Уведомления в Splunk

Вы можете настроить отправку уведомлений в Splunk.

Уведомления могут быть настроены на следующие события:

  • системные события:
    • создание пользователей,
    • управление интеграциями;
  • обнаружение уязвимости;
  • изменения в сетевом периметре.

Настройка отправки уведомлений

Выполните следующие действия в интерфейсе Splunk:

  1. Перейдите в меню SettingsAdd data.
  2. Выберите Monitor и вы перейдете на шаг Select Source.
  3. Выберите HTTP Event Collector и введите имя интеграции в поле Name. Остальные поля не обязательны для заполнения.
  4. Нажмите кнопку Next и вы перейдете на шаг Input Settings.
  5. На шаге Input Settings вы можете оставить настройки по умолчанию и нажать кнопку Review.
  6. На шаге Review проверьте правильность настроек. Подтвердите их, нажав на кнопку Submit и вы перейдете на шаг Done.
  7. На шаге Done в поле Token Value вам будет показан сгенерированный токен. Его необходимо будет ввести в поле HEC Token при создании интеграции Splunk в Валарм.

Выполните следующие действия в интерфейсе Валарм:

  1. Перейдите на вкладку Интеграции раздела Настройки.
  2. Нажмите на блок Splunk или используйте кнопку Добавить интеграцию в верхнем правом углу.
  3. В поле HEC Token вставьте значение токена, который вы сгенерировали в Splunk.
  4. В поле API URL вставьте URL вашего инстанса Splunk. Например, для Splunk Cloud это будет URL типа https://prd-p-tj2xx2f2xntv.cloud.splunk.com.
  5. В поле Имя интеграции задайте имя интеграции и ниже выберите типы событий, для которых должны приходить уведомления.
  6. Нажмите Создать.

Теперь уведомления для выбранных типов событий будут приходить в Splunk.

Отключение уведомлений

  1. Выберите cуществующую интеграцию на вкладке Интеграции.
  2. Нажмите Отключить.
  3. Нажмите Сохранить.

Удаление интеграции

  1. Выберите cуществующую интеграцию на вкладке Интеграции.
  2. Нажмите Удалить.
  3. Нажмите Точно?.