Erweiterte Einstellungen für Rsyslog-, Splunk- oder TCP-Dateneingaben konfigurieren

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Konfigurieren Sie erweiterte Einstellungen für Dateneingaben, die Rsyslog-, Splunk- oder TCP-Agents verwenden.

    Vorbereitungen

    Erforderliche Rolle: evt_mgmt_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können Systemparameter zum Lesen von Protokolldaten festlegen, um Aktionen festzulegen, die das System für die Protokolldaten ausführt, die auf dem MID-Server eintreffen. Sie können beispielsweise die zu verwendende Zeitzone festlegen, wenn ein Protokoll keinen Zeitstempel enthält. Wenn keine erweiterten Einstellungen konfiguriert sind, verwendet das System die Standardwerte.

    Weitere Informationen zum Ändern der Einstellungen, die beim Erstellen der Dateneingabe konfiguriert wurden, wie das Hinzufügen eines neuen Pfads oder das Ändern des MID-Server-Ziels oder Ports der Dateneingabe, finden Sie unter Konfiguration der Dateneingabe ändern.

    Prozedur

    1. Navigieren zu Alle > Health Log Analytics > Dateneingabe > Dateneingaben.
    2. Öffnen Sie einen Rsyslog-, Splunk- oder TCP-Dateneingabe-Datensatz aus der Dateneingabentabelle.
      Die Dateneingabe-Konfiguration wird angezeigt.
      Hinweis:
      Die Anzahl der Protokollquellen, die diese Dateneingabe erstellt haben, wird im Feld Quellenanzahl angezeigt. Weitere Informationen zu Dateneingabequellen finden Sie unter Automatische Zuordnung und Zuordnung von Protokolldaten.
      Hinweis:
      Wenn die KI-Engine Health Log Analytics ausgefallen ist und das Daten-Streaming beendet wurde, wird oben auf der Konfigurationsseite der Dateneingabe eine Benachrichtigung angezeigt. Wenden Sie sich in diesem Fall an den Support von ServiceNow.
    3. Wählen Sie Erweitert aus.
    4. Füllen Sie die Felder des Formulars aus.
      Feldbeschreibungen finden Sie unter Rsyslog, Filebeat- oder Winlogbeat-Dateneingabekonfigurationsfelder.
    5. Wahlweise: Überprüfen Sie in der zugehörigen Liste „Streamingquellen“, ob diese Dateneingabe Protokolldaten aus allen relevanten Endpunktgeräten streamt.
      Weitere Informationen zu Streaming-Quellen finden Sie unter Probleme beim Protokoll-Streaming identifizieren und beheben.
    6. Wählen Sie Speichern.
      Health Log Analytics fügt den Dateneingabedatensatz in die Dateneingabentabelle ein.
    7. Stellen Sie sicher, dass die Dateneingabe richtig konfiguriert ist, indem Sie Verbindung testenauswählen.

      Health Log Analytics versucht, MID-Server mit dem Daten-Repository zu verbinden.

      • Wenn die Verbindung hergestellt wurde, ist die Schaltfläche Verbindung testen deaktiviert und die Schaltfläche Veröffentlichen aktiviert.
      • Wenn die Verbindung fehlgeschlagen ist, wird der Grund für den Fehler im Feld Fehlermeldung angezeigt. Dieses Feld wird nur angezeigt, wenn ein Streaming-Fehler aufgetreten ist.

        Beheben Sie das Problem, wählen Sie Speichern aus, wenn Sie die Konfiguration geändert haben, und wählen Sie dann Verbindung testen aus, um die Verbindung erneut zu testen.

        Hinweis:
        Sie können die Dateneingabekonfiguration nur veröffentlichen, wenn die Verbindung erfolgreich erstellt wurde.
      Hinweis:
      Sie können die zuletzt veröffentlichte Konfiguration wiederherstellen, indem Sie Änderungen rückgängig machenwählen. Diese Option ist nur verfügbar, wenn Sie eine zuvor veröffentlichte Konfiguration ändern.
    8. Wählen Sie Veröffentlichen aus, um die Dateneingabe im MID-Serverzu veröffentlichen.