Configurer les entrées de données (Elasticsearch)

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Configurez une entrée de données pour diffuser des données de journal à partir d'indices Elasticsearch vers votre instance ServiceNow.

    Avant de commencer

    Important :
    Analyse de l'intégrité des journaux ne prend pas en charge IPv6. Pour utiliser l'application, configurez le Serveur MID sur IPv4.
    • Vous devez avoir un MID Server installé et configuré avec l'option d'ingestion de journaux activée.
    • Si l'adresse IP Serveur MID est exposée par la traduction d'adresse réseau (NAT), un équilibreur de charge ou un appareil similaire, elle doit avoir une adresse IP publique. Dans les propriétés Serveur MID, ajoutez une propriété nommée mid.public_ip avec l'adresse IP publique comme valeur. Pour plus d'informations, voir Créer une propriété de MID Server.

    Analyse de l'intégrité des journaux prend en charge les versions 5.4 et ultérieures de Elasticsearch.

    Remarque :
    Pour plus d’informations sur la diffusion en continu de données de journal à partir d’index vers votre instance, consultez l’article Diffuser des journaux à l’aide de l’entrée deElasticsearch données Elasticsearch - Guide avancé [KB1080162] dans la base de Now Support connaissances.

    Rôle requis : evt_mgmt_admin

    Procédure

    1. Accédez à la Tous > Analyse de l'intégrité des journaux > Entrée de données > Entrées de données.
    2. Sur la page Entrées de données, sélectionnez Nouveau.
    3. Choisissez l'entrée de données Elasticsearch.
    4. Renseignez les champs du formulaire.
      Pour obtenir une description des champs, consultez la rubrique Elasticsearch Champs de configuration de l’entrée de données.
    5. Facultatif : Sélectionnez Avancé pour définir les champs de configuration avancés.
      Pour obtenir une description des champs, consultez la rubrique Elasticsearch Champs de configuration de l’entrée de données. Pour en savoir plus sur la configuration ultérieure des paramètres avancés, reportez-vous à la section Configurer les paramètres avancés pour les entrées de données Elasticsearch.
    6. Dans l'onglet Transport, renseignez les champs.
      Pour obtenir une description des champs, consultez la rubrique Elasticsearch Champs de configuration de l’entrée de données.
    7. Dans l'onglet Paramètres de requête, renseignez les champs.
      Pour obtenir une description des champs, consultez la rubrique Elasticsearch Champs de configuration de l’entrée de données.
    8. Sélectionnez Enregistrer.
      Analyse de l'intégrité des journaux ajoute l'enregistrement d'entrée de données à la table Entrées de données.
    9. Assurez-vous que l’entrée de données est correctement configurée en sélectionnant Tester la connexion.

      Analyse de l'intégrité des journaux tente de se connecter Serveur MID au référentiel de données.

      Si l’entrée de données est configurée pour s’exécuter sur une Serveur MID grappe, le système tente de connecter toutes les Serveurs MID données contenues dans la grappe au référentiel. Le cluster réussit le test si au moins l’un d’entre eux Serveurs MID est connecté. Cette fonctionnalité est prise en charge dans l’application Analyse de l'intégrité des journaux Version 26.0.17 de février 2023 et versions ultérieures, disponible dans le ServiceNow Store.

      • Si la connexion a été établie, le bouton Test de la connexion est désactivé et le bouton Publier est activé.
      • Si la connexion échoue, le motif de l’échec s’affiche dans le champMessage d’erreur. Ce champ s’affiche uniquement lorsqu’une erreur de diffusion s’est produite.

        Résolvez le problème, sélectionnez Enregistrer si vous avez modifié la configuration, puis sélectionnez Test de la connexion pour tester à nouveau la connexion.

        Remarque :
        Vous pouvez uniquement publier la configuration d’entrée de données lorsque la connexion est créée avec succès.
      Remarque :
      Vous pouvez revenir à la dernière configuration publiée en sélectionnant Rétablir les changements. Cette option n’est disponible que lorsque vous modifiez une configuration qui a été publiée précédemment.
    10. Sélectionnez Publier pour publier l’entrée de données dans le Serveur MIDfichier .

    Résultats

    L'entrée de données commence à diffuser les données de journal des index Elasticsearch vers votre instance.

    Pour plus d’informations sur la diffusion de journaux à l’aide de l’entrée de données, consultez l’article Diffuser des journaux à l’aide de l’entrée de données Elasticsearch - Guide avancé [KB1080162] de la Now Support base de connaissances.Elasticsearch

    Remarque :
    Si le moteur d’IA Analyse de l'intégrité des journaux est en panne et que la diffusion des données a cessé, une notification s’affiche en haut de la page de configuration de l’entrée de données. Lorsque cela se produit, contactez l’assistance ServiceNow .

    Que faire ensuite

    Assurez-vous que l'entrée de données contient des données de diffusion.

    Remarque :
    Si vous rencontrez des problèmes liés aux autorisations avec les données de journal de diffusion à partir de Elasticsearch, consultez l'article Octroi de privilèges pour les flux de données à partir d'Elasticsearch [KB0967366] dans la base de connaissances Now Support.