Configurer les entrées de données d'Elasticsearch

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Configurez une entrée de données pour diffuser des données de journal à partir d'indices Elasticsearch vers votre instance ServiceNow.

    Avant de commencer

    • Assurez-vous qu’un Serveur MID est installé et configuré avec l’aptitude d’ingestion de journal activée.

      Configuration du Serveur MID avec l’aptitude d’ingestion de journaux activée.

      Important :
      Analyse de l'intégrité des journaux ne prend pas en charge IPv6. Pour utiliser l'application, configurez le Serveur MID sur IPv4.
    • Si l'adresse IP Serveur MID est exposée par la traduction d'adresse réseau (NAT), un équilibreur de charge ou un appareil similaire, elle doit avoir une adresse IP publique. Dans les propriétés Serveur MID, ajoutez une propriété nommée mid.public_ip avec l'adresse IP publique comme valeur. Pour plus d'informations, voir Créer une propriété de MID Server.

    Analyse de l'intégrité des journaux prend en charge les versions 5.4 et ultérieures de Elasticsearch.

    Remarque :
    Pour plus d’informations sur la diffusion des données de journal à partir des index vers votre instance, consultez l’article Diffuser les journaux à l’aide de l’entrée de données Elasticsearch - Guide avancé [KB1080162] dans la base de Now Support connaissances.Elasticsearch

    Rôle requis : evt_mgmt_admin

    Procédure

    1. Accédez à la Tout > Analyse de l'intégrité des journaux > Entrée de données > Entrées de données.
    2. Sur la page Entrées de données, sélectionnez Nouveau.
    3. Choisissez l'entrée de données Elasticsearch.
    4. Renseignez les champs du formulaire.
      Pour obtenir une description des champs, consultez la rubrique Elasticsearch Champs de configuration de l’entrée de données.
    5. Facultatif : Sélectionnez Avancé pour définir les champs de configuration avancée.
      Pour obtenir une description des champs, consultez la rubrique Elasticsearch Champs de configuration de l’entrée de données. Pour en savoir plus sur la configuration ultérieure des paramètres avancés, reportez-vous à la section Configurer les paramètres avancés pour les entrées de données Elasticsearch.
    6. Dans l'onglet Transport, renseignez les champs.
      Pour obtenir une description des champs, consultez la rubrique Elasticsearch Champs de configuration de l’entrée de données.
    7. Dans l'onglet Paramètres de requête, renseignez les champs.
      Pour obtenir une description des champs, consultez la rubrique Elasticsearch Champs de configuration de l’entrée de données.
    8. Sélectionnez Enregistrer.
      Analyse de l'intégrité des journaux ajoute l'enregistrement d'entrée de données à la table Entrées de données.
    9. Assurez-vous que l’entrée de données est configurée correctement en sélectionnant Test de la connexion.

      Analyse de l'intégrité des journaux tente de se connecter Serveur MID au référentiel de données.

      Si l’entrée de données est configurée pour s’exécuter sur un Serveur MID cluster, le système tente de connecter tous les Serveurs MID éléments contenus dans le cluster au référentiel. La grappe réussit le test si au moins l’une d’entre elles Serveurs MID est connectée. Cette fonctionnalité est prise en charge dans l’application, version Analyse de l'intégrité des journaux 26.0.17 : février 2023 et ultérieures, disponible depuis le ServiceNow Store.

      • Si la connexion a été établie, le bouton Test de la connexion est désactivé et le bouton Publier est activé.
      • Si la connexion a échoué, le motif de l’échec s’affiche dans le champMessage d’erreur. Ce champ s’affiche uniquement lorsqu’une erreur de diffusion s’est produite.

        Résolvez le problème, sélectionnez Enregistrer si vous avez modifié la configuration, puis sélectionnez Test de la connexion pour tester à nouveau la connexion.

        Remarque :
        Vous ne pouvez publier la configuration des entrées de données que lorsque la connexion est créée avec succès.
      Remarque :
      Vous pouvez revenir à la dernière configuration publiée en sélectionnant Rétablir les changements. Cette option n’est disponible que lorsque vous modifiez une configuration qui a été publiée précédemment.
    10. Sélectionnez Publier pour publier l’entrée de données dans le Serveur MID.

    Résultats

    Le processus de configuration des entrées de données est terminé. Analyse de l'intégrité des journaux ajoute l’enregistrement d’entrée de données à la table d’entrées de données et joint le fichier de configuration à l’enregistrement d’entrée de données. L’entrée de données démarre la diffusion des données du journal des Elasticsearch indices vers votre ServiceNow instance.

    Pour plus d’informations sur les journaux de diffusion à l’aide de l’entrée Elasticsearch de données, consultez l’article Diffuser les journaux à l’aide de l’entrée de données Elasticsearch - Guide avancé [KB1080162] dans la base de Now Support connaissances.

    Remarque :
    Si le moteur AI est en panne et que les données ont cessé d’être Analyse de l'intégrité des journaux diffusées, une notification s’affiche en haut de la page de configuration des entrées de données. Lorsque cela se produit, contactez l’assistance ServiceNow .

    Que faire ensuite

    Assurez-vous que l'entrée de données contient des données de diffusion.

    Remarque :
    Si vous rencontrez des problèmes liés aux autorisations avec les données de journal de diffusion à partir de Elasticsearch, consultez l'article Octroi de privilèges pour les flux de données à partir d'Elasticsearch [KB0967366] dans la base de connaissances Now Support.