Los administradores pueden limitar el acceso a la aplicación colocándola en Modalidad de solo vista previa. En modalidad de sólo vista previa, los usuarios no administrativos pueden añadir o eliminar instancias de Splunk en esta app, pero no pueden modificar la instancia de Splunk real. En concreto, los usuarios no administrativos pueden obtener una vista previa de los cambios y enviarlos a un administrador para modificar manualmente los archivos de configuración de Splunk .
El puerto que utilice para configurar el servidor Splunk debe estar abierto para que la app pueda utilizar las API Splunk para comunicarse con el servidor Splunk .
Acerca de esta tarea
Los administradores pueden habilitar la sincronización automática y establecer el intervalo de tiempo para que la aplicación mantenga los datos de origen dentro de la aplicación sincronizados con los orígenes disponibles en las instancias de Splunk configuradas.
- En el separador Admin , vaya al área QRadar® App for Splunk Data Forwarding de la sección Plug-ins y pulse Configuración.
- Añada una señal de autenticación (si todavía no se ha establecido) para conectarse a QRadar. Consulte Creación de una señal de autenticación.
- Opcional: Ponga la aplicación en modo de vista previa.
- Opcional: Habilite el recuadro de selección Sincronización automática y, a continuación, establezca el tiempo en minutos para el intervalo entre las operaciones de sincronización automática. El intervalo predeterminado es de 60 minutos.
Sugerencia: Establezca un valor de acuerdo con el número de instancias de Splunk configuradas en la aplicación. La sincronización frecuente con muchas instancias de Splunk configuradas puede provocar un deterioro del rendimiento de la aplicación.
- Pulse Conjunto para guardar los cambios y cerrar la ventana.
- Cuando se haya completado la configuración, renueve la ventana del navegador antes de utilizar la aplicación.
Se ha añadido la pestaña Reenvío desde Splunk en la barra de herramientas.