Configurez Rsyslogles entrées de données, Filebeat ou Winlogbeat

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 6 minutes de lecture

    • Configurez une entrée de données pour diffuser des messages de journal vers votre instance ServiceNow à l'aide d'un agent Rsyslog, Filebeat ou Winlogbeat.

    Avant de commencer

    • Assurez-vous qu’un Serveur MID est installé et configuré avec l’aptitude d’ingestion de journal activée.

      Configuration du Serveur MID avec l’aptitude d’ingestion de journaux activée.

      Important :
      Analyse de l'intégrité des journaux ne prend pas en charge IPv6. Pour utiliser l'application, configurez le Serveur MID sur IPv4.
    • Si l’adresse IP est exposée par la traduction d’adresses Serveur MID réseau (NAT), un équilibreur de charge ou un appareil similaire, elle doit avoir une adresse IP publique. Dans les propriétés Serveur MID, ajoutez une propriété nommée mid.public_ip avec l'adresse IP publique comme valeur. Pour plus d'informations, voir Créer une propriété de MID Server.
    • Pour plus d'informations sur l'expédition de vos journaux chiffrés à l'aide de SSL/TLS, consultez l'article Streaming Data With Rsyslog & Filebeat Using SSL [KB0866319] dans la base de connaissances Now Support.

    Rôle requis : evt_mgmt_admin

    Procédure

    1. Accédez à la Tout > Analyse de l'intégrité des journaux > Entrée de données > Entrées de données.
    2. Sur la page Entrées de données, sélectionnez Nouveau.
    3. Choisissez le type d'entrée de données à créer à partir des types d'entrée de données disponibles décrits dans la table.
      Remarque :
      Le type d'entrée de données sélectionné complète l'entrée de données passive (écouteur). Pour plus d'informations, voir Entrées de données prises en charge.
      Tableau 1. Types d'entrées de données
      Type Description
      Rsyslog Diffuse les messages de journal des serveurs UNIX vers le moteur d'IA ServiceNow à l'aide de l'agent Rsyslog.
      Linux avec Filebeat Diffuse les messages de journal système et les fichiers locaux des serveurs Linux vers l'instance à l'aide de l'agent Filebeat.
      Journaux d'application Windows avec Filebeat Diffuse les fichiers locaux des appareils Microsoft Windows vers l'instance ServiceNow à l'aide de l'agent Filebeat.
      Système d'exploitation Windows avec Winlogbeat Diffuse les journaux des événements Windows vers l'instance ServiceNow à l'aide de l'agent Winlogbeat.
    4. Dans l'onglet Mise en route, remplissez le formulaire.

      Pour obtenir une description des champs, consultez la rubrique Rsyslog, Filebeat ou Winlogbeat champs de configuration d’entrée de données.

      Remarque :
      Lors de la création d’une entrée de données pour Linux à l’aide de Filebeat, vous pouvez sélectionner un pack de contenu dans la liste déroulante Pack de contenu . Le pack de contenu contient des types de source par défaut et des modèles de script de mappage qui vous permettent de gagner du temps pour les créer à partir de zéro. Pour plus d'informations, consultez Analyse de l'intégrité des journaux Packs de contenu pour un délai de rentabilisation plus rapide.
    5. Si l'agent n'a pas déjà été installé, téléchargez-le et installez-le à partir de l'onglet Installation.
      Remarque :
      Assurez-vous d'exécuter la dernière version de l'agent. Les versions antérieures fonctionneront, mais avec des fonctionnalités limitées.
    6. Dans l’onglet Tagging and Binding (Mots clés et liaison ), affecter des journaux à une instance de service dans le Base de données de gestion des configurations (CMDB) pour permettre au service de corréler les données du journal et au système d’effectuer une analyse de la cause première.
      1. Pour chaque source, configurez le chemin d’accès et l’instance de service des journaux à diffuser.
        Remarque :
        Par défaut, seuls les champs requis Chemin d’accès et Instance de service s’affichent.

        Pour obtenir une description des champs, consultez la rubrique Rsyslog, Filebeat ou Winlogbeat champs de configuration d’entrée de données.

      2. Si vous souhaitez expédier des journaux multilignes à l'aide de Filebeat, configurez les propriétés qui contrôlent la façon dont Filebeat gère les messages qui couvrent plusieurs lignes de texte.
        Champ Description
        Correspondance Spécifie comment Filebeat combine les lignes correspondantes dans un événement.
        Annulation Définit si le motif identifié dans les lignes du journal est annulé.
        Regex Spécifie l'expression régulière à faire correspondre.
        Remarque :
        Actuellement, Analyse de l'intégrité des journaux ne prend pas en charge les propriétés multilignes pour Rsyslog.
      3. Facultatif : Définissez des chemins d’accès de journal supplémentaires pour permettre à l’entrée de données de diffuser des types de journaux à partir de plusieurs chemins d’accès.
        Procédez comme suit pour chaque chemin de journal supplémentaire :
        1. Insérer une nouvelle ligne.
        2. configurez le chemin d'accès au journal ;
        3. Choisissez une instance de service.
        4. (Facultatif) choisissez un composant et un type de source.
        Remarque :
        Cette option n’est pas disponible ou nécessaire lors de l’utilisation de Winlogbeat, car Analyse de l'intégrité des journaux diffuse les Windows journaux des événements.
    7. Dans l'onglet Terminer, terminez la configuration pour votre type d'entrée de données.
      • Rsyslog :
        1. Téléchargez le fichier de configuration et installez-le sur le point de terminaison, dans le répertoire /etc/rsyslog.d/rsyslog.conf.
          Remarque :
          Si vous utilisez Analyse de l'intégrité des journaux application, version 20.0.11 - juillet 2021, disponible depuis le ServiceNow Store , effectuez plutôt les actions suivantes :
          1. Sur le point de terminaison, installez le fichier de configuration dans le répertoire /etc/rsyslog.d/.
          2. Créez un répertoire de mise en attente en exécutant la commande sudo mkdir -p/var/spool/rsyslog.
        2. Validez la configuration en exécutant la commande rsyslogd -N1 et vérifiez le résultat.
        3. Redémarrez Rsyslog en exécutant la commande sudo systemctl restart rsyslog.
        4. Vérifiez le résultat. S'il contient des erreurs, consultez le fichier journal système /var/log/messages pour rechercher les messages d'erreur et corriger les erreurs.
      • Linux avec Filebeat :
        1. Téléchargez le fichier de configuration et installez-le sur le point de terminaison, dans le répertoire /etc/filebeat/.
        2. Démarrez le service d'agent en exécutant la commande sudo service filebeat start.
          Remarque :
          La configuration générée ignore les fichiers qui ont été modifiés pour la dernière fois il y a plus de six heures. Si nécessaire, vous pouvez modifier ce paramètre dans la configuration.
        3. Redémarrez le service d'agent en exécutant la commande appropriée.
      • Windows avec Beats (Filebeat ou Winlogbeat) :
        1. Téléchargez le fichier de configuration et installez-le sur le point de terminaison, dans le répertoire C:\Program Files\.
        2. Démarrez le service d'agent en exécutant la commande appropriée dans PowerShell.
          • Filebeat : PS > filebeat Start-Service >
          • Winlogbeat : PS > winlogbeat Start-Service
          Remarque :
          La configuration générée ignore les fichiers qui ont été modifiés pour la dernière fois il y a plus de six heures. Si nécessaire, vous pouvez modifier ce paramètre dans la configuration.
        3. Redémarrez le service d'agent en exécutant la commande appropriée.
    8. Sélectionnez Enregistrer.
      Analyse de l'intégrité des journaux ajoute l'enregistrement d'entrée de données à la table Entrées de données.
    9. Assurez-vous que l’entrée de données est configurée correctement en sélectionnant Test de la connexion.

      Analyse de l'intégrité des journaux tente de se connecter Serveur MID au référentiel de données.

      • Si la connexion a été établie, le bouton Test de la connexion est désactivé et le bouton Publier est activé.
      • Si la connexion a échoué, le motif de l’échec s’affiche dans le champ Message d’erreur . Ce champ s’affiche uniquement lorsqu’une erreur de diffusion s’est produite.

        Résolvez le problème, sélectionnez Enregistrer si vous avez modifié la configuration, puis sélectionnez Test de la connexion pour tester à nouveau la connexion.

        Remarque :
        Vous ne pouvez publier la configuration des entrées de données que lorsque la connexion est créée avec succès.
      Remarque :
      Vous pouvez revenir à la dernière configuration publiée en sélectionnant Rétablir les changements. Cette option n’est disponible que lorsque vous modifiez une configuration qui a été publiée précédemment.
    10. Sélectionnez Publier pour publier l’entrée de données dans le Serveur MID.

    Résultats

    Le processus de configuration des entrées de données est terminé. Analyse de l'intégrité des journaux ajoute l’enregistrement d’entrée de données à la table d’entrées de données et joint le fichier de configuration à l’enregistrement d’entrée de données. L’entrée de données démarre la diffusion des données du journal vers votre ServiceNow instance.

    Remarque :
    Si le moteur AI est en panne et que les données ont cessé d’être Analyse de l'intégrité des journaux diffusées, une notification s’affiche en haut de la page de configuration des entrées de données. Lorsque cela se produit, contactez l’assistance ServiceNow .

    Que faire ensuite

    Assurez-vous que l'entrée de données contient des données de diffusion.