Elasticsearch Konfigurationsfelder für die Dateneingabe

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 8 Minuten Lesedauer

    • Beschreibung der Felder im Formular Elasticsearch zur Konfiguration der Dateneingabe.

    Basiskonfiguration

    Feld Beschreibung
    Name Name der neuen Dateneingabe. Dies ist ein Pflichtfeld.
    Beschreibung Beschreibung der Dateneingabe
    Ausführen auf Option, um zu bestimmen, ob ein bestimmter MID-Server oder ein MID-Server-Cluster verwendet werden soll.

    Diese Funktion wird in der Anwendung Health Log Analytics, Version 26.0.17 – Februar 2023 und höher, die im ServiceNow Storeverfügbar ist, unterstützt.
    MID

    (Nur, wenn das Feld Ausführen auf auf Spezifischer MID-Server gesetzt ist)

    MID-Server, von dem Protokolldaten aus Elasticsearch-Indizes abgerufen werden
    Hinweis:
    • Sie können nur MID Servers auswählen, die die Standardauthentifizierung unterstützen. MID Servers, die mTLS unterstützen, sind nicht aufgeführt.
    • Die standardmäßige maximale Anzahl von Dateneingaben, die Protokolle an einen einzelnen MID-Server streamen, beträgt 10. Sie können diese Anzahl in den MID Server-Eigenschaften ändern.
    • Wenn die Protokollerfassung für den ausgewählten MID-Servernicht aktiviert ist, wird sie von Health Log Analytics automatisch aktiviert.
    Dies ist ein Pflichtfeld.
    MID-Server-Cluster

    (Nur, wenn das Feld Ausführen auf auf Spezifischer MID-Server Cluster festgelegt ist)

    Der Cluster MID-Server, in den die Protokolldaten abgerufen werden.

    Die Dateneingabe wird für einen einzelnen MID-Server im Cluster ausgeführt, bis dieser MID-Server ausfällt. Das System verschiebt dann alle Dateneingabeaufgaben gemäß der konfigurierten Reihenfolge zum nächsten verfügbaren MID-Server im Cluster.

    Diese Funktion wird in der Anwendung Health Log Analytics, Version 26.0.17 – Februar 2023 und höher, die im ServiceNow Storeverfügbar ist, unterstützt.

    Hinweis:
    • Health Log Analytics unterstützt nur Failover-Cluster MID-Server. In diesen Clustern sind mehrere MID Servers zum Failover-Schutz in einer Gruppe zusammengefasst. Wenn Sie ein Cluster aus dem Dateneingabeformular auswählen, werden in der Liste der Cluster MID-Server nur Failover-Cluster angezeigt.
    • Der Cluster MID-Server darf nur MID Servers enthalten, die die Standardauthentifizierung unterstützen. mTLS wird für die Protokollerfassung nicht unterstützt.
    • Die Protokollerfassung muss für jeden MID-Server im Cluster aktiviert werden. Wenn die Protokollerfassung für den aktiven MID-Servernicht aktiviert ist, wird sie von Health Log Analytics automatisch aktiviert.
    • Wenn Elasticsearch die Client- oder CA-Zertifikatauthentifizierung verwendet, müssen alle MID Servers im Cluster über die entsprechenden Zertifikate verfügen.
    • Die standardmäßige maximale Anzahl von Dateneingaben, die Protokolle an einen einzelnen MID-Server streamen, beträgt 10. Ein Cluster besteht die Kapazitätsvalidierung, wenn es mindestens einen MID-Server enthält und weniger als 10 Dateneingaben darauf ausgeführt werden, selbst wenn dieser MID-Server ausgefallen ist.
    Weitere Informationen zu MID-Server-Clustern finden Sie unter MID-Server-Cluster konfigurieren.

    Dies ist ein Pflichtfeld.
    Serviceinstanz Die Serviceinstanz, an die die Protokolldaten gebunden werden sollen. Dies ist ein Pflichtfeld.
    Hinweis:
    Wenn keine relevante Serviceinstanz vorhanden ist, Erstellen Sie eine für Service und fügen Sie CIs hinzu. Legen Sie den Status der neuen Serviceinstanz auf „Funktionsfähig“ fest.

    Die folgenden Felder zeigen schreibgeschützte Informationen:

    Feld Beschreibung
    Status Status der Dateneingabe
    Übertragung Protokoll zum Streamen der Protokolldaten.

    Diese Dateneingabe verwendet Elastic, um Protokolldaten an Ihre -Instanz zu streamen.
    Quellenanzahl Die Anzahl der Protokollquellen, die von dieser Dateneingabe erstellt wurden
    Deaktiviert seit Zeitpunkt, zu dem die Dateneingabe beendet wurde oder fehlgeschlagen ist
    Zeit des letzten Protokolls Zeitpunkt, zu dem das letzte Protokoll in der Dateneingabe gestreamt wurde
    Tabelle : 1. Registerkarte „Transport“
    Feld Beschreibung
    Server-URL URL für den Zugriff auf das Cluster. Dies ist ein Pflichtfeld.
    Max. Anzahl von Verbindungen pro Route Maximale Anzahl der pro Knoten zu öffnenden Verbindungen. Standardwert: 2
    Max. Bildlaufsegmente Die Anzahl der für den relevanten Index in Elasticsearchkonfigurierten Shards.

    Diese Zahl teilt Elastic mit, wie viele parallele Abfragen in jeder Abfrageanforderung ausgeführt werden sollen.
    Proxy-Host Hostname des HTTP-Proxy, über den Anforderungen gesendet werden.
    Proxy-Port Port des HTTP-Proxy, über den Anforderungen gesendet werden
    Authentifizierungsmethode Die Authentifizierungsmethode, die zum Authentifizieren der in Elasticsearcheingegebenen Daten verwendet wird. Die Optionen sind: Standardauthentifizierung, API-Schlüssel oder Client-Zertifikat.
    Hinweis:
    Wenn Sie die erforderliche Authentifizierungsmethode auswählen, werden die entsprechenden Felder für Anmeldeinformationen im Formular angezeigt.
    Anmeldeinformationen für Standardauthentifizierung Anwendername und Passwort, die zum Herstellen der Verbindung mit der Suchmaschine Elasticsearch verwendet werden.
    Hinweis:
    Füllen Sie entweder dieses Feld oder das Feld AWS-Anmeldeinformationen aus.
    AWS-Anmeldeinformationen AWS-Anmeldeinformationen für die Verbindung mit der von AWS gehosteten Elasticsearch-Such-Engine
    Hinweis:
    Füllen Sie entweder dieses Feld oder das Feld Anmeldeinformationen für Standardauthentifizierung aus.
    AWS-Region AWS-Region, in der das Elasticsearch-Cluster ausgeführt wird
    Anmeldeinformationen für API-Keys Der API-Schlüssel, der zum Herstellen einer Verbindung mit der Suchmaschine Elasticsearch verwendet wird.
    Client-Zertifikat Das Client-Zertifikat, das zum Herstellen einer Verbindung mit der Suchmaschine Elasticsearch verwendet wird.
    MID-Zertifikatrichtlinienprüfung verwenden Option zum Aktivieren der Prüfung der MID-Zertifikatsrichtlinie.

    Wählen Sie diese Option aus, wenn Sie die Protokolle mit SSL/TLS verschlüsselt senden möchten. Navigieren Sie dann zu Alle > MID-Server > MID-Sicherheitsrichtlinie und fügen Sie die MID-Zertifikatrichtlinienprüfung zur Tabelle hinzu. Weitere Informationen finden Sie unter Richtlinien für MID-Server-Zertifikatprüfung.
    Tabelle : 2. Registerkarte „Abfrageeinstellungen“.
    Feld Beschreibung Beispiel
    Von/Bis Von- und Bis-Datum und Uhrzeit zum Lesen der Daten
    • Von: Es werden keine Daten gelesen, die älter als dieses Datum sind.
      Hinweis:
      Wenn Sie diesen Wert auf ein vergangenes Datum festlegen, muss das System möglicherweise große Datenmengen lesen, was zu einer Überlastung führt.
    • Bis: Nach diesem Datum werden keine Daten gelesen. Legen Sie für Live-Daten dieses Datum weit in die Zukunft.
    		 Von: 1970-01-01 15:59:59

    Bis: 2300-01-01 15:59:59
    Cross-Cluster-Suche verwenden Option für die Suche nach Daten in Elasticsearch -Clustern.

    Wenn dieses Kontrollkästchen aktiviert ist, wird das Feld Zu durchsuchende Cluster angezeigt.

    Hinweis:
    Ihre Einstellungen im Kontrollkästchen Minimale Rechte verwenden und im Feld Verzögerung beim Lesen des aktuellen Zeitstempels (Sekunden) im Formular Erweiterte Konfiguration wirken sich darauf aus, wie Daten in mehreren Clustern erfasst werden.
    Cluster für Suche Die zu durchsuchenden Elasticsearch -Cluster.

    Dieses Feld wird nur angezeigt, wenn das Kontrollkästchen Cross-Cluster-Suche verwenden aktiviert ist.

    Führen Sie einen der folgenden Schritte aus:
    • Lassen Sie dieses Feld leer, oder geben Sie „*“ ein, um alle in Elasticsearchdefinierten Remote-Cluster zu durchsuchen.
    • Geben Sie die zu durchsuchenden Cluster in einer durch Kommas getrennten Liste an.
      Hinweis:
      Um auch den lokalen Cluster zu durchsuchen, fügen Sie ein Komma am Anfang oder Ende oder zwei Kommas nacheinander in der Liste hinzu. Beispiel: „east,,west“ oder „,east,west“ oder „*“,
    		 Ost, West, Süd
    Indexpräfix Präfix für die Elasticsearch-Indizes, aus denen gelesen werden soll. Die Dateneingabe wird nur aus Indizes mit diesem Präfix gelesen. Dies ist ein Pflichtfeld. only-read-these-indices-*
    Minimale Berechtigungen verwenden Option zum Lesen von Protokolldaten direkt aus den Indizes Elasticsearch mit dem konfigurierten Präfix.
    • Wenn diese Option ausgewählt ist, liest die Dateneingabe die Protokolldaten direkt aus den Indizes Elasticsearch mit dem konfigurierten Präfix. Zum Ausführen dieser Aufgabe sind nur Leseberechtigungen erforderlich.
      Hinweis:
      Wenn dieses Kontrollkästchen aktiviert ist und Sie die Cross-Cluster-Suche verwenden, werden Daten von allen Clustern gleichzeitig gesammelt.
    • Wenn diese Option gelöscht ist, ruft die Dateneingabe alle Indizes mit dem Präfix ab, filtert sie und liest die Protokolldaten aus den gefilterten Indizes. Das Ausführen dieser Aufgabe erfordert zusätzliche Berechtigungen.
      Hinweis:
      Wenn Sie diese Checkbox bei Verwendung der Cross-Cluster-Suche deaktiviert lassen, wirkt sich dies darauf aus, wie Daten aus den Clustern gesammelt werden. Weitere Informationen finden Sie im Artikel „Cross-Cluster Search for Elasticsearch Data Inputs in Health Log Analytics“ [KB1556079] in der Knowledge Base Now Support.

    Weitere Informationen zu Streaming-Protokollen mit der Elasticsearch-Dateneingabe finden Sie im Artikel Stream logs using Elasticsearch data input – Advanced Guide [KB1080162] (Protokolle mit Elasticsearch-Dateneingabe streamen - Erweiterte Anleitung) in der Now Support-Knowledge Base.
    Zeitstempelfeld des Dokuments Zeitstempelfeld in Dokumenten, die in den Leseindizes gespeichert sind. Dies ist ein Pflichtfeld.
    Format des Zeitstempelfelds Format des Zeitstempelfelds in den Dokumenten.

    Wenn kein Format angegeben ist, wird das Standardformat für die Unix-Epoch-Zeit in Millisekunden verwendet. Zum Beispiel:

    1684168407 (15. Mai 2023 16:33:27)

    		 jjjj-MM-tt'T'HH:mm:ss.SSSSSSS'Z'
    Begriffsfilter JSON-Zuordnung der zu filternden Begriffe
    Hinweis:
    Vermeiden Sie die Verwendung von Begriffsabfragen für Textfelder. Wenn das Zielfeld sowohl als Text als auch als Stichwort zugeordnet ist, referenzieren Sie das Stichwort mit feldname.stichwort.
    		 {"severity": ["error", "warning"]}
    Max. Anzahl von Dokumenten pro Abfrage Maximale Anzahl von Dokumenten, die in einer einzelnen Abfrage abgerufen werden
    Sliced-Scrolling-Tiebreaker Wert, der zum Teilen der Daten verwendet wird. Jeder Teil wird parallel gescrollt. Standard: _id
    Search-after-Tiebreaker Eindeutiger Wert pro Dokument, der beim Sortieren von Protokolleinträgen nach Zeitstempel als Tiebreaker verwendet werden soll.
    Search-after-API verwenden Option für das Wechseln zwischen Sliced-Scrolling- und Search-after-APIs.
    Hinweis:
    Sliced-Scrolling-APIs sind beim Lesen historischer Daten vorzuziehen, während Search-after-APIs besser zum Lesen von Echtzeitdaten geeignet sind.
    Zeitsuffixformat für Index Format des Zeitsuffix bei Verwendung von zeitbasierten Indexnamen, z. B. [logstash-]JJJJ.MM.TT.

    Wenn Sie Aliasse verwenden, lassen Sie dieses Feld leer.

    		 uuuu.MM.tt

    Erweiterte Konfiguration

    Tabelle : 3. Formular „Erweiterte Konfiguration“
    Feld Beschreibung
    Datenlese-Zeitüberschreitung (Millisekunden) Dauer in Millisekunden, bevor eine Anforderung an den Elasticsearch-Cluster abläuft
    Intervall für Indexerkennung (Sekunden) Anzahl der Sekunden zwischen intermittierenden MID-Server-Anforderungen an das Elasticsearch-Cluster für neue Indizes, aus denen Daten gelesen werden sollen
    Scroll-Kontextzeit (Millisekunden) Lebensdauer des erstellten Scroll, wenn die Scroll-API zum Lesen von Daten aus Elasticsearch verwendet wird. Weitere Informationen finden Sie in der Elasticsearch Dokumentation zur Scroll API.
    Event Processor Worker Maximale Anzahl von CPU-Kernen, die parallel zur Verarbeitung von aus Elasticsearch abgerufenen Events verwendet werden. Eine höhere Einstellung erhöht den Dateneingabedurchsatz auf Kosten einer höheren CPU-Auslastung.
    Größe der Worker-Warteschlange Maximale Anzahl von Stapeln, die zur Verarbeitung in die Warteschlange gestellt werden. Eine höhere Einstellung erhöht den Durchsatz auf Kosten einer höheren RAM-Auslastung.
    Standardzeitzone Standardzeitzone, wenn Datum und Uhrzeit des Events keine Zeitzoneninformationen enthalten.
    Anteil der zu verwerfenden Unterstichproben Anzahl der Events, die als Stapel ausgeführt werden sollen und von denen eines verworfen wird. Diese Einstellung wird verwendet, um die Anzahl der abgerufenen Events zu reduzieren.
    Anteil der zu empfangenden Unterstichproben Anzahl der Events, die als Stapel ausgeführt werden sollen und von denen alle bis auf eines verworfen werden. Diese Einstellung wird verwendet, um die Anzahl der empfangenen Events zu reduzieren.
    Zeichencodierung Zeichencodierung für diese Dateneingabe
    Ruheintervall (Sekunden) Intervall der Wartzeit in Sekunden, bevor eine weitere Abfrage ausgeführt wird, nachdem eine Abfrage keine Daten zurückgegeben hat
    Maximale Länge in Bytes Maximale Länge von Protokollnachrichten in Byte
    Verzögerung beim Lesen des aktuellen Zeitstempels (Sekunden) Die Anzahl der Sekunden vor dem aktuellen Zeitpunkt, zu dem verzögerte Daten abgefragt werden sollen.

    Die konfigurierte Anzahl von Sekunden wird von der aktuellen Zeit für das Lesen des letzten Zeitstempels abgezogen.

    Hinweis:
    Wenn dieser Wert 0 ist und Daten von mehreren Clustern gleichzeitig gesammelt werden, enthält die Abfrage möglicherweise keine Daten, die in einem der Cluster mit Verzögerung gesendet wurden.