Modifier une configuration d’entrée de données dans Analyse de l'intégrité des journaux

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Modifiez la configuration d’une entrée de données en Analyse de l'intégrité des journaux ajoutant un nouveau chemin d’accès à une configuration d’entrée de données existante ou en modifiant la destination et le port de l’entrée Serveur MID de données.

    Avant de commencer

    Rôle requis : evt_mgmt_admin

    Procédure

    1. Accédez à la Tous > Analyse de l'intégrité des journaux > Entrée de données > Entrées de données.
    2. Ouvrez un enregistrement à partir de la table Entrées de données.
    3. Modifiez la configuration des entrées de données.
      Colonne Description
      Nom Nom de l’entrée de données.
      Description Description de l’entrée de données.
      Port
      Port du Serveur MID.
      Remarque :
      Le port ne doit pas être occupé par un autre processus. Assurez-vous que l'équipe de sécurité de votre organisation ouvre le port sélectionné.
      MID Vers Serveur MID lequel les journaux sont diffusés.
      Remarque :
      • Vous pouvez sélectionner uniquement des Serveurs MID avec l'aptitude d'ingestion de journaux qui prennent en charge l'authentification de base. Les Serveurs MID qui prennent en charge mTLS ne sont pas répertoriés.
      • Le nombre maximal par défaut d'entrées de données qui diffusent des journaux vers un seul Serveur MID est de 10. Vous pouvez modifier ce nombre dans les propriétés du MID Server.
      Tableau 1. Paramètres
      Colonne Description
      Chemin d'accès Chemin d’accès complet à partir duquel diffuser les journaux. Vous pouvez utiliser un caractère générique.
      Remarque :
      Cette colonne n’est pas disponible sur Windows les systèmes utilisant Winlogbeat.
      Instance de service Instance de service à laquelle lier les données de journal.
      Remarque :
      S’il n’existe aucune instance de service pertinente, Créer un instance de service et y ajouter des CI. Définissez l’état de la nouvelle instance de service sur Opérationnel.
      Composant Type d’appareil ou couche d’empilement comme contexte pour les journaux utilisé pour la détection et la corrélation des anomalies. Par exemple, Tomcat.

      Les composants représentent généralement les CI dans la CMDB. Plusieurs composants sont souvent regroupés dans une seule instance de service.
      Type de source Type de source qui définit la manière dont Analyse de l'intégrité des journaux gère une application spécifique et analyse les données du journal. Par exemple : Tomcat Catalina.

      Chaque entrée de données peut avoir plusieurs types de source en fonction de la diversité de ses formats de journal. Les instances de service et les composants peuvent avoir un nombre illimité de types de sources.
      Pour la gestion des messages multilignes sur Linux les systèmes / Windows à l’aide de Filebeat uniquement :
      Correspondre Spécifie comment Filebeat combine les lignes correspondantes dans un événement, après ou avant.
      Inverser Valeur booléenne qui définit si le motif identifié dans les lignes du journal est annulé. La valeur par défaut est faux.
      Regex L’expression régulière à faire correspondre.
      Remarque :
      Vous pouvez modifier le fichier de configuration Rsyslog pour que l’agent expédie des journaux système en plus des journaux d’application. Pour plus d’informations, consultez l’article Journaux système d’expédition à l’aide de Rsyslog [KB0954507] dans la base de connaissances Now Support.
    4. Sélectionnez Mettre à jour.
    5. Pour les entrées de données qui utilisent Rsyslog uniquement des agents OR Beats , reconstruisez le fichier de configuration côté serveur et installez-le sur l’appareil de point de terminaison.
      1. Sélectionnez Reconstruire le fichier de configuration.

        Analyse de l'intégrité des journaux reconstruit le fichier et l’enregistre dans la section Gérer les pièces jointes. Selon l’agent utilisé, le fichier reconstruit est enregistré au format rsyslog.yml, filebeat.yml ou winlogbeat.yml.

        Le système renomme automatiquement le fichier de configuration précédent en ajoutant un suffixe avec la date et l’heure auxquelles le fichier a été reconstruit en nom de fichier.

      2. Installez le fichier de configuration reconstruit sur le point de terminaison en fonction de votre type d’entrée de données.
        Type d’entrée de données Action
        Rsyslog
        1. Téléchargez le fichier et installez-le sur l’appareil de point de terminaison dans le répertoire /etc/rsyslog.d/rsyslog.conf .
        2. Validez la configuration en exécutant la commande rsyslogd -N1 .
        3. Vérifiez la sortie. S'il contient des erreurs, consultez le fichier journal système /var/log/messages pour rechercher les messages d'erreur et corriger les erreurs.
        4. Redémarrez Rsyslog en exécutant la commande sudo systemctl restart rsyslog .
        Linux
        1. Téléchargez le fichier et installez-le sur le périphérique de point de terminaison dans le répertoire /etc/filebeat/ .
        2. Redémarrez le service d’agent en exécutant la commande sudo service filebeat start .
        Remarque :
        La configuration générée ignore les fichiers qui ont été modifiés pour la dernière fois il y a plus de six heures. Si nécessaire, vous pouvez modifier ce paramètre dans le fichier de configuration.
        Windows à l’aide de Beats (Filebeat ou Winlogbeat) :
        1. Téléchargez le fichier et installez-le sur le périphérique de point de terminaison dans le répertoire C :\Program Files\ .
        2. Redémarrez le service d’agent en exécutant la commande appropriée dans PowerShell :
          • Filebeat : PS > Restart-Service filebeat
          • Winlogbeat : Winlogbeat PS > Restart-Service
        Remarque :
        La configuration générée ignore les fichiers qui ont été modifiés pour la dernière fois il y a plus de six heures. Si nécessaire, vous pouvez modifier ce paramètre dans le fichier de configuration.