Configurer Splunk les intégrations des pollers

  • Rversion finale: Yokohama
  • Mis à jour 24 févr. 2025
  • 3 minutes de lecture

    • Configurez une intégration qui extrait périodiquement les données de journal vers Splunk votre ServiceNow instance pour traitement par Analyse de l'intégrité des journaux.

    Avant de commencer

    • Assurez-vous qu’un Serveur MID est installé et configuré avec l’aptitude d’ingestion de journal activée.

      Configuration du Serveur MID avec l’aptitude d’ingestion de journaux activée.

      Important :
      Analyse de l'intégrité des journaux ne prend pas en charge IPv6. Pour utiliser l'application, configurez le Serveur MID sur IPv4.
    • Si l’adresse IP est exposée par la traduction d’adresses Serveur MID réseau (NAT), un équilibreur de charge ou un appareil similaire, elle doit avoir une adresse IP publique. Dans les propriétés Serveur MID, ajoutez une propriété nommée mid.public_ip avec l'adresse IP publique comme valeur. Pour plus d'informations, voir Créer une propriété de MID Server.
    • Pour plus d'informations sur l'expédition de vos journaux chiffrés à l'aide de SSL/TLS, consultez l'article Streaming Data With Rsyslog & Filebeat Using SSL [KB0866319] dans la base de connaissances Now Support.

    Rôle requis : evt_mgmt_admin

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail pour l'exploitation des services.
    2. Dans le volet de gauche, sélectionnez l’icône Zone de lancement de l’intégration (icône Zone de lancement de l’intégration).
    3. Dans l’onglet Parcourir les intégrations , saisissez Splunk Poller dans le champ de recherche.
      La Splunk vignette d’intégration de l’analyseur s’affiche.
    4. Sélectionnez la mosaïque.
      Remarque :
      Si vous avez démarré le processus d’intégration sans remplir toutes les conditions préalables énumérées dans la section Avant de commencer, un message s’affiche. Vous avez la possibilité d’annuler l’intégration et de remplir les exigences manquantes, ou de continuer en mode brouillon et de les remplir ultérieurement. Notez que vous ne pouvez activer une intégration configurée que lorsque toutes les conditions préalables sont remplies. Les intégrations enregistrées qui n’ont pas été activées sont disponibles dans l’onglet Intégrations installées sur le Lanceur d'intégrations, sous En attente de votre action.
    5. Sélectionnez Fournir des détails.
      Le formulaire Fournir des détails s’affiche. Cet écran vous demande de fournir les détails essentiels pour la nouvelle intégration, y compris la Serveur MID grappe OR à partir de laquelle extraire les messages du journal et l’instance de service à laquelle les données seront liées.
    6. Renseignez les champs du formulaire, puis sélectionnez Suivant.
      Pour obtenir une description des champs, consultez la rubrique SplunkChamps de configuration d’intégration de l’analyseur.
      Lorsque vous sélectionnez Suivant, votre configuration est enregistrée et le formulaire Définir la méthode de récupération de données s’affiche.
    7. Renseignez les champs du formulaire.
      Pour obtenir une description des champs, consultez la rubrique SplunkChamps de configuration d’intégration de l’analyseur.
    8. Sélectionnez Paramètres avancés , puis remplissez les champs de configuration avancée.
      Pour obtenir une description des champs, consultez la rubrique SplunkChamps de configuration d’intégration de l’analyseur.
    9. Assurez-vous que l’intégration est correctement configurée en sélectionnant Tester et enregistrer.
      Analyse de l'intégrité des journaux Teste la nouvelle intégration. Si les tests échouent, un message s’affiche vous invitant à corriger les paramètres de champ défectueux. Lorsque vous avez corrigé la configuration, sélectionnez Enregistrer.
    10. Sélectionnez Activer pour activer l’intégration.
      L’intégration est activée. Son onglet Vue d’ensemble s’affiche.

    Résultats

    L’intégration commence à extraire périodiquement les données du journal vers Splunk votre ServiceNow instance. La vignette de l’intégration est disponible dans l’onglet Intégrations installées sur le Lanceur d'intégrations.

    Les utilisateurs disposant du rôle evt_mgmt_user peuvent utiliser Gestion des événements pour surveiller les journaux et afficher les alertes générées Analyse de l'intégrité des journaux à partir de ceux-ci.

    Que faire ensuite

    Examinez l’état de diffusion des données de journal et les sources de l’intégration dans l’onglet Vue d’ensemble . Exploitez les informations affichées pour affiner la façon dont HLA la lecture des données du journal en ajustant la configuration de votre intégration. Pour plus d'informations, consultez Examiner l’état de diffusion des données de journal et les sources d’uneintégration n.
    Remarque :
    Dans l’onglet Vue d’ensemble , vous pouvez accéder directement aux pages Mappage d’entrée de données, Structures de type de source et Sources de journal avec le contexte de cette intégration en sélectionnant l’icône du menu Affichage ( icône du menu Affichage.) et en choisissant l’option pertinente. Le menu vous permet également d’accéder directement à la visionneuse de journaux, qui affiche les journaux bruts que cette intégration ingère.