Уведомления в Splunk

Вы можете настроить отправку уведомлений в Splunk.

Уведомления могут быть настроены на следующие события:

  • системные события:
    • создание пользователей,
    • управление интеграциями;
  • обнаружение уязвимости;
  • изменения в сетевом периметре.

Настройка отправки уведомлений

Выполните следующие действия в интерфейсе Splunk:

  1. Перейдите в меню SettingsAdd data.
  2. Выберите Monitor и вы перейдете на шаг Select Source.
  3. Выберите HTTP Event Collector и введите имя интеграции в поле Name. Остальные поля не обязательны для заполнения.
  4. Нажмите кнопку Next и вы перейдете на шаг Input Settings.
  5. На шаге Input Settings вы можете оставить настройки по умолчанию и нажать кнопку Review.
  6. На шаге Review проверьте правильность настроек. Подтвердите их, нажав на кнопку Submit и вы перейдете на шаг Done.
  7. На шаге Done в поле Token Value вам будет показан сгенерированный токен. Его необходимо будет ввести в поле HEC Token при создании интеграции Splunk в Валарм.

Выполните следующие действия в интерфейсе Валарм:

  1. Перейдите на вкладку Интеграции раздела Настройки.
  2. Нажмите на блок Splunk или используйте кнопку Добавить интеграцию в верхнем правом углу.
  3. В поле HEC Token вставьте значение токена, который вы сгенерировали в Splunk.
  4. В поле API URL вставьте URL вашего инстанса Splunk. Например, для Splunk Cloud это будет URL типа https://prd-p-tj2xx2f2xntv.cloud.splunk.com.
  5. В поле Имя интеграции задайте имя интеграции и ниже выберите типы событий, для которых должны приходить уведомления.
  6. Нажмите Создать.

Теперь уведомления для выбранных типов событий будут приходить в Splunk.

Отключение уведомлений

  1. Выберите cуществующую интеграцию на вкладке Интеграции.
  2. Нажмите Отключить.
  3. Нажмите Сохранить.

Удаление интеграции

  1. Выберите cуществующую интеграцию на вкладке Интеграции.
  2. Нажмите Удалить.
  3. Нажмите Точно?.

results matching ""

    No results matching ""