Configurer une Elasticsearch intégration pour Analyse de l'intégrité des journaux

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • Configurez une intégration pour diffuser de manière transparente les données de journal des index vers votre instance à des fins Analyse de l'intégrité des journaux de Elasticsearch traitement.

    Avant de commencer

    Remarque :
    Analyse de l'intégrité des journaux prend en charge Elasticsearch les versions supérieures à 7.10.2 et inférieures à 8.18.2. Pour obtenir des conseils avancés Elasticsearch sur la diffusion des journaux, consultez l’article Diffuser les journaux à l’aide de l’entrée de données Elasticsearch - Guide avancé [KB1080162] dans la Now Support base de connaissances.
    • Vérifiez que l’application Analyse de l'intégrité des journaux est installée et mise en service sur votre instance. Pour plus d'informations, consultez Installation Analyse de l'intégrité des journaux (HLA).
    • Vérifiez qu’une instance de service est disponible.
    • Vérifiez que le moteur d’IA Analyse de l'intégrité des journaux est opérationnel.
    • Vérifiez qu’un Serveur MID est installé et configuré avec l’aptitude d’ingestion de journal activée. Pour plus d'informations, consultez MID Server system requirements.

      Configuration du Serveur MID avec l’aptitude d’ingestion de journaux activée.

      Important :
      Analyse de l'intégrité des journaux ne prend pas en charge IPv6. Pour utiliser l'application, configurez le Serveur MID sur IPv4.
    • À moins que les Serveur MID clients externes ne se trouvent sur le même réseau, ils Serveur MID doivent avoir une adresse IP publique. Cela est nécessaire lorsque son adresse IP est exposée via la traduction d’adresses réseau (NAT), un équilibreur de charge ou un appareil similaire. L’adresse IP publique permet aux clients externes, tels que les Filebeat agents situés en dehors de son réseau, d’atteindre le Serveur MID. Les adresses IP privées ne sont pas routables sur Internet. Sans adresse IP publique, les clients externes ne peuvent pas se connecter au Serveur MID même s’ils sont configurés avec son adresse. Dans les propriétés Serveur MID, ajoutez une propriété nommée mid.public_ip avec l'adresse IP publique comme valeur. Pour plus d'informations, voir Créer une propriété de MID Server. Si les clients et les Serveur MID clients externes se trouvent sur le même réseau, les connexions peuvent être établies à l’aide de l’adresse IP privée.

    Rôle requis : evt_mgmt_admin

    Pourquoi et quand exécuter cette tâche

    Vous configurez les intégrations via la zone de lancement des intégrations dans Espace de travail pour l'exploitation des services, à laquelle vous accédez à partir du centre de configuration ITOM AIOps. Le centre de configuration AIOps est un espace de travail centralisé permettant de configurer et de gérer les fonctionnalités AIOps à partir d’un seul endroit. Le processus de configuration des intégrations réduit le temps d’implémentation par rapport à la configuration manuelle des entrées de données dans l’interface classique dans Analyse de l'intégrité des journaux. Pour plus d'informations, consultez Lanceur d'intégrations dans Espace de travail pour l'exploitation des services pour ITOM.

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail pour l'exploitation des services.
    2. En bas du volet de navigation, sélectionnez l’icône Centre de configuration ITOM AIOps Icône Centre de configuration AIOps.
      La ITOM page Centre de configuration AIOps s’affiche. Le centre de configuration est un espace de travail centralisé. Utilisez-le pour configurer et gérer les fonctionnalités AIOps à partir d’un seul endroit.
    3. Dans la section Intégrer, sous Intégrations, sélectionnez Ajouter une intégration.
      La zone de lancement des intégrations s’affiche.
    4. Dans l’onglet Parcourir les intégrations , entrez Elasticsearch dans le champ de recherche.
    5. Sélectionnez la vignette d’intégration Elasticsearch .
      Remarque :
      Si vous démarrez une configuration d’intégration avant de remplir toutes les conditions préalables, un message s’affiche. Vous pouvez annuler la configuration et remplir d’abord les exigences précédentes. Vous pouvez également continuer en mode brouillon et remplir les besoins ultérieurement. Notez que vous ne pouvez pas activer l’intégration tant que vous n’avez pas rempli toutes les conditions préalables.
    6. Renseignez les champs du formulaire Fournir des détails .
      Pour obtenir une description des champs, reportez-vous à la table Fournir des détails dans Elasticsearch Champs de configuration d’intégration.
    7. Sélectionnez Suivant.
    8. Renseignez les champs du formulaire Définir la méthode de récupération de données .
      Pour obtenir une description des champs, consultez la rubrique Elasticsearch Champs de configuration d’intégration.
    9. Facultatif : Sélectionnez Paramètres avancés pour définir les champs de configuration avancée.
      Pour obtenir une description des champs, reportez-vous au tableau Paramètres avancés dans Elasticsearch Champs de configuration d’intégration.
    10. Effectuez l'une des actions suivantes :
      • Si vous avez rempli toutes les conditions préalables avant de commencer la configuration, sélectionnez Activer.

        Dans la fenêtre contextuelle, sélectionnez Tester et enregistrer pour enregistrer l’intégration dans la base de données et tester la connectivité. Si une erreur est renvoyée, ajustez la configuration comme suggéré dans le message d’erreur, puis essayez d’activer à nouveau l’intégration.

        Lorsque le test réussit, vous pouvez activer l’intégration avec ou sans les options alimentées par l’IA. Sélectionnez l’option appropriée :
        • Activer avec l’IA permet un mappage automatique des données de journal alimenté par l’IA. Lorsque l’intégration est activée avec succès, l’onglet Vue d’ensemble s’affiche. Now Assist collecte et analyse les données du journal. Une icône d’IA indique que Now Assist les données de journal sont automatiquement mappées aux instances de service et aux composants pour la génération d’alertes contextuelles.
        • L’option Activer active l’intégration sans mappage alimenté par l’IA. L’intégration est activée et l’onglet Vue d’ensemble s’affiche.
      • Si vous n’avez pas rempli toutes les conditions préalables, sélectionnez Enregistrer le brouillon.

        Le système enregistre l’intégration sous forme de brouillon dans le Lanceur d'intégrations. Il s’affiche dans l’onglet Intégrations installées , sous En attente de votre action. Vous pouvez remplir les conditions préalables et activer l’intégration ultérieurement. Pour plus d'informations, consultez Activer une intégration de brouillon dans Analyse de l'intégrité des journaux.

    Que faire ensuite

    Dans l’onglet Vue d’ensemble , procédez comme suit :

    Si vous avez activé l’intégration avec l’IA, vérifiez que l’IA a correctement mappé automatiquement les données de journal aux instances de service et aux composants. Pour ce faire, sélectionnez Afficher le mappage sous Mappage du contexte du journal. Vous pouvez remplacer le mappage IA en sélectionnant un champ de journal différent dans chaque liste. Pour plus d'informations, consultez Mappez les journaux aux instances de service, aux composants et aux types de source pour les alertes contextuelles dans Analyse de l'intégrité des journaux.