Configurer Elasticsearch les intégrations

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Configurez une intégration pour une diffusion transparente des données de journal depuis les Elasticsearch index vers votre instance pour traitement par Analyse de l'intégrité des journaux.

    Avant de commencer

    Remarque :
    Analyse de l'intégrité des journaux prend en charge les versions 5.4 et ultérieures de Elasticsearch. Pour plus d’informations sur la diffusion des données de journal à partir des index vers votre instance, consultez l’article Diffuser les journaux à l’aide de l’entrée de données Elasticsearch - Guide avancé [KB1080162] dans la base de Now Support connaissances.Elasticsearch
    • Assurez-vous que l’application Analyse de l'intégrité des journaux est installée et mise en service sur votre instance. Pour plus d'informations, consultez Installation Analyse de l'intégrité des journaux (HLA).
    • Assurez-vous qu’une instance de service est disponible.
    • Assurez-vous que le moteur d’IA Analyse de l'intégrité des journaux est opérationnel.
    • Assurez-vous qu’un Serveur MID est installé et configuré avec l’aptitude d’ingestion de journal activée.

      Configuration du Serveur MID avec l’aptitude d’ingestion de journaux activée.

      Important :
      Analyse de l'intégrité des journaux ne prend pas en charge IPv6. Pour utiliser l'application, configurez le Serveur MID sur IPv4.
    • Si l'adresse IP Serveur MID est exposée par la traduction d'adresse réseau (NAT), un équilibreur de charge ou un appareil similaire, elle doit avoir une adresse IP publique. Dans les propriétés Serveur MID, ajoutez une propriété nommée mid.public_ip avec l'adresse IP publique comme valeur. Pour plus d'informations, voir Créer une propriété de MID Server.

    Rôle requis : evt_mgmt_admin

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail pour l'exploitation des services.
    2. Dans le volet de gauche, sélectionnez l’icône Zone de lancement de l’intégration (icône Zone de lancement de l’intégration).
    3. Dans l’onglet Parcourir les intégrations , entrez Elasticsearch dans le champ de recherche.
    4. Sélectionnez la vignette d’intégration Elasticsearch .
      Remarque :
      Si vous avez démarré le processus d’intégration sans remplir toutes les conditions préalables énumérées dans la section Avant de commencer, un message s’affiche. Vous avez la possibilité d’annuler l’intégration et de remplir les exigences manquantes, ou de continuer en mode brouillon et de les remplir ultérieurement. Notez que vous ne pouvez activer une intégration que lorsque toutes les conditions préalables sont remplies. Les intégrations configurées etenregistrées qui n’ont pas été activées sont disponibles dans l’onglet Intégrations installées sur le Lanceur d'intégrations, sous En attente de votre action.
    5. Sélectionnez l’option Fournir des détails.
      L’option Fournir des détails s’affiche. Cet écran vous demande de fournir des détails essentiels pour la nouvelle intégration, y compris la Serveur MID grappe OU à partir de laquelle extraire les messages du journal et l’instance de service à laquelle les données doivent être liées.
    6. Renseignez les champs du formulaire.
      Pour obtenir une description des champs, consultez la rubrique Elasticsearch Champs de configuration d’intégration.
    7. Facultatif : Sélectionnez Avancé pour définir les champs de configuration avancée.
      Pour obtenir une description des champs, consultez la rubrique Elasticsearch Champs de configuration d’intégration.
    8. Sélectionnez Suivant.
      L’écran Définir la récupération de données s’affiche. Cet écran vous demande de spécifier les données de journal à récupérer à partir de l’appareil, la méthode d’extraction et la manière de diffuser les données vers l’instance.
    9. Renseignez les champs du formulaire.
      Pour obtenir une description des champs, consultez la rubrique Elasticsearch Champs de configuration d’intégration.
    10. Sélectionnez Tester et enregistrer.
      Le système enregistre la nouvelle intégration dans la base de données et teste le port configuré, avec un résultat positif ou une erreur. Si une erreur est renvoyée, apportez des ajustements à votre configuration en fonction des suggestions à l’écran, puis sélectionnez Tester et enregistrer à nouveau. Une fois le test réussi, vous pouvez activer l’intégration.
    11. Sélectionnez Activer.
      L’intégration est activée. Son onglet Vue d’ensemble s’affiche.

    Résultats

    Les données du journal commencent à être diffusées vers votre ServiceNow instance. La vignette de l’intégration est disponible dans l’onglet Intégrations installées sur le Lanceur d'intégrations.

    Les utilisateurs disposant du rôle evt_mgmt_user peuvent utiliser Gestion des événements pour surveiller les journaux et afficher les alertes générées Analyse de l'intégrité des journaux à partir de ceux-ci.

    Que faire ensuite

    Examinez l’état de diffusion des données de journal et les sources de l’intégration dans l’onglet Vue d’ensemble. Exploitez les informations affichées pour affiner la façon dont HLA la lecture des données du journal en ajustant la configuration de votre intégration . Pour plus d'informations, consultez Examiner l’état de diffusion des données de journal et les sources d’uneintégration n.
    Remarque :
    Dans l’onglet Vue d’ensemble , vous pouvez accéder directement aux pages Mappage d’entrée de données, Structures de type de source et Sources de journal avec le contexte de cette intégration en sélectionnant l’icône du menu Affichage ( icône du menu Affichage.) et en choisissant l’option pertinente. Le menu vous permet également d’accéder directement à la visionneuse de journaux, qui affiche les journaux bruts que cette intégration ingère.