Configurer les entrées de données pour Analyse de l'intégrité des journaux manuellement

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • Configurez manuellement vos Analyse de l'intégrité des journaux entrées de Analyse de l'intégrité des journaux données. La configuration des entrées de données est une étape essentielle dans la configuration de l’application Analyse de l'intégrité des journaux .

    Avant de commencer

    Remarque :
    Envisagez d’utiliser la Analyse de l'intégrité des journaux configuration guidée de l’entrée de données, qui garantit que vous disposez de la configuration minimale requise pour le processus d’entrée de données. Pour plus d'informations, consultez Configurer les entrées de données à l’aide de la Analyse de l'intégrité des journaux configuration guidée.
    • Assurez-vous qu’un Serveur MID est installé et configuré avec l’aptitude d’ingestion de journal activée.

      Configuration du Serveur MID avec l’aptitude d’ingestion de journaux activée.

      Important :
      Analyse de l'intégrité des journaux ne prend pas en charge IPv6. Pour utiliser l'application, configurez le Serveur MID sur IPv4.
    • Si l’adresse IP est exposée par la traduction d’adresses Serveur MID réseau (NAT), un équilibreur de charge ou un appareil similaire, elle doit avoir une adresse IP publique. Dans les propriétés Serveur MID, ajoutez une propriété nommée mid.public_ip avec l'adresse IP publique comme valeur. Pour plus d'informations, voir Créer une propriété de MID Server.
    • Pour plus d'informations sur l'expédition de vos journaux chiffrés à l'aide de SSL/TLS, consultez l'article Streaming Data With Rsyslog & Filebeat Using SSL [KB0866319] dans la base de connaissances Now Support.

    Rôle requis : evt_mgmt_admin. Pour l’entrée de données des ServiceNow journaux système : admin.

    Procédure

    1. Configurez une entrée de données en effectuant la procédure pertinente décrite dans la documentation du produit.
      Tableau 1. Entrées de données
      Entrée de données Description
      Rsyslog ou Beats L'entrée de données diffuse les données de journal dans votre instance à l'aide de Rsyslog ou Beats.
      Splunk L'entrée de données diffuse les données de journal dans votre instance à l'aide de Splunk.
      Interrogation Splunk L’entrée de données extrait périodiquement les données du journal à l’aide d’une Splunk requête.
      Elasticsearch L'entrée de données extrait les données de journal des index Elasticsearch vers votre instance.
      TCP L'entrée de données envoie des messages de journal bruts à votre instance directement via un socket TCP/SSL.
      UDP L’entrée de données diffuse des messages de journal bruts à votre ServiceNow instance directement via une embase UDP.
      GCP Pub/Sub L’entrée de données reçoit les messages du journal publiés dans une Google Cloud rubrique Pub/Sub et les diffuse à votre ServiceNow instance.
      Serveur MID L'entrée de données collecte les fichiers journaux Serveur MID et les diffuse à votre instance.
      Amazon CloudWatch L'entrée de données diffuse les données de journal de Amazon CloudWatch vers votre instance ServiceNow.
      Amazon S3 L'entrée de données diffuse les données de journal des catégories Amazon S3 (Simple Storage Service) vers votre instance ServiceNow.
      Microsoft Azure Log Analytics L'entrée de données diffuse les données de journal de Microsoft Azure Log Analytics vers votre instance ServiceNow.
      Microsoft Azure Event Hubs L'entrée de données diffuse les événements de Microsoft Azure Event Hubs vers votre instance ServiceNow.
      Apache Kafka L'entrée de données diffuse les données de journal de Apache Kafka vers votre instance ServiceNow.
      API REST L'entrée de données diffuse les données de journal vers votre instance ServiceNow au format JSON.
      Journaux système ServiceNow L’entrée de données diffuse les données de la ServiceNow table Journal système vers le moteur d’IA Analyse de l'intégrité des journaux .
      Remarque :
      Une seule ServiceNow entrée de données Journaux système peut exister dans le système, et seuls les utilisateurs disposant du rôle administrateur peuvent la créer et la configurer. Cette entrée de données ne s’exécute pas sur un Serveur MID.
      Journaux système ServiceNow L’entrée de données diffuse les données de la ServiceNow table du journal système vers le moteur d’IA Analyse de l'intégrité des journaux (Occultus).
      Cribl Entrée de données permettant de traiter les messages du journal Cribl transmis en Analyse de l'intégrité des journaux continu dans votre ServiceNow instance.
      Edge Delta L’entrée de données permet Analyse de l'intégrité des journaux de traiter les messages de journal Edge Delta transmis en continu dans votre ServiceNow instance.
      Agent vectoriel L’entrée de données permet Analyse de l'intégrité des journaux de traiter les messages de journal qui sont transmis à votre ServiceNow instance via un agent vectoriel.
      Agent Client Collector L'entrée de données diffuse les messages de journal vers votre instance ServiceNow à l'aide du ServiceNow Agent Client Collector.

      Cette entrée de données est prise en charge pour une utilisation avec l'application Agent Client Collector Log Analytics, disponible dans le ServiceNow Store.
      Remarque :
      La sélection de Test de la connexion à la fin de la procédure garantit que votre entrée de données est correctement configurée. Vous ne pouvez publier une configuration d’entrée de données que lorsque la connexion entre le Serveur MID et le référentiel de données a été établie.
    2. Identifiez et résolvez les problèmes de diffusion pour vous assurer que l’entrée de données diffuse les données du journal depuis Serveur MID toutes les sources.
      Pour plus d'informations, consultez Identifier et résoudre les problèmes de diffusion de journaux.
    3. Facultatif : Modifiez les données de journal brutes avant Analyse de l'intégrité des journaux de les mapper et de les structurer.
      Pour plus d’informations, consultez Modifier vos données de journal brutes avant le traitement.
    4. Déterminez la façon dont Analyse de l'intégrité des journaux les données de journal brutes qui sont diffusées dans votre instance.
      Par défaut, chaque ligne de journal entrant est automatiquement mappée sur la balise correcte. Si les propriétés ne sont pas détectées automatiquement, mappez manuellement les sources d'entrée de données en définissant une fonction JavaScript. Pour plus d’informations, consultez Mapper les données brutes.
    5. Facultatif : Modifiez la structure du type de source pour vous assurer qu’elle Analyse de l'intégrité des journaux extrait et classe toutes les propriétés correctement.
      Pour plus d'informations, consultez Affiner la structure du type de source.
    6. Facultatif : Effectuez des tâches de configuration d’entrée de données supplémentaires.
      Pour plus d'informations, consultez Tâches supplémentaires de configuration de l'entrée de données.