Modifier les données de journal brutes avant leur traitement dans Analyse de l'intégrité des journaux

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • Utilisez le prétraitement d’entrée de données pour filtrer, diviser ou assainir les données de journal brutes avant qu’elles ne soient traitées dans le Serveur MID et mappé et structuré par Analyse de l'intégrité des journaux.

    Avant de commencer

    Rôle requis : evt_mgmt_admin

    Procédure

    1. Accédez à la Tous > Analyse de l'intégrité des journaux > Prétraitement d'entrée de données.
    2. Ouvrez un enregistrement.
      Remarque :
      La première fois que le formulaire de prétraitement est affiché, Analyse de l'intégrité des journaux extrait automatiquement les échantillons de journal. Lors des sessions suivantes, récupérez manuellement les échantillons frais en sélectionnant Actualiser les échantillons.
    3. Facultatif : Empêchez l’affichage d’échantillons de journaux extraits des journaux bruts de votre organisation en sélectionnant Désactiver les échantillons de journaux bruts.
      Sélectionnez cette option si vous ne souhaitez pas exposer vos journaux à Analyse de l'intégrité des journaux.
    4. Facultatif : Voyez comment la fonction JavaScript actuelle affecte les lignes du journal.
      1. Ajoutez un exemple de message dans le champ d’exemple du manuel de test .
      2. Sélectionnez Go.
      3. Notez comment la fonction JavaScript affecte les lignes du journal.
    5. Dans le champ Échantillons d’entrées brutes , choisissez un exemple de journal qui montrera l’effet de la nouvelle fonction JavaScript que vous allez définir sur les lignes de journal lorsque vous la testerez.
    6. Définissez une fonction JavaScript qui modifie vos données de journal brutes avant Analyse de l'intégrité des journaux de les mapper et de les structurer.
      Remarque :

      (entrées de données ACC uniquement) Lorsque l’utilisateur Agent Client Collector bascule vers une autre Serveur MID entrée de données ACC pour assurer la protection contre le basculement, il doit passer à une autre entrée de données ACC. Par conséquent, toutes les entrées de données ACC doivent avoir la même fonction JavaScript. Analyse de l'intégrité des journaux fournit la dernière fonction JavaScript publiée à toutes les entrées de données ACC existantes et futures, en remplaçant le script précédent. Cette fonctionnalité est prise en charge dans l’application, version Analyse de l'intégrité des journaux 22.0.12 de décembre 2021 et ultérieures, disponible depuis le ServiceNow Store. Pour plus d’informations sur la protection contre le basculement dans Log Analytics (ACC-L), reportez-vous à Agent Client Collector la section Agent Client Collector Analyse de journaux.

      1. Dans la console JavaScript, modifiez la fonction JavaScript par défaut fournie, modifiez une fonction JavaScript personnalisée existante ou définissez-en une nouvelle.
        Remarque :
        En plus de la fonction JavaScript par défaut pour le prétraitement des données, Analyse de l'intégrité des journaux fournit un modèle de fonction JavaScript nommé Scrubbing. Cette fonction JavaScript supprime les informations personnellement identifiables telles que les adresses e-mail, les numéros de sécurité sociale et les mots de passe des données de journal brutes. Le modèle peut servir de point de départ pour votre code de script personnalisé. Cette fonctionnalité est prise en charge dans l’application, version Analyse de l'intégrité des journaux 20.0.11 : juillet 2021, disponible depuis le ServiceNow Store.
        Remarque :
        (entrées de données ACC uniquement) Assurez-vous que votre fonction JavaScript peut être utilisée pour gérer les données diffusées par toutes les entrées de données ACC.
        Les fonctions JavaScript pour le prétraitement des données de journal brutes utilisent les objets suivants :
        • Signature : fonction processus (échantillon, métadonnées)
          Objet Description
          Exemple Exemple de journal actuel.
          metadata Objet contenant le flux d’événements.

          Pour accéder au flux d’événements, appelez la fonction metadata.eventStream . Le flux d’événements étant un objet, vous pouvez accéder à chacune de ses propriétés en appelant les fonctions metadata.eventStream.origin ou metadata.eventStream.LocalPort .

          La liste des propriétés disponibles du flux d’événements est disponible dans le flux d’événements : accès via l’onglet métadonnées.
        • Type et structure de retour
          Remarque :
          La fonction JavaScript renvoie une carte de deux entrées. Ne modifiez pas cette structure de retour.
          Objet Description
          entrée modifiée Le message du journal actuel après que la fonction JavaScript a modifié le message d’origine. Si la valeur est null, le message du journal d’origine est utilisé.
          événements divisés Tableau des messages du journal après que la fonction JavaScript a divisé le message d’origine.
        • Pour ignorer un message du journal, appelez le retour drop().
      2. Testez votre fonction JavaScript en sélectionnant Tester et en affichant le résultat sur l’exemple de journal dans les listes connexes.
        Onglet Description
        Résultat Résultat de l’exécution de la fonction JavaScript sur votre exemple de journal.
        Flux d’événements : accès via les métadonnées Paires clé-valeur qui présentent les métadonnées du flux d’événements.
        Échecs Exemple de journal sur lequel la fonction JavaScript n’a pas pu s’exécuter correctement.
        Remarque :
        Si votre nouvelle fonction JavaScript ne se comporte pas comme prévu, vous pouvez revenir à la dernière fonction publiée en sélectionnant le lien connexe Rétablir la fonction JS .
      3. Facultatif : Effectuez les ajustements nécessaires, puis testez à nouveau la fonction JavaScript.
    7. Sélectionnez l’option Enregistrer le modèle pour enregistrer la fonction JavaScript.
      Vous pouvez enregistrer la fonction JavaScript en tant que nouveau modèle ou remplacer le modèle actuellement sélectionné.
      • Pour enregistrer la fonction JavaScript en tant que nouveau modèle, saisissez un nouveau nom dans le champ Nom du modèle .
      • Pour remplacer le modèle actuellement sélectionné dans le champ Modèles de fonction JS , laissez le champ Nom du modèle vide.
    8. Sélectionnez Publier pour enregistrer la fonction JavaScript dans la base de données.

    Résultats

    Lorsque la fonction JavaScript est publiée, Analyse de l'intégrité des journaux l’utilise pour prétraiter vos données de journal brutes avant de les mapper et de les structurer.

    Le nouveau script est automatiquement ajouté à la liste des modèles de fonction JS parmi lesquels vous pouvez choisir. Cette fonctionnalité est prise en charge dans l’application, version Analyse de l'intégrité des journaux 20.0.11 : juillet 2021, disponible depuis le ServiceNow Store.

    (entrées de données ACC uniquement) Analyse de l'intégrité des journaux fournit la fonction JavaScript publiée à toutes les entrées de données ACC existantes et futures. La nouvelle fonction JavaScript remplace le script précédent.

    Que faire ensuite

    Passez à la page Mappage des entrées de données en sélectionnant le lien connexe Accéder au mappage . Mappez les données brutes qui circulent dans votre instance pour déterminer comment Analyse de l'intégrité des journaux elles sont traitées.