Prisma Cloud: Splunk 통합에서 깨진 로그/불완전한 로그 수신
3839
Created On 09/20/23 15:59 PM - Last Modified 01/07/25 11:03 AM
Symptom
- 경고가 발생하고 Prisma가 경고 페이로드를 Splunk 통합으로 보내고 해당 경고 페이로드에 불완전하거나 손상된 로그가 있는 경우
Environment
- 프리즈마 클라우드
- Splunk 통합
Cause
- 경고가 발생하고 Splunk 통합에서 경고 페이로드를 보면 불완전하거나 손상된 것처럼 보입니다.
Resolution
- 디폴트 으로 Splunk는 메시지를 10,000바이트(문자)로 제한한다는 점에 유의하세요. JSON 레코드의 크기에 따라 Splunk 속성 파일에서 이 제한을 늘릴 수 있습니다.
- 이 상황과 한도를 늘리는 방법에 대한 자세한 설명은 이 링크를 참조하세요.
- 한도가 늘어나면 향후 알림에 대한 전체 로그를 볼 수 있게 됩니다.
Additional Information
- 알림을 다시 트리거해야 할 수도 있으므로 동일한 알림 ID가 Splunk로 다시 전송되도록 테스트하세요.
- Prisma가 알림 서비스에서 알림 메시지를 받으면 알림 템플릿 스키마를 사용하여 동일한 데이터를 Splunk로 전송한다는 점에 유의하세요. 알림 서비스에서 데이터가 풍부해지지 않으며 크기가 800kb를 넘지 않습니다.