Prisma Cloud: Splunk-Integration empfängt defekte Protokolle/unvollständige Protokolle
3865
Created On 09/20/23 15:59 PM - Last Modified 01/07/25 10:57 AM
Symptom
- Wenn ein Alarm ausgelöst wird und Prisma die Alarm-Nutzlast an Ihre Splunk-Integration sendet und Sie sehen, dass es unvollständige oder defekte Protokolle gibt
Environment
- Prisma Cloud
- Splunk-Integration
Cause
- Sobald ein Alarm ausgelöst wird und Sie die Alarmnutzlast Ihrer Splunk-Integration anzeigen, wird klar, dass sie unvollständig oder defekt zu sein scheint.
Resolution
- Bitte beachten Sie, dass Splunk Nachrichten Standard(-) auf 10.000 Bytes (Zeichen) begrenzt. Sie können dieses Limit in den Splunk-Eigenschaftendateien je nach Größe Ihrer JSON-Datensätze erhöhen.
- Bitte verwenden Sie diesen Link. Dort wird die Situation genauer erklärt und es wird erklärt, wie Sie das Limit erhöhen können.
- Sobald das Limit erhöht wurde, sollten Sie die vollständigen Protokolle für zukünftige Warnungen sehen können.
Additional Information
- Zum Testen müssen Sie die gleiche Alarm-ID erneut an Ihren Splunk senden lassen, da Sie den Alarm möglicherweise erneut auslösen müssen.
- Bitte beachten Sie, dass Prisma, sobald es die Benachrichtigungsnachricht vom Benachrichtigung erhält, dieselben Daten unter Verwendung des Vorlage an Splunk sendet. Da es im Benachrichtigungsdienst keine Datenanreicherung gibt und die Größe 800 KB nicht überschreitet.