Elasticsearch Dateneingabe-Konfigurationsfelder

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 8 Minuten Lesedauer

    • Beschreibung der Felder im Konfigurationsformular der Dateneingabe Elasticsearch.

    Basiskonfiguration

    Feld Beschreibung
    Name Name der neuen Dateneingabe. Dies ist ein Pflichtfeld.
    Beschreibung Beschreibung der Dateneingabe
    Ausführen auf Option, um zu bestimmen, ob ein bestimmter MID Server oder ein MID Server-Cluster verwendet werden soll.

    Diese Funktion wird unterstützt in Anwendung Health Log Analytics, Version 26.0.17 - Februar 2023 und höher, verfügbar im ServiceNow Store.
    MID

    (Nur wenn das Feld Ausführen auf auf Spezifischer MID Server festgelegt ist)

    MID-Server, von dem Protokolldaten aus Elasticsearch-Indizes abgerufen werden
    Hinweis:
    • Sie können nur MID Servers auswählen, die die Standardauthentifizierung unterstützen. MID Servers, die mTLS unterstützen, sind nicht aufgeführt.
    • Die standardmäßige maximale Anzahl von Dateneingaben, die Protokolle an einen einzelnen MID-Server streamen, beträgt 10. Sie können diese Anzahl in den MID Server-Eigenschaften ändern.
    • Wenn die Protokollerfassung für den ausgewählten MID-Servernicht aktiviert ist, wird sie von Health Log Analytics automatisch aktiviert.
    Dies ist ein Pflichtfeld.
    MID Server-Cluster

    (Nur wenn das Feld Ausführen auf auf Spezifischer MID-Server Cluster festgelegt ist)

    Der Cluster MID-Server, in den die Protokolldaten abgerufen werden.

    Die Dateneingabe wird für einen einzelnen MID-Server im Cluster ausgeführt, bis dieser MID-Server fehlschlägt. Das System verschiebt dann alle Dateneingabeaufgaben gemäß der konfigurierten Reihenfolge auf den nächsten verfügbaren MID Server im Cluster.

    Diese Funktion wird unterstützt in Anwendung Health Log Analytics, Version 26.0.17 - Februar 2023 und höher, verfügbar im ServiceNow Store.

    Hinweis:
    • Health Log Analytics unterstützt nur Failover-Cluster MID-Server. In diesen Clustern werden mehrere MID Servers zum Failover-Schutz zusammen gruppiert. Wenn Sie ein Cluster aus dem Dateneingabeformular auswählen, werden in der Liste MID-Server Cluster nur Failover-Cluster angezeigt.
    • Der Cluster MID-Server darf nur MID Servers enthalten, die die Basic Authentication unterstützen. mTLS wird für die Protokollerfassung nicht unterstützt.
    • Die Protokollerfassung muss für jeden MID-Server im Cluster aktiviert sein. Wenn die Protokollerfassung für den aktiven MID-Servernicht aktiviert ist, wird sie von Health Log Analytics automatisch aktiviert.
    • Wenn Elasticsearch die Authentifizierung mit Client-Zertifikat oder CA-Zertifikat verwendet, müssen alle MID Servers im Cluster über die entsprechenden Zertifikate verfügen.
    • Die standardmäßige maximale Anzahl von Dateneingaben, die Protokolle an einen einzelnen MID-Server streamen, beträgt 10. Ein Cluster besteht die Kapazitätsvalidierung, wenn er mindestens einen MID-Server enthält und weniger als 10 Dateneingaben ausgeführt werden, auch wenn dieser MID-Server ausgefallen ist.
    Weitere Informationen zu MID Server-Clustern finden Sie unter MID Server-Cluster konfigurieren.

    Dies ist ein Pflichtfeld.
    Anwendungsservice Der Anwendungsservice, an den die Protokolldaten gebunden werden sollen. Dies ist ein Pflichtfeld.
    Hinweis:
    Wenn kein relevanter Anwendungsservice vorhanden ist, Erstellen Sie einen Anwendungsservice und CIs hinzufügen. Legen Sie den Status des neuen Anwendungsservice auf „Funktionsfähig“ fest.

    Die folgenden Felder zeigen schreibgeschützte Informationen:

    Feld Beschreibung
    Status Status der Dateneingabe
    Übertragung Protokoll zum Streamen der Protokolldaten.

    Diese Dateneingabe verwendet Elastic, um Protokolldaten an Ihre Instanz zu streamen.
    Quellenanzahl Die Anzahl der Protokollquellen, die von dieser Dateneingabe erstellt wurden
    Deaktiviert seit Zeitpunkt, zu dem die Dateneingabe beendet wurde oder fehlgeschlagen ist
    Zeit des letzten Protokolls Zeitpunkt, zu dem das letzte Protokoll in der Dateneingabe gestreamt wurde
    Tabelle : 1. Registerkarte „Transport“.
    Feld Beschreibung
    Server-URL URL für den Zugriff auf das Cluster. Dies ist ein Pflichtfeld.
    Max. Anzahl von Verbindungen pro Route Maximale Anzahl der pro Knoten zu öffnenden Verbindungen. Standardwert: 2
    Max. Bildlaufsegmente Die Anzahl der für den relevanten Index konfigurierten Shards in Elasticsearch.

    Diese Zahl teilt Elastic mit, wie viele parallele Abfragen in jeder Abfrageanforderung ausgeführt werden sollen.
    Proxy-Host Hostname des HTTP-Proxy, über den Anforderungen gesendet werden.
    Proxy-Port Port des HTTP-Proxy, über den Anforderungen gesendet werden
    Authentifizierungsmethode Die Authentifizierungsmethode, die zur Authentifizierung der Dateneingabe in Elasticsearchverwendet wird. Verfügbare Optionen: Standardauthentifizierung, apiKey oder Client-Zertifikat.
    Hinweis:
    Wenn Sie die erforderliche Authentifizierungsmethode auswählen, werden die entsprechenden Anmeldeinformationsfelder im Formular angezeigt.
    Anmeldeinformationen für Standardauthentifizierung Benutzername und Passwort, die für die Verbindung mit der Such-Engine Elasticsearch verwendet werden.
    Hinweis:
    Füllen Sie entweder dieses Feld oder das Feld AWS-Anmeldeinformationen aus.
    AWS-Anmeldeinformationen AWS-Anmeldeinformationen für die Verbindung mit der von AWS gehosteten Elasticsearch-Such-Engine
    Hinweis:
    Füllen Sie entweder dieses Feld oder das Feld Anmeldeinformationen für Standardauthentifizierung aus.
    AWS-Region AWS-Region, in der das Elasticsearch-Cluster ausgeführt wird
    Anmeldeinformationen für API-Keys Der API-Schlüssel, der für die Verbindung mit der Such-Engine Elasticsearch verwendet wird.
    Clientzertifikat Das Client-Zertifikat, das für die Verbindung mit der Such-Engine Elasticsearch verwendet wird.
    MID-Zertifikatrichtlinienprüfung verwenden Option zum Aktivieren der Prüfung der MID-Zertifikatsrichtlinie.

    Wählen Sie diese Option aus, wenn Sie die Protokolle mit SSL/TLS verschlüsselt senden möchten. Navigieren Sie dann zu Alle > MID-Server > MID-Sicherheitsrichtlinie und fügen Sie der Tabelle die MID-Zertifikatrichtlinienprüfung hinzu. Weitere Informationen finden Sie unter Richtlinien für MID Server-Zertifikatprüfungen.
    Tabelle : 2. Registerkarte „Abfrageeinstellungen“
    Feld Beschreibung Beispiel
    Von/Bis Von- und Bis-Datum und Uhrzeit zum Lesen der Daten
    • Von: Es werden keine Daten gelesen, die älter als dieses Datum sind.
      Hinweis:
      Wenn Sie diesen Wert auf ein vergangenes Datum festlegen, muss das System möglicherweise große Datenmengen lesen, was zu einer Überlastung führt.
    • Bis: Nach diesem Datum werden keine Daten gelesen. Legen Sie für Live-Daten dieses Datum weit in die Zukunft.
    		 Von: 1970-01-01 15:59:59

    Bis: 2300-01-01 15:59:59
    Cross-Cluster-Suche verwenden Option für die Suche nach Daten in Elasticsearch Clustern.

    Wenn diese Checkbox aktiviert ist, wird das Feld Zu durchsuchende Cluster angezeigt.

    Hinweis:
    Ihre Einstellungen im Kontrollkästchen Minimale Berechtigungen verwenden und im Feld Verzögerung beim Lesen des aktuellen Zeitstempels (Sekunden) im Formular „ Erweiterte Konfiguration “ wirken sich darauf aus, wie Daten über mehrere Cluster hinweg erfasst werden.
    Cluster für Suche Die zu durchsuchenden Elasticsearch Cluster.

    Dieses Feld wird nur angezeigt, wenn das Kontrollkästchen Cross-Cluster-Suche verwenden aktiviert ist.

    Führen Sie einen der folgenden Schritte aus:
    • Lassen Sie dieses Feld leer, oder geben Sie „*“ ein, um alle in Elasticsearchdefinierten Remote-Cluster zu durchsuchen.
    • Geben Sie die zu durchsuchenden Cluster in einer durch Kommas getrennten Liste an.
      Hinweis:
      Um auch den lokalen Cluster zu durchsuchen, fügen Sie am Anfang oder Ende ein Komma hinzu, oder fügen Sie der Liste zwei Kommas nacheinander hinzu. Beispiele: „east,,west“ oder „,east,west“ oder „*“
    		 Ost, West, Süd
    Indexpräfix Präfix für die Elasticsearch-Indizes, aus denen gelesen werden soll. Die Dateneingabe wird nur aus Indizes mit diesem Präfix gelesen. Dies ist ein Pflichtfeld. only-read-these-indices-*
    Minimale Berechtigungen verwenden Option zum Lesen von Protokolldaten direkt aus den -Indizes Elasticsearch mit dem konfigurierten Präfix.
    • Wenn diese Option ausgewählt ist, liest die Dateneingabe die Protokolldaten direkt aus den -Indizes Elasticsearch mit dem konfigurierten Präfix. Zum Ausführen dieser Aufgabe sind nur Leseberechtigungen erforderlich.
      Hinweis:
      Wenn dieses Kontrollkästchen aktiviert ist und Sie die clusterübergreifende Suche verwenden, werden Daten aus allen Clustern gleichzeitig erfasst.
    • Wenn diese Option deaktiviert ist, ruft die Dateneingabe alle Indizes mit dem Präfix ab, filtert sie und liest die Protokolldaten aus den gefilterten Indizes. Zum Ausführen dieser Aufgabe sind zusätzliche Berechtigungen erforderlich.
      Hinweis:
      Wenn Sie diese Checkbox bei Verwendung der clusterübergreifenden Suche deaktiviert lassen, wirkt sich dies darauf aus, wie Daten aus den Clustern erfasst werden. Weitere Informationen finden Sie im Artikel „Clusterübergreifende Suche für Elasticsearch-Dateneingaben in Health Log Analytics aktivieren und verwenden“ [KB1556079] in der Knowledge Base von Now Support.

    Weitere Informationen zu Streaming-Protokollen mit der Elasticsearch-Dateneingabe finden Sie im Artikel Stream logs using Elasticsearch data input – Advanced Guide [KB1080162] (Protokolle mit Elasticsearch-Dateneingabe streamen - Erweiterte Anleitung) in der Now Support-Knowledge Base.
    Zeitstempelfeld des Dokuments Zeitstempelfeld in Dokumenten, die in den Leseindizes gespeichert sind. Dies ist ein Pflichtfeld.
    Format des Zeitstempelfelds Format des Zeitstempelfelds in den Dokumenten.

    Wenn kein Format angegeben ist, wird das standardmäßige Unix-Epochenzeitformat in Millisekunden verwendet. Beispiel:

    1684168407 (15. Mai 2023 16:33:27)

    		 jjjj-MM-tt'T'HH:mm:ss.SSSSSSS'Z'
    Begriffsfilter JSON-Zuordnung der zu filternden Begriffe
    Hinweis:
    Vermeiden Sie die Verwendung von Begriffsabfragen für Textfelder. Wenn das Zielfeld sowohl als Text als auch als Stichwort zugeordnet ist, referenzieren Sie das Stichwort mit feldname.stichwort.
    		 {"severity": ["error", "warning"]}
    Max. Anzahl von Dokumenten pro Abfrage Maximale Anzahl von Dokumenten, die in einer einzelnen Abfrage abgerufen werden
    Sliced-Scrolling-Tiebreaker Wert, der zum Teilen der Daten verwendet wird. Jeder Teil wird parallel gescrollt. Standard: _id
    Search-after-Tiebreaker Eindeutiger Wert pro Dokument, der beim Sortieren von Protokolleinträgen nach Zeitstempel als Tiebreaker verwendet werden soll.
    Search-after-API verwenden Option zum Umschalten zwischen der Verwendung von Sliced-Scrolling- und Search-after-APIs.
    Hinweis:
    Sliced-Scrolling-APIs sind beim Lesen historischer Daten vorzuziehen, während Search-after-APIs besser zum Lesen von Echtzeitdaten geeignet sind.
    Zeitsuffixformat für Index Format des Zeitsuffix bei Verwendung von zeitbasierten Indexnamen, z. B. [logstash-]JJJJ.MM.TT.

    Wenn Sie Aliasse verwenden, lassen Sie dieses Feld leer.

    		 uuuu.MM.tt

    Erweiterte Konfiguration

    Tabelle : 3. Formular „Erweiterte Konfiguration“
    Feld Beschreibung
    Datenlese-Zeitüberschreitung (Millisekunden) Dauer in Millisekunden, bevor eine Anforderung an den Elasticsearch-Cluster abläuft
    Intervall für Indexerkennung (Sekunden) Anzahl der Sekunden zwischen intermittierenden MID-Server-Anforderungen an das Elasticsearch-Cluster für neue Indizes, aus denen Daten gelesen werden sollen
    Scroll-Kontextzeit (Millisekunden) Lebensdauer des erstellten Scroll, wenn die Scroll-API zum Lesen von Daten aus Elasticsearch verwendet wird. Weitere Informationen finden Sie in der Elasticsearch Dokumentation zur Scroll API.
    Event Processor Worker Maximale Anzahl von CPU-Kernen, die parallel zur Verarbeitung von aus Elasticsearch abgerufenen Events verwendet werden. Eine höhere Einstellung erhöht den Dateneingabedurchsatz auf Kosten einer höheren CPU-Auslastung.
    Größe der Worker-Warteschlange Maximale Anzahl von Stapeln, die zur Verarbeitung in die Warteschlange gestellt werden. Eine höhere Einstellung erhöht den Durchsatz auf Kosten einer höheren RAM-Auslastung.
    Standardzeitzone Standardzeitzone, wenn Datum und Uhrzeit des Events keine Zeitzoneninformationen enthalten.
    Anteil der zu verwerfenden Unterstichproben Anzahl der Events, die als Stapel ausgeführt werden sollen und von denen eines verworfen wird. Diese Einstellung wird verwendet, um die Anzahl der abgerufenen Events zu reduzieren.
    Anteil der zu empfangenden Unterstichproben Anzahl der Events, die als Stapel ausgeführt werden sollen und von denen alle bis auf eines verworfen werden. Diese Einstellung wird verwendet, um die Anzahl der empfangenen Events zu reduzieren.
    Zeichencodierung Zeichencodierung für diese Dateneingabe
    Ruheintervall (Sekunden) Intervall der Wartzeit in Sekunden, bevor eine weitere Abfrage ausgeführt wird, nachdem eine Abfrage keine Daten zurückgegeben hat
    Maximale Länge in Bytes Maximale Länge von Protokollnachrichten in Byte
    Verzögerung beim Lesen des aktuellen Zeitstempels (Sekunden) Die Anzahl der Sekunden vor dem aktuellen Zeitpunkt, zu dem verzögerte Daten abgefragt werden sollen.

    Die konfigurierte Anzahl von Sekunden wird von der aktuellen Zeit für das Lesen des letzten Zeitstempels abgezogen.

    Hinweis:
    Wenn dieser Wert 0 ist und Daten aus mehreren Clustern gleichzeitig erfasst werden, enthält die Abfrage möglicherweise keine Daten, die in einem der Cluster verzögert gesendet wurden.