 2023 et ultérieures, disponible depuis le ServiceNow Store.
    Nom du serveur MID

    (Uniquement lorsque le champ Exécuter sur est défini sur Serveur MID spécifique)

    Serveur MID vers lequel les données de journal de Apache Kafka sont extraites.
    Remarque :
    • Vous pouvez sélectionner uniquement des Serveurs MID qui prennent en charge l'authentification de base. Les Serveurs MID qui prennent en charge mTLS ne sont pas répertoriés.
    • Le nombre maximal par défaut d'entrées de données qui diffusent des journaux vers une seul Serveur MID est de 10. Vous pouvez modifier ce nombre dans les propriétés du MID Server.
    • Si l’ingestion de journal n’est pas activée pour la tâche sélectionnée Serveur MID, Analyse de l'intégrité des journaux elle est activée automatiquement.
    Ce champ est obligatoire.
    Grappe de Serveur MID

    (Uniquement lorsque le champ Exécuter sur est défini sur Serveur MID Grappe.)

    Grappe Serveur MID vers laquelle les données de journal sont extraites.

    L’entrée de données s’exécute sur une seule Serveur MID dans la grappe jusqu’à ce que cela Serveur MID échoue. Le système déplace ensuite toutes les tâches d’entrée de données vers la prochaine tâche disponible Serveur MID dans la grappe en fonction de l’ordre configuré.

    Cette fonctionnalité est prise en charge dans l’application, version Analyse de l'intégrité des journaux 26.0.17 : février 2023 et ultérieures, disponible depuis le ServiceNow Store.

    Remarque :
    • Analyse de l'intégrité des journaux ne prend en charge que les clusters de basculement Serveur MID . Dans ces clusters, plusieurs Serveurs MID sont regroupés pour la protection contre le basculement. Lors de la sélection d’une grappe à partir du formulaire d’entrée de données, la Serveur MID liste Grappes affiche uniquement les grappes de basculement.
    • La Serveur MID grappe ne doit inclure que Serveurs MID ceux qui prennent en charge l’authentification de base. mTLS n’est pas pris en charge pour l’ingestion de journaux.
    • L’ingestion de journaux doit être activée pour chacun Serveur MID des éléments de la grappe. Si l’ingestion de journal n’est pas activée pour l’actif Serveur MID, Analyse de l'intégrité des journaux l’active automatiquement.
    • Le nombre maximal par défaut d'entrées de données qui diffusent des journaux vers un seul Serveur MID est de 10. Un cluster passe la validation de capacité s’il en contient au moins un Serveur MID avec moins de 10 entrées de données en cours d’exécution, même lorsque celui-ci Serveur MID est en panne.
    Pour plus d’informations sur Serveur MID les grappes, voir Configurer une grappe de Serveur MID.

    Ce champ est obligatoire.
    Tableau 2. Définir la méthode de récupération de données
    Champ Description
    URL du serveur de l'API REST URL utilisée pour accéder à l’API Splunk REST.
    Remarque :
    • Par défaut, Splunkle point de terminaison de l’API REST de est disponible sur le port 8089. Par conséquent, le point de terminaison par défaut de l’API Splunk REST est le suivant : http://<splunk-server> :8089.
    • Le point de terminaison de REST API est différent du point de terminaison frontal.
    Méthode d'authentification L’alias d’informations d’identification à utiliser.

    L’intégration Splunk utilise des alias d’informations d’identification au lieu de références directes aux informations d’identification pour l’authentification. Les alias d’informations d’identification sont répertoriés par type : les alias qui contiennent des informations d’identification d’authentification de base et ceux qui contiennent des informations d’identification d’authentification par jeton. Si un alias contient les deux types d’informations d’identification, il apparaît dans les deux catégories.

    Vous pouvez sélectionner Gérer les alias d’informations d’identification pour gérer vos alias d’informations d’identification et en créer de nouveaux dans la liste Alias de connexion et d’informations d’identification .
    Requête La requête Splunk utilise pour rechercher vos données.

    Par exemple, la requête sourcetype="adc_access_log » indique à l’intégration de l’analyseur Splunkde récupérer tous les journaux avec le type de source adc_access_log.
    Tableau 3. Paramètres avancés
    Champ Description
    Nombre maximal de documents par requête Nombre maximal de documents récupérés à chaque fois que des données de journal sont extraites à partir de Splunk. Par défaut : 10 000.
    Splunk Délai d’expiration de la demande (secondes) La durée maximale, en secondes, autorisée pour la récupération des données avant l’expiration de la demande.