Prisma Cloud: la integración de Splunk recibe registros dañados o incompletos
3857
Created On 09/20/23 15:59 PM - Last Modified 01/07/25 10:59 AM
Symptom
- Cuando se genera una alerta y Prisma envía la carga útil de la alerta a su integración de Splunk y ve que tiene registros incompletos o dañados
Environment
- Nube Prisma
- Integración de Splunk
Cause
- Una vez que se genera una alerta y al ver la carga útil de alerta en su integración de Splunk, parece que está incompleta o rota.
Resolution
- Tenga en cuenta que, de valor predeterminado , Splunk limita los mensajes a 10 000 bytes (caracteres). Puede aumentar este límite en los archivos de propiedades de Splunk según el tamaño de sus registros JSON.
- Por favor utilice este enlace que explica mejor esta situación y cómo aumentar el límite.
- Una vez que se haya aumentado el límite, debería poder ver los registros completos para futuras alertas.
Additional Information
- Para probar y enviar nuevamente el mismo ID de alerta a su Splunk, es posible que necesite volver a activar la alerta.
- Tenga en cuenta que una vez que Prisma reciba el mensaje de notificación del servicio de alerta , enviará los mismos datos a Splunk mediante el esquema de plantilla de notificación. No habrá enriquecimiento de datos en el servicio de notificación y el tamaño no superará los 800 kb.