Copiar Splunk Enterprise Event Ingestion perfis de uma instância para outra usando a funcionalidade de exportação/importação

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Você pode exportar e importar configurações de perfis [ Splunk Enterprise Event Ingestion de uma instância Now Platform para uma instância Now Platform diferente.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Esta funcionalidade permite que o administrador de segurança copie perfis que foram testados e verificados em uma instância Now Platform, por exemplo, em não produção, para outra instância Now Platform, por exemplo, produção, sem a necessidade de refazer todas as definições de configuração. As configurações exportadas e importadas incluem nome do perfil, regras de correlação, mapeamentos, filtros, critérios de agregação, traduções de campos, dados de amostra obtidos, programação e informações de origem do bloco de configuração.

    Nota:
    Quando você exporta um tipo de perfil de encaminhamento de evento manual, os dados de anexo usados para o mapeamento de campo de amostra são copiados, no entanto, o arquivo de anexo em si não é exportado.

    Procedimento

    1. Navegar até Todos > Splunk Integration > Perfis de evento do Splunk.
    2. Selecione um perfil que você deseja exportar para outra instância Now Platform.
      Você pode selecionar vários perfis para exportação.
    3. No menu Ações, clique em Exportar.
    4. Quando a mensagem de conclusão da exportação for exibida, clique em Download.
      A ilustração a seguir mostra a exportação de um perfil Splunk (Perfil Manual 2) da sua instância Now Platform (psand.service-now.com).Exportando perfis do Splunk.

      O arquivo payload.xml exportado é baixado no seu computador. O arquivo contém o nome do perfil, regras de correlação, mapeamentos, filtros, critérios de agregação, traduções de campos, dados de amostra obtidos, programação e informações de origem do bloco de configuração. Quando você seleciona e baixa vários perfis, eles aparecem no mesmo arquivo payload.xml.

      Agora você pode prosseguir para importar o perfil em outra instância Now Platform.

    5. Navegar até Splunk Integration > Perfis de evento do Splunk.
    6. Clique em Importar.
    7. Clique em Escolher arquivo e selecione o arquivo xml no seu computador.
    8. Clique em Carregar.
    9. Clique em Fechar e Recarregar Perfis.
      A ilustração a seguir mostra a importação de um perfil Splunk (Manual Profile 2) da instância Now Platform (psand.service-now.com) para outra instância Now Platform (ppsand.service-now.com).

      Importando perfis do Splunk.

      Você importou com sucesso o perfil de outra instância Now Platform.

      Verifique se a origem exportada (Splunk conta da API e Splunk URL do servidor) e as configurações do MID Server são válidas e estão disponíveis na instância Now Platform importada. Atualize sua configuração Splunk Enterprise Event Ingestion, se necessário.

    10. Opcional: Verifique as configurações do MID Server após importar um perfil.
    11. Opcional: Navegar até Security Operations > Configurações de Integração.
    12. Opcional: Selecione o bloco de configuração Splunk Enterprise Event Ingestion e clique em Atualizar.
    13. Opcional: Revise e atualize a origem e os detalhes do MID Server conforme necessário.