PDF

Voir la table des matières

Exigences relatives aux produits

Révéler(x) Entreprise seulement

Thank you! We will contact you soon to ask how we can improve our documentation. We appreciate your feedback.

Ce sujet a-t-il été utile ?

Oui Non

Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?

Comment pouvons-nous nous améliorer ?

Need more help?

Ask the Community

Envoyer des enregistrements depuis ExtraHop vers Splunk

Vous pouvez configurer le système ExtraHop pour envoyer des enregistrements au niveau des transactions à un serveur Splunk pour un stockage à long terme, puis interroger ces enregistrements depuis le système ExtraHop et l'API REST ExtraHop.

Before you begin

Toutes les consoles et tous les capteurs connectés doivent exécuter la même version du firmware ExtraHop.
Vous devez disposer de la version 7.0.3 ou ultérieure de Splunk Enterprise et d'un compte utilisateur doté de privilèges dici-administrateur.
Vous devez configurer le collecteur d'événements HTTP Splunk pour que votre serveur Splunk puisse recevoir des enregistrements ExtraHop. Consultez les Collecteur d'événements HTTP Splunk documentation pour les instructions.

Remarque :

Tous les déclencheurs configurés pour envoyer des enregistrements via commitRecord vers un espace de stockage des enregistrements sont automatiquement redirigés vers le serveur Splunk. Aucune autre configuration n' est requise.

Activez Splunk en tant qu'espace de stockage des enregistrements

Effectuez cette procédure sur tous les systèmes ExtraHop connectés.

Important :

Si votre système ExtraHop inclut une console ou Reveal (x) 360, configurez tous les capteurs avec les mêmes paramètres d'espace de stockage des enregistrements ou gérez les transferts pour gérer les paramètres depuis la console ou Reveal (x) 360.

Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
Dans la section Enregistrements, cliquez sur Disquaire.
Sélectionnez Activez Splunk en tant qu'espace de stockage des enregistrements.

Remarque : Si vous migrez vers Splunk depuis un espace de stockage ExtraHop connecté , vous ne pourrez plus accéder aux enregistrements qui y sont stockés.
Dans la section Record Ingest Target, renseignez les champs suivants :

Hôte Splunk Ingest: Le nom d'hôte ou l'adresse IP de votre serveur Splunk.

Port du collecteur d'événements HTTP: Port par lequel le collecteur d'événements HTTP doit envoyer les enregistrements.

Jeton de collecte d'événements HTTP: Le jeton d'authentification que vous créé dans Splunk pour le collecteur d'événements HTTP.
Dans la section Cible de la requête d'enregistrement, renseignez les champs suivants :

Hôte de requêtes Splunk: Le nom d'hôte ou l'adresse IP de votre serveur Splunk.

Port de l'API REST: Le port sur lequel envoyer les requêtes d'enregistrement.

Méthode d'authentification: La méthode d'authentification, qui dépend de votre version de Splunk.
Pour les versions de Splunk ultérieures à 7.3.0, sélectionnez Authentifiez-vous avec un jeton, puis collez votre jeton d'authentification Splunk. Pour obtenir des instructions sur la création d'un jeton d'authentification, consultez Documentation Splunk .

Pour les versions de Splunk antérieures à 7.3.0, sélectionnez Authentifiez-vous avec nom d'utilisateur et mot de passe, puis saisissez vos informations dcessaires d'identification Splunk.
Effacez le Exiger la vérification du certificat case à cocher si votre connexion ne nécessite pas de certificat SSL/TLS valide.

Remarque : Les connexions sécurisées au serveur Splunk peuvent être vérifiées via certificats de confiance que vous téléchargez sur le système ExtraHop.
Dans le champ Nom de l'index, saisissez le nom de l'index Splunk dans lequel vous souhaitez stocker les enregistrements.
L'index par défaut de Splunk s'appelle main, nous vous recommandons toutefois de créer un index distinct pour vos enregistrements ExtraHop et de saisir le nom de cet index. Pour obtenir des instructions sur la création d'un index, consultez Documentation Splunk.
(Hop supplémentaire) sonde uniquement) Cliquez Connexion de test pour vérifier que le système ExtraHop peut atteindre votre serveur Splunk.
Cliquez Enregistrer.

Une fois votre configuration terminée, vous pouvez rechercher des enregistrements stockés dans le système ExtraHop en cliquant Disques depuis le menu du haut.

Transférer les paramètres de l'espace de stockage des enregistrements

Si vous avez un ExtraHop console connecté à vos capteurs ExtraHop, vous pouvez configurer et gérer les paramètres de l'espace de stockage des enregistrements sur le capteur, ou transférer la gestion des paramètres au console. Le transfert et la gestion des paramètres de l'espace de stockage des enregistrements sur la console vous permettent de maintenir les paramètres de l'espace de stockage à jour sur plusieurs capteurs.

Les paramètres de Recordstore sont configurés pour les magasins d'enregistrements tiers connectés et ne s'appliquent pas à l'espace de stockage des enregistrements ExtraHop.

Connectez-vous aux paramètres d'administration du sonde à travers https://<extrahop-hostname-or-IP-address>/admin.
Dans la section Enregistrements, cliquez sur Disquaire.
À partir du Paramètres du Recordstore liste déroulante, sélectionnez la console, puis cliquez sur Transférer la propriété.
Si vous décidez ultérieurement de gérer les paramètres du sonde, sélectionnez cette sonde dans la liste déroulante des paramètres de Recordstore , puis cliquez sur Transférer la propriété.

Last modified 2024-04-10

Documentation

Products

Differentiation

Solutions

Security Operations

Cloud-Native Security

Application Analytics

Network Performance

Customers

Community

Partners

Support

Training

Resources

More Resources

Company

Events and Information

Envoyer des enregistrements depuis ExtraHop vers Splunk

Activez Splunk en tant qu'espace de stockage des enregistrements

Transférer les paramètres de l'espace de stockage des enregistrements