Splunk Enterprise イベントの取り込み設定の構成
Splunk Enterprise イベントの取り込み設定を使用して、事前設定された構成とその値を要件に従って変更します。
始める前に
必要なロール:sn_si.admin
手順
-
フォームの各フィールドに入力します。
表 : 1. Splunk Integration 設定 フィールド 説明 プロファイル作成時に表示されるアラートの最大数 イベントプロファイルの作成時に表示するアラートの最大数を定義するオプション。 デフォルト値は 500 に設定されています。
1 日に作成されるセキュリティインシデントの最大数 1 日に作成できるセキュリティインシデントの最大数を定義するオプション。 デフォルト値は 1000 に設定されています。
呼び出しごとに Splunk からフェッチするイベントの最大数 呼び出しごとに Splunk から取得するイベントの最大数を定義するオプション。 デフォルト値は 100 に設定されています。
情報提供またはデバッグの目的で、完了/エラー発生後にアイテムがキューテーブルに保持される日数 情報提供またはデバッグの目的で、完了またはエラー発生後にアイテムがキューテーブルに保持される日数を定義するオプション。 デフォルト値は 14 に設定されています。
イベントインポート、タスクに対するイベント、および発生したアラートデータを保持する日数 イベントインポート、タスクに対するイベント、および発生したアラートデータを保持する日数を決定するオプション。 デフォルト値は 30 に設定されています。
トークンベースの認証をサポートする既存の Splunk ソース構成を更新するには、この設定をアクティブ化します。この設定を有効にしたら、トークンの詳細を使用して統合構成を更新する必要があります。 既存のバージョンからトークンベースの認証をサポートする既存の Splunk ソース構成を更新するオプション。 注:新しいバージョンにアップグレードすると、トークンフィールドは使用できなくなります。トークンベースの認証を取得するには、この設定を有効にし、その後、トークンの詳細を使用して統合構成を更新する必要があります。デフォルト値は [いいえ] に設定されています。
図 : 1. Splunk Integration 設定