Prisma Cloud : l'intégration Splunk reçoit des journaux brisés/incomplets
3775
Created On 09/20/23 15:59 PM - Last Modified 01/07/25 10:56 AM
Symptom
- Lorsqu'une alerte est déclenchée et que Prisma envoie la charge utile de l'alerte à votre intégration Splunk et que vous constatez qu'elle contient des journaux incomplets ou rompus
Environment
- Nuage de prisme
- Intégration de Splunk
Cause
- Une fois qu'une alerte est déclenchée et que vous visualisez la charge utile de l'alerte sur votre intégration Splunk car elle semble incomplète ou cassée.
Resolution
- Veuillez noter que par par défaut , Splunk limite les messages à 10 000 octets (caractères). Vous pouvez augmenter cette limite dans les fichiers de propriétés Splunk en fonction de la taille de vos enregistrements JSON.
- Veuillez utiliser ce lien qui explique mieux cette situation et comment augmenter la limite.
- Une fois la limite augmentée, vous devriez pouvoir voir les journaux complets pour les futures alertes.
Additional Information
- Pour tester et envoyer à nouveau le même ID d'alerte à votre Splunk, vous devrez peut-être déclencher à nouveau l'alerte.
- Veuillez noter qu'une fois que Prisma reçoit le message de notification du service alerte , il envoie les mêmes données à Splunk en utilisant le schéma de modèle de notification. Il n'y aura donc aucun enrichissement des données dans le service de notification et la taille ne dépassera pas 800 Ko.