Configurer les entrées de données (Rsyslog, Filebeat ou Winlogbeat)

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 6 minutes de lecture

    • Configurez une entrée de données pour diffuser des messages de journal vers votre instance ServiceNow à l'aide d'un agent Rsyslog, Filebeat ou Winlogbeat. La configuration de l’entrée de données est une étape essentielle dans la configuration de l’application Analyse de l'intégrité des journaux (HLA).

    Avant de commencer

    Important :
    Analyse de l'intégrité des journaux ne prend pas en charge IPv6. Pour utiliser l'application, configurez le Serveur MID sur IPv4.
    • Assurez-vous qu’un serveur MID est installé et configuré avec l’aptitude d’ingestion de journal activée.

      Configuration du serveur MID avec l’aptitude d’ingestion de journaux activée.

    • Si l’adresse IP est exposée par la traduction d’adresses Serveur MID réseau (NAT), un équilibreur de charge ou un appareil similaire, elle doit avoir une adresse IP publique. Dans les propriétés Serveur MID, ajoutez une propriété nommée mid.public_ip avec l'adresse IP publique comme valeur. Pour plus d'informations, voir Créer une propriété de MID Server.
    • Pour plus d'informations sur l'expédition de vos journaux chiffrés à l'aide de SSL/TLS, consultez l'article Streaming Data With Rsyslog & Filebeat Using SSL [KB0866319] dans la base de connaissances Now Support.

    Rôle requis : evt_mgmt_admin

    Procédure

    1. Accédez à la Tout > Analyse de l'intégrité des journaux > Entrée de données > Entrées de données.
    2. Sur la page Entrées de données, sélectionnez Nouveau.
    3. Choisissez le type d'entrée de données à créer à partir des types d'entrée de données disponibles décrits dans la table.
      Remarque :
      Le type d'entrée de données sélectionné complète l'entrée de données passive (écouteur). Pour plus d'informations, voir Entrées de données prises en charge.
      Tableau 1. Types d'entrées de données
      Type Description
      Rsyslog Diffuse les messages de journal des serveurs UNIX vers le moteur d'IA ServiceNow à l'aide de l'agent Rsyslog.
      Linux avec Filebeat Diffuse les messages de journal système et les fichiers locaux des serveurs Linux vers l'instance à l'aide de l'agent Filebeat.
      Journaux d'application Windows avec Filebeat Diffuse les fichiers locaux des appareils Microsoft Windows vers l'instance ServiceNow à l'aide de l'agent Filebeat.
      Système d'exploitation Windows avec Winlogbeat Diffuse les journaux des événements Windows vers l'instance ServiceNow à l'aide de l'agent Winlogbeat.
    4. Dans l'onglet Mise en route, remplissez le formulaire.

      Pour obtenir une description des champs, consultez la rubrique RsyslogChamps de configuration d’entrée de données , Filebeat ou Winlogbeat.

      Remarque :
      Lors de la création d’une entrée de données pour Linux à l’aide de Filebeat, vous pouvez sélectionner un pack de contenu dans la liste déroulante Content Pack . Le pack de contenu contient des types de source par défaut et des modèles de script de mappage qui vous font gagner du temps pour les créer à partir de zéro. Pour plus d'informations, consultez Analyse de l'intégrité des journaux Des packs de contenu pour un retour sur investissement plus rapide.
    5. Si l'agent n'a pas déjà été installé, téléchargez-le et installez-le à partir de l'onglet Installation.
      Remarque :
      Assurez-vous d'exécuter la dernière version de l'agent. Les versions antérieures fonctionneront, mais avec des fonctionnalités limitées.
    6. Dans l'onglet Balisage et liaison, affectez des journaux à un service d'application de la Base de données de gestion des configurations (CMDB) pour permettre au service de corréler les données de journal et de permettre au système d'effectuer l'analyse de la cause première.
      1. Pour chaque source, configurez le chemin d'accès et le service d'application permettant de diffuser les journaux.
        Remarque :
        Par défaut, seuls les champs Chemin d'accès et Service d'application obligatoires s'affichent.

        Pour obtenir une description des champs, consultez la rubrique RsyslogChamps de configuration d’entrée de données , Filebeat ou Winlogbeat.

      2. Si vous souhaitez expédier des journaux multilignes à l'aide de Filebeat, configurez les propriétés qui contrôlent la façon dont Filebeat gère les messages qui couvrent plusieurs lignes de texte.
        Champ Description
        Correspondance Spécifie comment Filebeat combine les lignes correspondantes dans un événement.
        Annulation Définit si le motif identifié dans les lignes du journal est annulé.
        Regex Spécifie l'expression régulière à faire correspondre.
        Remarque :
        Actuellement, Analyse de l'intégrité des journaux ne prend pas en charge les propriétés multilignes pour Rsyslog.
      3. Facultatif : Définissez des chemins de journal supplémentaires pour permettre à l’entrée de données de diffuser des types de journaux à partir de plusieurs chemins d’accès.
        Procédez comme suit pour chaque chemin de journal supplémentaire :
        1. insérez une nouvelle ligne ;
        2. configurez le chemin d'accès au journal ;
        3. choisissez un service d'application ;
        4. (Facultatif) choisissez un composant et un type de source.
        Remarque :
        Cette option n’est pas disponible ou nécessaire lors de l’utilisation de Winlogbeat, car Analyse de l'intégrité des journaux diffuse les journaux d’événements Windows .
    7. Dans l'onglet Terminer, terminez la configuration pour votre type d'entrée de données.
      • Rsyslog :
        1. Téléchargez le fichier de configuration et installez-le sur le point de terminaison, dans le répertoire /etc/rsyslog.d/rsyslog.conf.
          Remarque :
          Si vous utilisez Analyse de l'intégrité des journaux application, Version 20.0.11 - Juillet 2021, disponible depuis le ServiceNow Store , effectuez plutôt les actions suivantes :
          1. Sur le point de terminaison, installez le fichier de configuration dans le répertoire /etc/rsyslog.d/.
          2. Créez un répertoire de mise en attente en exécutant la commande sudo mkdir -p/var/spool/rsyslog.
        2. Validez la configuration en exécutant la commande rsyslogd -N1 et vérifiez le résultat.
        3. Redémarrez Rsyslog en exécutant la commande sudo systemctl restart rsyslog.
        4. Vérifiez le résultat. S'il contient des erreurs, consultez le fichier journal système /var/log/messages pour rechercher les messages d'erreur et corriger les erreurs.
      • Linux avec Filebeat :
        1. Téléchargez le fichier de configuration et installez-le sur le point de terminaison, dans le répertoire /etc/filebeat/.
        2. Démarrez le service d'agent en exécutant la commande sudo service filebeat start.
          Remarque :
          La configuration générée ignore les fichiers qui ont été modifiés pour la dernière fois il y a plus de six heures. Si nécessaire, vous pouvez modifier ce paramètre dans la configuration.
        3. Redémarrez le service d'agent en exécutant la commande appropriée.
      • Windows avec Beats (Filebeat ou Winlogbeat) :
        1. Téléchargez le fichier de configuration et installez-le sur le point de terminaison, dans le répertoire C:\Program Files\.
        2. Démarrez le service d'agent en exécutant la commande appropriée dans PowerShell.
          • Filebeat : PS > filebeat Start-Service >
          • Winlogbeat : PS > winlogbeat Start-Service
          Remarque :
          La configuration générée ignore les fichiers qui ont été modifiés pour la dernière fois il y a plus de six heures. Si nécessaire, vous pouvez modifier ce paramètre dans la configuration.
        3. Redémarrez le service d'agent en exécutant la commande appropriée.
    8. Sélectionnez Enregistrer.
      Analyse de l'intégrité des journaux ajoute l'enregistrement d'entrée de données à la table Entrées de données.
    9. Assurez-vous que l’entrée de données est correctement configurée en sélectionnant Tester la connexion.

      Analyse de l'intégrité des journaux tente de connecter le Serveur MID au référentiel de données.

      • Si la connexion a été établie, le bouton Test de la connexion est désactivé et le bouton Publier est activé.
      • En cas d’échec de la connexion, le motif de l’échec s’affiche dans le champ Message d’erreur . Ce champ s’affiche uniquement lorsqu’une erreur de diffusion s’est produite.

        Pour résoudre le problème, sélectionnez Enregistrer si vous avez modifié la configuration, puis Tester la connexion pour tester à nouveau la connexion.

        Remarque :
        Vous ne pouvez publier la configuration d’entrée de données que lorsque la connexion est créée avec succès.
      Remarque :
      Vous pouvez revenir à la dernière configuration publiée en sélectionnant Rétablir les changements. Cette option n’est disponible que lorsque vous modifiez une configuration qui a été publiée précédemment.
    10. Sélectionnez Publier pour publier l’entrée de données dans le Serveur MIDfichier .

    Résultats

    Le processus de configuration des entrées de données est terminé. Analyse de l'intégrité des journaux ajoute l’enregistrement d’entrée de données à la table Entrées de données et joint le fichier de configuration à l’enregistrement d’entrée de données. L’entrée de données démarre la diffusion des données du journal vers votre ServiceNow instance.

    Que faire ensuite

    Assurez-vous que l'entrée de données contient des données de diffusion.