Configurer manuellement une Rsyslog entrée Analyse de l'intégrité des journaux de données ou FilebeatWinlogbeat

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 7 minutes de lecture

    • Configurez une entrée de données pour diffuser les messages du journal vers votre instance à l’aide ServiceNow d’un ou d’un RsyslogFilebeatWinlogbeat agent.

    Avant de commencer

    • Vérifiez qu’un Serveur MID est installé et configuré avec l’aptitude d’ingestion de journal activée. Pour plus d'informations, consultez MID Server system requirements.

      Configuration du Serveur MID avec l’aptitude d’ingestion de journaux activée.

      Important :
      Analyse de l'intégrité des journaux ne prend pas en charge IPv6. Pour utiliser l'application, configurez le Serveur MID sur IPv4.
    • À moins que les Serveur MID clients externes ne se trouvent sur le même réseau, ils Serveur MID doivent avoir une adresse IP publique. Cela est nécessaire lorsque son adresse IP est exposée via la traduction d’adresses réseau (NAT), un équilibreur de charge ou un appareil similaire. L’adresse IP publique permet aux clients externes, tels que les Filebeat agents situés en dehors de son réseau, d’atteindre le Serveur MID. Les adresses IP privées ne sont pas routables sur Internet. Sans adresse IP publique, les clients externes ne peuvent pas se connecter au Serveur MID même s’ils sont configurés avec son adresse. Dans les propriétés Serveur MID, ajoutez une propriété nommée mid.public_ip avec l'adresse IP publique comme valeur. Pour plus d'informations, voir Créer une propriété de MID Server. Si les clients et les Serveur MID clients externes se trouvent sur le même réseau, les connexions peuvent être établies à l’aide de l’adresse IP privée.
    • Pour expédier vos journaux chiffrés à l’aide de SSL TLS, consultez l’article Streaming Data With Rsyslog & Filebeat Using SSL [KB0866319] dans la base de Now Support connaissances.

    Rôle requis : evt_mgmt_admin

    Procédure

    1. Accédez à la Tous > Analyse de l'intégrité des journaux > Entrée de données > Entrées de données.
    2. Sur la page Entrées de données, sélectionnez Nouveau.
    3. Choisissez le type d’entrée de données à créer parmi les types d’entrée de données disponibles décrits dans la table.
      Remarque :
      Le type d’entrée de données sélectionné complète l’entrée de données passive (écouteur). Pour plus d’informations, consultez Entrées de données prises en charge.
      Tableau 1. Types d’entrées de données
      Type Description
      Rsyslog Diffuse les messages de journal des serveurs UNIX vers le moteur d'IA ServiceNow à l'aide de l'agent Rsyslog.
      Linux utilisant Filebeat Diffuse les messages du journal système et les fichiers locaux des Linux serveurs vers l’instance à l’aide de l’agent Filebeat .
      Windows Journaux d’application utilisant Filebeat Diffuse les fichiers locaux des Microsoft Windows appareils vers l’instance à l’aide ServiceNow de l’agent Filebeat .
      Windows Système d’exploitation utilisant Winlogbeat Diffuse les journaux d’événements Windows vers l’instance à l’aide ServiceNow de l’agent Winlogbeat .
    4. Dans l'onglet Mise en route, remplissez le formulaire.

      Pour obtenir une description des champs, consultez la rubrique Rsyslog, Filebeat ou Winlogbeat Champs de configuration des entrées de données.

      Remarque :
      Lors de la création d’une entrée de données pour Linux à l’aide Filebeat de , vous pouvez sélectionner un pack de contenu dans la liste déroulante Pack de contenu . Le pack de contenu contient des types de source par défaut et des modèles de script de mappage qui vous permettent de gagner du temps pour les créer à partir de zéro. Pour plus d'informations, consultez Analyse de l'intégrité des journaux Packs de contenu pour un délai de rentabilisation plus rapide.
    5. Si l’agent , ou Winlogbeat n’a RsyslogFilebeat pas encore été installé, téléchargez-le et installez-le à partir de l’onglet Installation.
      Pour les instructions d’installation, reportez-vous à la documentation du produit de l’agent concerné.
      Remarque :
      Assurez-vous d'exécuter la dernière version de l'agent. Les versions antérieures fonctionneront, mais avec des fonctionnalités limitées.
    6. Dans l’onglet Tagging and Binding (Balisage et liaison ), affectez des journaux à une instance de service dans Base de données de gestion des configurations (CMDB) le pour permettre au service de corréler les données de journal et au système d’effectuer une analyse de la cause première.
      1. Pour chaque source, configurez le chemin d’accès et l’instance de service pour les journaux à diffuser.
        Remarque :
        Par défaut, seuls les champs requis Chemin d’accès et Instance de service s’affichent.

        Pour obtenir une description des champs, consultez la rubrique Rsyslog, Filebeat ou Winlogbeat Champs de configuration des entrées de données.

      2. Si vous souhaitez expédier des journaux multilignes à l’aide Filebeat de , configurez les propriétés qui contrôlent la façon dont Filebeat les messages traitent les messages qui s’étendent sur plusieurs lignes de texte.
        Champ Description
        Correspondre Spécifie comment Filebeat combine les lignes correspondantes dans un événement.
        Inverser Définit si le modèle identifié dans les lignes du journal est inversé.
        Regex Spécifie l’expression régulière à faire correspondre.
        Remarque :
        Analyse de l'intégrité des journaux ne prend actuellement pas en charge les propriétés multilignes pour Rsyslog.
      3. Facultatif : Définissez des chemins d’accès de journal supplémentaires pour permettre à l’entrée de données de diffuser des types de journaux à partir de plusieurs chemins.
        Procédez comme suit pour chaque chemin de journal supplémentaire :
        1. Insérer une nouvelle ligne.
        2. Configurer le chemin d’accès au journal.
        3. Choisissez une instance de service.
        4. (Facultatif) choisissez un composant et un type de source.
        Remarque :
        Cette option n’est pas disponible ni nécessaire lors de l’utilisation Winlogbeat de , car Analyse de l'intégrité des journaux diffuse les journaux des Windows événements.
    7. Dans l'onglet Terminer, terminez la configuration pour votre type d'entrée de données.
      • Rsyslog :
        1. Téléchargez le fichier de configuration et installez-le sur l’appareil de point de terminaison, dans le répertoire /etc/rsyslog.d/rsyslog.conf .
          Remarque :
          Si vous utilisez le Analyse de l'intégrité des journaux application, version 20.0.11 : juillet 2021, disponible depuis le ServiceNow Store , procédez plutôt comme suit :
          1. Sur l’appareil de point de terminaison, installez le fichier de configuration dans le répertoire /etc/rsyslog.d/ .
          2. Créez un répertoire spool en exécutant la commande sudo mkdir -p/var/spool/rsyslog .
        2. Validez la configuration en exécutant la commande rsyslogd -N1 et vérifiez la sortie.
        3. Redémarrez Rsyslog en exécutant la commande sudo systemctl restart rsyslog .
        4. Vérifiez la sortie. S'il contient des erreurs, consultez le fichier journal système /var/log/messages pour rechercher les messages d'erreur et corriger les erreurs.
      • Linux en utilisant Filebeat:
        1. Téléchargez le fichier de configuration et installez-le sur le point de terminaison, dans le répertoire /etc/filebeat/.
        2. Démarrez le service d’agent en exécutant la commande sudo service filebeat start .
          Remarque :
          La configuration générée ignore les fichiers qui ont été modifiés pour la dernière fois il y a plus de six heures. Si nécessaire, vous pouvez modifier ce paramètre dans la configuration.
        3. Redémarrez le service d'agent en exécutant la commande appropriée.
      • Windows à l’aide de Beats (Filebeat ou Winlogbeat) :
        1. Téléchargez le fichier de configuration et installez-le sur le point de terminaison, dans le répertoire C:\Program Files\.
        2. Démarrez le service d'agent en exécutant la commande appropriée dans PowerShell.
          • Filebeat: PS > filebeat Start-Service
          • Winlogbeat: winlogbeat PS > Start-Service
          Remarque :
          La configuration générée ignore les fichiers qui ont été modifiés pour la dernière fois il y a plus de six heures. Si nécessaire, vous pouvez modifier ce paramètre dans la configuration.
        3. Redémarrez le service d'agent en exécutant la commande appropriée.
    8. Sélectionnez Enregistrer.
      Analyse de l'intégrité des journaux ajoute l'enregistrement d'entrée de données à la table Entrées de données.
    9. Vérifiez que l’entrée de données est correctement configurée en sélectionnant Test de la connexion.

      Analyse de l'intégrité des journaux tente de se connecter Serveur MID au référentiel de données.

      • Si la connexion a été établie, le bouton Test de la connexion est désactivé et le bouton Publier est activé.
      • Si la connexion a échoué, le motif de l’échec s’affiche dans le champ Message d’erreur . Ce champ s’affiche uniquement lorsqu’une erreur de diffusion s’est produite.

        Pour résoudre le problème, sélectionnez Enregistrer si vous avez modifié la configuration, puis sélectionnez Test de la connexion pour tester à nouveau la connexion.

        Remarque :
        Vous ne pouvez publier la configuration des entrées de données que lorsque la connexion est créée avec succès.
      Remarque :
      Vous pouvez revenir à la dernière configuration publiée en sélectionnant Rétablir les changements. Cette option n’est disponible que lorsque vous modifiez une configuration qui a été publiée précédemment.
    10. Sélectionnez Publier pour publier l’entrée de données dans le Serveur MID.

    Résultats

    Le processus de configuration des entrées de données est terminé. Analyse de l'intégrité des journaux ajoute l’enregistrement d’entrée de données à la table Entrées de données et joint le fichier de configuration à l’enregistrement d’entrée de données. L’entrée de données démarre la diffusion des données du journal vers votre ServiceNow instance.

    Remarque :
    Le fichier Analyse de l'intégrité des journaux de configuration généré pour les nouvelles Filebeat entrées de données est compatible avec Filebeat les versions 7.14 et supérieures. La version minimale Filebeat actuellement prise Elasticsearch en charge est 7.17, qui arrive en fin de vie.

    Les fichiers HLA de configuration d’entrée de données existants Filebeat sont compatibles avec Filebeat les versions jusqu’à 8.x. Pour Filebeat la version 9.0 et les versions ultérieures, migrez de l’entrée de journal vers l’entrée de flux de fichiers ou générez un nouveau fichier de configuration. Pour plus d’informations sur le processus de migration, consultez le Filebeat documentation.

    Remarque :
    Si le moteur est en panne et que la HLA diffusion des données s’est arrêtée, une notification s’affiche en haut de la page de configuration des entrées de données. Lorsque cela se produit, contactez l’assistance ServiceNow .

    Que faire ensuite

    Assurez-vous que l'entrée de données contient des données de diffusion.