Splunk Campos de configuração de entrada de dados de pesquisa

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Descrição dos campos no formulário Splunk de configuração de entrada de dados de pesquisa.

    Configuração básica

    Tabela 1. Guia Introdução
    Campo Descrição
    Nome Nome da nova entrada de dados. Este campo é obrigatório.
    Descrição Descrição da entrada de dados.
    Executar nos(as) Opção para determinar se deve ser usado um cluster específico MID Server ou MID Server.

    Este recurso é compatível com a aplicação Análise de logs de integridade, versão 26.0.17 - fevereiro de 2023 e posterior, disponível na ServiceNow Store.
    MID (Somente quando o campo Executar em estiver definido como MID Server específico.)

    O MID Server para o qual os logs são transmitidos.

    Este campo é obrigatório.
    Cluster do MID Server

    (Somente quando o campo Executar em estiver definido como MID Server Cluster.)

    O cluster MID Server para o qual os dados de log são extraídos.

    A entrada de dados é executada em um único MID Server no cluster até que MID Server falhe. O sistema move todas as tarefas de entrada de dados para o próximo MID Server disponível no cluster de acordo com a ordem configurada.

    Este recurso é compatível com a aplicação Análise de logs de integridade, versão 26.0.17 - fevereiro de 2023 e posterior, disponível na ServiceNow Store.

    Nota:
    • Análise de logs de integridade oferece suporte somente a clusters de failover MID Server. Nesses clusters, vários MID Servers são agrupados para proteção de failover. Ao selecionar um cluster no formulário de entrada de dados, a lista MID Server Clusters exibe somente clusters de failover.
    • O cluster MID Server deve incluir somente MID Servers que oferecem suporte à autenticação básica. O mTLS não é compatível com a ingestão de log.
    • A ingestão de log deve ser habilitada para cada MID Server no cluster. Se a ingestão de log não estiver habilitada para o MID Serverativo, Análise de logs de integridade a habilitará automaticamente.
    • O número máximo padrão de registros de fluxo de entradas de dados para um único MID Server é 10. Um cluster será aprovado na validação de capacidade se contiver pelo menos um MID Server com menos de 10 entradas de dados em execução, mesmo quando esse MID Server estiver inativo.
    Para obter mais informações sobre MID Server clusters, consulte Configuração de um cluster do MID Server.

    Este campo é obrigatório.
    Instância do serviço A instância de serviço à qual os dados de log serão vinculados. Este campo é obrigatório.
    Nota:
    Se não existir nenhuma instância de serviço relevante, crie uma instância de serviço e adicione ICs a ela. Defina o status da nova instância de serviço como Operacional.
    Transporte O protocolo usado para transmitir mensagens de log para sua instância ServiceNow.
    Contagem de fontes O número de origens de log que esta entrada de dados criou.
    Status Status da entrada de dados.
    Desativado desde A hora em que a entrada de dados parou ou falhou.
    Hora do último log A hora em que o último log foi transmitido na entrada de dados.

    Configuração avançada

    Tabela 2. Guia Transporte
    Campo Descrição
    URL do servidor O URL usado para acessar a Splunk REST API.
    Consulta A consulta Splunk usa para pesquisar seus dados.
    Tipo de autenticação O tipo de autenticação.
    • Autenticação básica: envia um nome de usuário e senha com cada solicitação HTTP. A autenticação básica é mais simples do que a autenticação baseada em token, mas é menos segura.
    • Autenticação de token: o cliente obtém um token de um servidor de autenticação e usa esse token para autenticar em Splunk.
    Splunk Alias de credencial de pesquisa O alias de credencial a ser usado.

    Especifique um alias de credencial Splunk de pesquisa selecionando o ícone de lupa e selecionando um alias de credencial existente na lista Aliases de conexão e credencial ou selecionando Novo para criar um novo registro. O alias de credencial selecionado pode conter uma credencial de autenticação básica e uma credencial de autenticação de token.

    Para obter informações sobre como criar um alias de credencial, consulte Aliases de credencial para Descoberta.
    De A data e hora a partir das quais Splunk pesquisa os dados.
    Para A data e a hora até as quais Splunk pesquisa os dados.
    Tabela 3. Guia Avançado
    Campo Descrição
    Máximo de documentos por consulta O número máximo de documentos recuperados sempre que os dados de log são obtidos de Splunk. Padrão: 10.000.
    Splunk tempo limite da solicitação (segundos) O tempo máximo, em segundos, permitido para recuperação de dados antes que a solicitação expire.