Splunk 엔터프라이즈 이벤트 수집 설정 구성

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 3분

    • Splunk 엔터프라이즈 이벤트 수집 설정을 사용하여 요구 사항에 따라 사전 설정 구성과 해당 값을 수정합니다.

    시작하기 전에

    필요한 역할: sn_si.ingestion_profile_admin

    주:
    sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.

    프로시저

    1. 다음으로 이동 모두 > Splunk Integration > Splunk Integration 설정.
    2. 양식에서 필드를 채웁니다.
      표 1. Splunk Integration 설정
      필드 설명
      프로파일 작성 시 표시할 최대 경보 수입니다.

      sn_sec_splunk_v2.max_alerts_to_display

      		 이벤트 프로파일을 생성하는 동안 표시할 최대 경보 수를 정의하는 옵션입니다.

      기본적으로 이 값은 500으로 설정됩니다.
      하루에 생성할 최대 보안 인시던트 수입니다.

      sn_sec_splunk_v2.max_si_per_day

      		 하루에 만들 수 있는 최대 보안 인시던트 수를 정의하는 옵션입니다.

      기본적으로 이 값은 1000으로 설정됩니다.
      호출당 Splunk에서 가져올 최대 이벤트 수입니다.

      sn_sec_splunk_v2.max_events_per_call

      		 각 호출에 대해 Splunk에서 검색할 최대 이벤트 수를 정의하는 옵션입니다.

      기본적으로 이 값은 100으로 설정됩니다.
      정보 제공 또는 디버깅을 위해 완료/오류 발생 후 항목이 큐 테이블에 남아 있는 일수입니다.

      sn_sec_splunk_v2.queue_item_expire

      		 정보 또는 디버깅 목적으로 인해 완료 또는 오류 발생 후 항목이 큐 테이블에 남아 있는 일수를 정의하는 옵션입니다.

      기본적으로 이 값은 14로 설정됩니다.
      이벤트 임포트, 작업에 대한 이벤트 및 발생한 경보 데이터를 유지할 일 수입니다.

      sn_sec_splunk_v2.retention_period

      		 이벤트 임포트, 작업에 대한 이벤트 및 발생한 경보 데이터를 보존할 일 수를 결정하는 옵션입니다.

      기본적으로 이 값은 30으로 설정됩니다.
      토큰 기반 인증 지원을 위한 기존 Splunk 소스 구성을 업데이트하려면 이 설정을 활성화합니다. 이 설정을 사용하도록 설정한 후에는 토큰 상세 정보로 통합 구성을 업데이트해야 합니다.

      sn_sec_splunk_v2.upgrade_existing_tile

      		 기존 Splunk 소스 구성을 기존 버전의 토큰 기반 인증 지원으로 업데이트하는 옵션입니다.
      주:
      새 버전으로 업그레이드하면 토큰 필드를 사용할 수 없게 됩니다. 토큰 기반 인증을 얻으려면 이 설정을 활성화해야 하며, 그 후에는 토큰 상세 정보로 통합 구성을 업데이트해야 합니다.

      기본적으로 값은 아니요로 설정됩니다.
      로깅 수준 - 디버그, 정보, 경고, 오류.

      sn_sec_splunk_v2.logging.verbosity

      		 로깅 수준을 설정하는 옵션

      (디버그, 정보, 경고 또는 오류)
      Splunk 검색 유효 시간(초)입니다.

      sn_sec_splunk_v2.sid_ttl

      		 Splunk 검색 결과가 유지되는 시간(초)을 설정하는 옵션입니다.

      기본적으로 이 값은 14로 설정됩니다.
      Splunk에서 이벤트를 가져오는 동안 추가할 겹침(분) 수입니다(Splunk의 인덱싱 지연을 극복하기 위해).

      sn_sec_splunk_v2.overlap_time

      		 Splunk에서 이벤트를 가져올 때 겹치는 추가 시간(분)을 지정하여 인덱싱 지연을 고려하는 데 도움이 되는 옵션입니다.

      기본적으로 이 값은 0으로 설정됩니다.
      수집 중에 Splunk 검색 쿼리를 발동하는 데 사용할 경보 규칙 배치 크기입니다.

      sn_sec_splunk_v2.rules_batch_size

      		 수집 중에 Splunk 검색 쿼리를 발생시키기 위한 배치 크기를 설정하는 옵션입니다.

      기본적으로 이 값은 50으로 설정됩니다.
      스파이크를 처리하기 위해 트리거된 경보당 이벤트 제한입니다.

      sn_sec_splunk_v2.spike_events_limit

      		 트리거된 경보당 처리되는 이벤트 수를 제한하는 옵션으로, 이벤트 볼륨의 급증을 관리하는 데 도움이 됩니다.

      기본적으로 이 값은 1000으로 설정됩니다.
      필드 매핑에서 값을 분할하는 구분 기호 문자입니다.

      sn_sec_splunk_v2.delimiter

      		 필드 매핑에서 값을 분할하는 데 사용되는 구분 기호 문자를 지정하는 옵션입니다.
    3. 저장을 선택합니다.