Splunk Pesquisador integração campos de configuração

  • Versão de lançamento: Yokohama
  • Atualizado 24 de fev. de 2025
  • 3 min. de leitura

    • Descrição dos campos nos formulários de configuração de Splunk Pesquisador Integração para Análise de logs de integridade.

    Tabela 1. Detalhes do provedor
    Campo Descrição
    Nome da integração Nome exclusivo desta integração. Este campo é obrigatório.
    Nota:
    Quando você preenche este campo, o nome genérico exibido no formulário se ajusta automaticamente para corresponder ao nome inserido.
    Descrição Opção para adicionar uma breve descrição da integração para ajudar a identificá-la.
    Instância do serviço A instância de serviço à qual os dados de log serão vinculados. Este campo é obrigatório.
    Executar nos(as) Opção para determinar se deve ser usado um cluster específico MID Server ou MID Server.

    Este recurso é compatível com a aplicação Análise de logs de integridade, versão 26.0.17 - fevereiro de 2023 e posterior, disponível na ServiceNow Store.
    Nome do MID Server

    (Somente quando o campo Executar em estiver definido como MID Server específico)

    MID Server para o qual os dados de log de Apache Kafka são extraídos.
    Nota:
    • Você pode selecionar somente MID Servers que oferecem suporte à autenticação básica. MID Servers que oferecem suporte a mTLS não estão listados.
    • O número máximo padrão de registros de fluxo de entradas de dados para um único MID Server é 10. Você pode modificar este número nas propriedades do MID Server.
    • Se a ingestão de log não estiver habilitada para o MID Serverselecionado, Análise de logs de integridade a habilitará automaticamente.
    Este campo é obrigatório.
    Cluster do MID Server

    (Somente quando o campo Executar em estiver definido como MID Server Cluster.)

    O cluster MID Server para o qual os dados de log são extraídos.

    A entrada de dados é executada em um único MID Server no cluster até que MID Server falhe. O sistema move todas as tarefas de entrada de dados para o próximo MID Server disponível no cluster de acordo com a ordem configurada.

    Este recurso é compatível com a aplicação Análise de logs de integridade, versão 26.0.17 - fevereiro de 2023 e posterior, disponível na ServiceNow Store.

    Nota:
    • Análise de logs de integridade oferece suporte somente a clusters de failover MID Server. Nesses clusters, vários MID Servers são agrupados para proteção de failover. Ao selecionar um cluster no formulário de entrada de dados, a lista MID Server Clusters exibe somente clusters de failover.
    • O cluster MID Server deve incluir somente MID Servers que oferecem suporte à autenticação básica. O mTLS não é compatível com a ingestão de log.
    • A ingestão de log deve ser habilitada para cada MID Server no cluster. Se a ingestão de log não estiver habilitada para o MID Serverativo, Análise de logs de integridade a habilitará automaticamente.
    • O número máximo padrão de registros de fluxo de entradas de dados para um único MID Server é 10. Um cluster será aprovado na validação de capacidade se contiver pelo menos um MID Server com menos de 10 entradas de dados em execução, mesmo quando esse MID Server estiver inativo.
    Para obter mais informações sobre MID Server clusters, consulte Configuração de um cluster do MID Server.

    Este campo é obrigatório.
    Tabela 2. Definir método de recuperação de dados
    Campo Descrição
    URL do servidor da REST API O URL usado para acessar a Splunk REST API.
    Nota:
    • Por padrão, o endpoint da REST API Splunkestá disponível na porta 8089. Portanto, o endpoint padrão para a REST API Splunk é: http://<splunk-server> :8089 .
    • O endpoint da REST API é diferente do endpoint de front-end.
    Método de autenticação O alias de credencial a ser usado.

    A integração Splunk usa aliases de credencial em vez de referências diretas a credenciais para autenticação. Os aliases de credencial são listados por tipo: aliases que contêm credenciais de autenticação básica e aqueles que contêm credenciais de autenticação de token. Se um alias contiver ambos os tipos de credenciais, ele aparecerá em ambas as categorias.

    Você pode selecionar Gerenciar aliases de credencial para gerenciar seus aliases de credencial e criar novos na lista Aliases de conexão e credencial.
    Consulta A consulta Splunk usa para pesquisar seus dados.

    Por exemplo, a consulta sourcetype="adc_access_log" instrui a integração [ Splunk do Pesquisador a recuperar todos os logs com o tipo de origem adc_access_log.
    Tabela 3. Configurações avançadas
    Campo Descrição
    Máximo de documentos por consulta O número máximo de documentos recuperados sempre que os dados de log são obtidos de Splunk. Padrão: 10.000.
    Splunk tempo limite da solicitação (segundos) O tempo máximo, em segundos, permitido para recuperação de dados antes que a solicitação expire.