Copiar Splunk Enterprise Security perfis de uma instância para outra usando a funcionalidade de exportação/importação

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Você pode exportar e importar Splunk Enterprise Security configurações de perfis de uma instância Now Platform para uma instância Now Platform diferente.

    Antes de Iniciar

    As configurações que você pode exportar e importar incluem nome do perfil, regras de correlação, mapeamentos, filtros, critérios de agregação, traduções de campos, dados de amostra obtidos, programação e informações de origem do bloco de configuração.

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Essa funcionalidade permite que o administrador de segurança copie perfis que foram testados e verificados em uma instância Now Platform, por exemplo, em não produção, para outra instância Now Platform, por exemplo, produção, sem a necessidade de refazer todas as definições de configuração. As configurações que são exportadas e importadas incluem nome do perfil, regras de correlação, mapeamentos, filtros, critérios de agregação, traduções de campos, dados de amostra obtidos, programação e informações de origem do bloco de configuração.

    Nota:
    Quando você exporta um tipo de perfil de encaminhamento de eventos manual, os dados de anexo usados para o mapeamento do campo de amostra são copiados, no entanto, o arquivo de anexo em si não é exportado.

    Procedimento

    1. Navegar até Tudo > Splunk ES Integration > Perfis de eventos do Splunk ES.
    2. Selecione um perfil que você deseja exportar para outra instância Now Platform.
      Você pode selecionar vários perfis para exportação.
    3. No menu Ações, clique em Exportar.
    4. Quando a mensagem de exportação concluída for exibida, clique em Download.

      A ilustração a seguir mostra a exportação de um perfil (SplunkES3profile) da instância Now Platform (psand.service-now.com).

      Exportando dados de perfil do Splunk.

      O arquivo payload.xml exportado é baixado no seu computador. O arquivo contém o nome do perfil, regras de correlação, mapeamentos, filtros, critérios de agregação, traduções de campos, dados de amostra obtidos, programação e informações de origem do bloco de configuração. Quando você seleciona e baixa vários perfis, eles aparecem no mesmo arquivo payload.xml.

      Agora você pode prosseguir para importar o perfil em outra instância Now Platform.

    5. Navegar até Splunk ES Integration > Perfis de eventos do Splunk ES.
    6. Clique em Importar.
    7. Clique em Escolher arquivo e selecione o arquivo xml no seu computador.
    8. Clique em Carregar.
    9. Clique em Fechar e recarregar perfis.

      A ilustração a seguir mostra a importação de um perfil (SplunkES3profile) da instância Now Platform (psand.service-now.com) para a instância Now Platform (ppsand.service-now.com).

      Importação de um perfil Splunk.

      Você importou com sucesso o perfil de outra instância Now Platform.

      Verifique se a origem exportada (Splunk conta de API e Splunk URL do servidor) e as definições de configuração do MID Server são válidas e estão disponíveis na instância Now Platform importada. Atualize sua configuração Splunk Enterprise Security, se necessário.

    10. Opcional: Verifique as configurações do MID Server após importar um perfil.
    11. Opcional: Navegar até Operações de segurança > Configurações de Integração.
    12. Opcional: Selecione o bloco de configuração Splunk Enterprise Security e clique em Atualizar.
    13. Opcional: Revise e atualize os detalhes de origem e do MID Server conforme necessário.