Prisma Cloud: Splunk 統合で壊れたログ / 不完全なログが受信される
3859
Created On 09/20/23 15:59 PM - Last Modified 01/07/25 11:00 AM
Symptom
- アラートが発生し、PrismaがアラートペイロードをSplunk統合に送信し、不完全なログまたは壊れたログがあることがわかった場合
Environment
- プリズマクラウド
- Splunk 統合
Cause
- アラートが発生し、Splunk 統合のアラート ペイロードを確認すると、不完全または壊れているように見えます。
Resolution
- デフォルトでは、Splunk はメッセージを 10,000 バイト (文字) に制限することに注意してください。JSON レコードのサイズに応じて、Splunk プロパティ ファイルでこの制限を増やすことができます。
- この状況と制限を増やす方法を詳しく説明したこのリンクを使用してください。
- 制限が引き上げられると、今後のアラートの完全なログを確認できるようになります。
Additional Information
- アラートを再度トリガーする必要がある場合があるため、テストして同じアラート ID を Splunk に再度送信します。
- Prisma がアラートサービスから通知メッセージを受信すると、通知テンプレートスキーマを使用して同じデータを Splunk に送信することに注意してください。通知サービスではデータが強化されず、サイズは 800 KB を超えることはありません。