将 Splunk 实例添加到应用程序,以便您可以将数据源转发到 QRadar® 以进行监视和分析。
过程
- 要添加单个 Splunk 实例,请完成以下步骤:
- 转至 从 Splunk转发 选项卡,然后单击 。
- 输入 Splunk 实例的 IP 或主机名,端口号以及 Splunk 实例的用户凭证。
- 将 证书验证 设置为 假。
- 单击 。
- 要添加多个 Splunk 实例,请完成以下步骤:
- 转至 从 Splunk转发 选项卡,然后单击 。
- 下载样本 CSV 文件,添加 Splunk 实例的 IP/ 主机名和端口号,并替换每个 Splunk 实例的样本用户凭证。 如果使用 Splunk 部署服务器,那么可以连接到该服务器并生成一个 CSV 文件,该文件列出 Splunk 部署中存在的所有 Splunk 服务器。 为该文件中列出的每个服务器添加用户名和密码,然后将该文件上载到应用程序。
注:
- 这些 CSV 文件包含以下字段: 主机名 (DNS) , IP 地址,端口号,用户名和密码。 您可以选择按主机名或 IP 地址导入文件的方式。 系统缺省导入 (按主机名)。 对于每一行,只有主机名或 IP 地址是必需的。 您只能指定某些行的主机名,而只能指定其他行的 IP 地址。 如果您选择按主机名导入,但只有 IP 地址可用,那么它将按 IP 地址导入。 如果选择按 IP 地址导入,但只有主机名可用,那么会按主机名导入。
- 如果您选择覆盖现有实例,那么会更新用户名和密码 (如果它们与先前上载的文件不同)。