Definir configurações de ingestão de eventos do Splunk Enterprise

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Use as configurações de ingestão de eventos do Splunk Enterprise para modificar as configurações predefinidas e seus valores de acordo com seus requisitos.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Navegar até Todos > Splunk Integration > Configurações de integração do Splunk.
    2. No formulário, preencha os campos.
      Tabela 1. Configurações de integração do Splunk
      Campo Descrição
      Número máximo de alertas a serem exibidos na criação do perfil Opção para definir o número máximo de alertas que você deseja exibir ao criar um perfil de evento.

      Por padrão, o valor é definido como 500.
      Número máximo de incidentes de segurança a serem criados em um dia Opção para definir o número máximo de incidentes de segurança que podem ser criados em um dia.

      Por padrão, o valor é definido como 1000.
      Número máximo de eventos a serem buscados do Splunk por chamada Opção para definir o número máximo de eventos a serem recuperados do Splunk para cada chamada.

      Por padrão, o valor é definido como 100.
      O número de dias que um item permanece na tabela da fila após a conclusão/erro para fins de informação ou depuração Opção para definir o número de dias para um item permanecer na tabela de fila após a conclusão ou a ocorrência de erro devido a informações ou fins de depuração.

      Por padrão, o valor é definido como 14.
      Número de dias para reter os dados de importação de eventos, eventos para tarefas e alertas disparados Opção para determinar o número de dias em que você deseja reter a importação de eventos, o evento para tarefa e os dados de alertas disparados.

      Por padrão, o valor é definido como 30.
      Ative esta configuração para atualizar as configurações de origem do Splunk existentes para suporte à autenticação baseada em token. Você precisará atualizar a configuração de integração com detalhes do token quando essa configuração estiver habilitada. Opção para atualizar a configuração de origem do Splunk existente para suporte à autenticação baseada em token de uma versão existente.
      Nota:
      Depois de fazer upgrade para a nova versão, o campo de token ficará indisponível. Você precisa habilitar esta configuração para obter a autenticação baseada em token e, em seguida, atualizar a configuração de integração com os detalhes do token.

      Por padrão, o valor é definido como Não.
      Figura 1. Configurações de integração do Splunk
      Definir configurações de integração do Splunk
    3. Clique em Salvar.