Configurer les paramètres avancés pour Elasticsearch les entrées de données manuellement Analyse de l'intégrité des journaux

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Configurez les paramètres avancés pour les entrées de données utilisées pour diffuser des données de journal à partir d'indices Elasticsearch vers votre instance.

    Avant de commencer

    Rôle requis : evt_mgmt_admin

    Pourquoi et quand exécuter cette tâche

    Vous pouvez définir des paramètres système pour la lecture des données de journal qui déterminent les actions que le système effectue sur les données de journal arrivant sur le Serveur MID. Par exemple, vous pouvez définir le fuseau horaire à utiliser si un journal ne comporte pas d’horodatage. Si aucun paramètre avancé n’est configuré, le système utilise les valeurs par défaut.

    Pour plus d’informations sur la diffusion des journaux à l’aide de l’entrée de données, consultez l’article Diffuser les journaux à l’aide de l’entrée de données Elasticsearch - Guide avancé [KB1080162] dans la Now Support base de connaissances.Elasticsearch

    Procédure

    1. Accédez à la Tous > Analyse de l'intégrité des journaux > Entrée de données > Entrées de données.
    2. Ouvrez un Elasticsearch enregistrement d’entrée de données à partir de la table Entrées de données.
      La configuration de l’entrée de données s’affiche.
      Remarque :
      Le nombre de sources de journal créées par l’entrée de données est affiché dans le champ Nombre de sources . Pour plus d’informations sur les sources d’entrée de données, reportez-vous à la section Mappage automatique et mappage des données de journal dans Analyse de l'intégrité des journaux.
      Remarque :
      Si le moteur est en panne et que la HLA diffusion des données s’est arrêtée, une notification s’affiche en haut de la page de configuration des entrées de données. Lorsque cela se produit, contactez l’assistance ServiceNow .
    3. Sélectionnez Avancé, puis sélectionnez l’onglet Avancé .
    4. Remplissez les champs du formulaire.
      Pour obtenir une description des champs, consultez la rubrique Elasticsearch Champs de configuration de l’entrée de données.
    5. Facultatif : Dans la liste connexe Sources de diffusion, vérifiez que cette entrée de données est des données de journal de diffusion provenant de tous les appareils de point de terminaison pertinents.
      Pour plus d’informations sur les sources de diffusion, reportez-vous à la section Identifier et résoudre un problème de diffusion de journaux dans Analyse de l'intégrité des journaux.
      Remarque :
      Si vous rencontrez des problèmes liés aux autorisations avec les données du journal de diffusion de Elasticsearch, reportez-vous à l’article Octroi de privilèges pour les flux de données à partir d’Elasticsearch [KB0967366] dans la Now Support base de connaissances.
    6. Sélectionnez Enregistrer.
      Analyse de l'intégrité des journaux ajoute l'enregistrement d'entrée de données à la table Entrées de données.
    7. Assurez-vous que l’entrée de données est correctement configurée en sélectionnant Test de la connexion.

      Analyse de l'intégrité des journaux tente de se connecter Serveur MID au référentiel de données.

      Si l’entrée de données est configurée pour s’exécuter sur une Serveur MID grappe, le système tente de connecter toutes les Serveurs MID données contenues dans la grappe au référentiel. La grappe réussit le test si au moins l’une d’entre elles Serveurs MID est connectée. Cette fonctionnalité est prise en charge dans l’application, version Analyse de l'intégrité des journaux 26.0.17 de février 2023 et ultérieures, disponible depuis le ServiceNow Store.

      • Si la connexion a été établie, le bouton Test de la connexion est désactivé et le bouton Publier est activé.
      • Si la connexion a échoué, le motif de l’échec s’affiche dans le champ Message d’erreur . Ce champ s’affiche uniquement lorsqu’une erreur de diffusion s’est produite.

        Pour résoudre le problème, sélectionnez Enregistrer si vous avez modifié la configuration, puis sélectionnez Test de la connexion pour tester à nouveau la connexion.

        Remarque :
        Vous ne pouvez publier la configuration des entrées de données que lorsque la connexion est créée avec succès.
      Remarque :
      Vous pouvez revenir à la dernière configuration publiée en sélectionnant Rétablir les changements. Cette option n’est disponible que lorsque vous modifiez une configuration qui a été publiée précédemment.
    8. Sélectionnez Publier pour publier l’entrée de données dans le Serveur MID.