Activer la surveillance des journaux dans un environnement Linux

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Pour activer la surveillance des journaux dans un environnement Linux, sélectionnez la politique pertinente et affectez des paramètres de vérification spécifiques à la politique. Lorsque la surveillance des journaux est activée et qu'une chaîne spécifiée est détectée dans le journal surveillé, le système crée un événement.

    Avant de commencer

    Assurez-vous que l'utilisateur ServiceNow a accès au fichier journal surveillé ou que l'utilisateur spécifié peut exécuter la commande sudo.

    Rôle requis : agent_client_collector_admin

    Procédure

    1. Accédez à la Tous > Agent Client Collector > Stratégies.
    2. Sélectionnez la politique Surveillance des journaux Linux.
    3. Dans l'onglet Instances de vérifications, sélectionnez util.check-logs pour activer la surveillance des fichiers journaux qui n'appartiennent pas à l'utilisateur root.
      Assurez-vous que l'utilisateur Agent Client Collector servicenow peut accéder en lecture au fichier journal surveillé.
    4. Spécifiez le fichier journal que la vérification doit rechercher :
      1. Dans l'onglet Vérifier les définitions de paramètres au bas de la page, sélectionnez l'entrée fichier dans la colonne Nom.
      2. Dans le champ Valeur par défaut, saisissez le chemin d'accès du fichier journal que vous souhaitez rechercher.
    5. Spécifiez la chaîne que vous souhaitez rechercher dans le journal :
      1. Dans l'onglet Vérifier les définitions de paramètres au bas de la page, sélectionnez l'entrée modèle dans la colonne Nom.
      2. Dans le champ Valeur par défaut, saisissez les chaînes de modèle de recherche que vous souhaitez rechercher dans le fichier journal, par exemple 404, Erreur, etc. Les valeurs par défaut sont GRAVE et Exception.

        Veillez à séparer les modèles par une barre verticale (|) et de les transmettre comme paramètre entre guillemets droits. Par exemple : "GRAVE|404".

    6. Cliquez sur Mettre à jour pour enregistrer votre instance de vérification et revenir à la page Politique - Surveillance des journaux Linux.
    7. Sélectionnez la vérification util.check-logs-sudo pour surveiller les journaux appartenant à l'utilisateur racine.
    8. Répétez les étapes 4 et 5 pour surveiller les journaux appartenant à l'utilisateur racine.
    9. Pour la vérification util.check-logs-sudo, modifiez le fichier /etc/sudoers sur l'ordinateur virtuel hôte ou Linux, comme suit :
      Lorsque l'agent est installé sur l'emplacement par défaut de l'hôte (/usr/share/servicenow/agent-client-collector) ou sur un ordinateur virtuel Linux, ajoutez la chaîne suivante au fichier /etc/sudoers :
      servicenow ALL= SETENV: /var/cache/servicenow/agent-client-collector/monitoring-plugin-linux/bin/check-log.rb *
Defaults:servicenow !requiretty
Defaults exempt_group += servicenow
    10. Sur la page Politique, cliquez sur Enregistrer, puis cliquez sur Publier pour activer la politique permettant de surveiller le fichier journal.