Configurar Splunk entradas de dados de pesquisa

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Configure uma entrada de dados que extraia periodicamente dados de log de Splunk usando uma consulta.

    Antes de Iniciar

    • Certifique-se de que um MID Server esteja instalado e configurado com a capacidade de ingestão de log habilitada.

      Configuração do MID Server com capacidade de ingestão de log habilitada.

      Importante:
      Análise de logs de integridade não é compatível com IPv6. Para trabalhar com a aplicação, configure o MID Server para IPv4.
    • Se o endereço IP MID Server for exposto pela conversão de endereço de rede (NAT), um balanceador de carga ou um dispositivo semelhante, ele deverá ter um endereço IP público. Nas propriedades MID Server, adicione uma propriedade chamada mid.public_ip com o endereço IP público como o valor. Para obter mais informações, consulte Criar uma propriedade do MID Server.
    • Para obter informações sobre como enviar seus logs criptografados usando SSL TLS, consulte o artigo Streaming de dados com Rsyslog e Filebeat usando SSL [KB0866319] na Base de conhecimento Now Support.

    Função necessária: evt_mgmt_admin

    Procedimento

    1. Navegar até Tudo > Análise de logs de integridade > Entrada de dados > Entradas de dados.
    2. Na página Entradas de dados, selecione Novo.
    3. Escolha a entrada de dados de pesquisa Splunk.
    4. No formulário, preencha os campos.
      Para obter uma descrição dos campos, consulte Splunk Campos de configuração de entrada de dados de pesquisa.
    5. Opcional: Selecione Avançado para definir campos de configuração adicionais.
      Na guia Transporte e na guia Avançado, preencha os campos. Para obter uma descrição dos campos, consulte Splunk Campos de configuração de entrada de dados de pesquisa.
    6. Selecione Save (Salvar).
      Análise de logs de integridade adiciona o registro de entrada de dados à tabela Entradas de dados.
    7. Certifique-se de que a entrada de dados esteja configurada corretamente selecionando Testar conexão.
      Análise de logs de integridade tenta conectar o MID Server ao repositório de dados. Se a entrada de dados estiver configurada para ser executada em um cluster MID Server, o sistema tentará conectar todos os MID Servers contidos no cluster ao repositório. O cluster será aprovado no teste se pelo menos um de seus MID Servers for conectado.
      Nota:
      Você só pode publicar a configuração de entrada de dados quando a conexão é criada com sucesso.
      • Se a conexão tiver sido estabelecida, o botão Testar conexão será desativado e o botão Publicar será habilitado.
      • Se a conexão falhar, o motivo da falha será exibido no campo Mensagem de erro. Resolva o problema, selecione Salvar se você modificou a configuração e selecione Testar conexão para testar a conexão novamente.
      Nota:
      Você pode reverter para a última configuração publicada selecionando Reverter mudanças. Esta opção está disponível somente quando você está modificando uma configuração que foi publicada anteriormente.
    8. Selecione Publicar para publicar a entrada de dados no MID Server.