Configurer les paramètres d’ingestion d’événements d’entreprise Splunk

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Utilisez les paramètres d’ingestion d’événements d’entreprise Splunk pour modifier les configurations prédéfinies et leurs valeurs selon vos besoins.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tout > Splunk Integration > Paramètres d’intégration Splunk.
    2. Renseignez les champs du formulaire.
      Tableau 1. Paramètres d’intégration Splunk
      Champ Description
      Nombre maximal d’alertes à afficher dans la création de profil Option permettant de définir le nombre maximal d’alertes que vous souhaitez afficher lors de la création d’un profil d’événement.

      Par défaut, la valeur est définie sur 500.
      Nombre maximum d’incidents de sécurité à créer en une journée Option permettant de définir le nombre maximal d’incidents de sécurité qui peuvent être créés en une journée.

      Par défaut, la valeur est définie sur 1 000.
      Nombre maximal d’événements à extraire de Splunk par appel Option permettant de définir le nombre maximal d’événements à récupérer à partir de Splunk pour chaque appel.

      Par défaut, la valeur est 100.
      Nombre de jours pendant lesquels un élément reste dans la table des files d’attente après l’avoir terminé ou généré des erreurs à des fins d’information ou de débogage Option permettant de définir le nombre de jours pendant lesquels un élément doit rester dans la table des files d’attente après l’achèvement ou une erreur survenue en raison de l’information ou du débogage.

      Par défaut, la valeur est définie sur 14.
      Nombre de jours de conservation des données d’importation d’événement, d’événement à tâche et d’alertes déclenchées Option permettant de déterminer le nombre de jours pendant lesquels vous souhaitez conserver les données d’importation d’événement, d’événement à tâche et d’alertes déclenchées.

      Par défaut, la valeur est définie sur 30.
      Activez ce paramètre pour mettre à jour les configurations de source Splunk existantes pour la prise en charge de l’authentification basée sur les jetons. Vous devrez mettre à jour la configuration d’intégration avec les détails du jeton une fois ce paramètre activé. Option permettant de mettre à jour la configuration source Splunk existante sur la prise en charge de l’authentification basée sur les jetons à partir d’une version existante.
      Remarque :
      Après la mise à niveau vers la nouvelle version, le champ de jeton devient indisponible. Vous devez activer ce paramètre pour obtenir l’authentification basée sur le jeton, après quoi vous devez mettre à jour la configuration d’intégration avec les détails du jeton.

      Par défaut, la valeur est définie sur Non.
      Figure 1. Paramètres d’intégration Splunk
      Configurer les paramètres d’intégration Splunk
    3. Cliquez sur Enregistrer.