ヘルスログアナリティクスRsyslogFilebeat、またはWinlogbeatデータ入力を手動で構成する

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:9分

    • RsyslogFilebeat、または Winlogbeat エージェントを使用してログメッセージをServiceNowインスタンスにストリーミングするためのデータ入力を設定します。

    始める前に

    • MID サーバーがインストールされ、ログ取り込み機能を有効にして構成されていることを確認します。詳細については、「MID Server system requirements」を参照してください。

      ログ取り込み機能が有効になっている MID サーバー構成。

      重要:
      ヘルスログアナリティクス は IPv6 をサポートしていません。アプリケーションを操作するには、MID サーバーを IPv4 に設定します。
    • MID サーバー クライアントと外部クライアントが同じネットワーク上にある場合を除き、MID サーバーにはパブリック IP アドレスが必要です。これは、ネットワークアドレス変換 (NAT)、ロードバランサー、または同様のデバイスを介して IP が公開される場合に必要です。パブリック IP アドレスを使用すると、ネットワーク外に Filebeat エージェントなどの外部クライアントが MID サーバーに到達できます。プライベート IP アドレスは、インターネット経由でルーティングできません。パブリック IP がないと、外部クライアントは、そのアドレスが設定されていても、その MID サーバー に接続できません。MID サーバー プロパティで、パブリック IP アドレスを値として指定する mid.public_ip というプロパティを追加します。詳細については、「MID サーバープロパティの作成」を参照してください。MID サーバークライアントと外部クライアントが同じネットワーク上にある場合は、プライベート IP アドレスを使用して接続できます。
    • SSL TLS を使用して暗号化されたログの送付については、Now Supportナレッジベースの記事「Streaming Data With Rsyslog & Filebeat Using SSL [KB0866319]」を参照してください。

    必要なロール:evt_mgmt_admin

    手順

    1. 移動先 すべて > ヘルスログアナリティクス > データ入力 > データ入力.
    2. [データ入力 (Data Inputs)] ページで、[新規] を選択します。
    3. 次の表に記載された使用可能なデータ入力タイプから、作成するデータ入力タイプを選択します。
      注:
      選択したデータ入力タイプは、受動的データ入力 (リスナー) を補完します。詳細については、「サポートされているデータ入力」を参照してください。
      表 : 1. データ入力タイプ
      タイプ 説明
      Rsyslog Rsyslog エージェントを使用して、ログメッセージを UNIX ベースのサーバーから ServiceNow AI エンジンにストリーミングします。
      Linux を使用した Filebeat Filebeatエージェントを使用して、システムログメッセージとローカルファイルをLinuxサーバーからインスタンスにストリーミングします。
      Windows を使用したアプリケーションログ Filebeat Filebeatエージェントを使用して、ローカルファイルをMicrosoft WindowsデバイスからServiceNowインスタンスにストリーミングします。
      Windows 使用する OS Winlogbeat Winlogbeatエージェントを使用して、WindowsイベントログをServiceNowインスタンスにストリーミングします。
    4. [はじめに (Getting Started)] タブで、フォームに入力します。

      フィールドの説明については、「Rsyslog、Filebeat、または Winlogbeat のデータ入力構成のフィールド」を参照してください。

      注:
      Filebeatを使用して Linux のデータ入力を作成する場合は、[コンテンツパック] ドロップダウンからコンテンツパックを選択できます。コンテンツパックにはデフォルトのソースタイプとマッピングスクリプトテンプレートが含まれていて、それらを最初から作成する時間を節約できます。詳細については、「価値実現までの時間を短縮するための ヘルスログアナリティクス コンテンツパック」を参照してください。
    5. RsyslogFilebeat、または Winlogbeat エージェントがまだインストールされていない場合は、[インストール] タブからダウンロードしてインストールします。
      インストール手順については、各エージェントの製品ドキュメントを参照してください。
      注:
      エージェントの最新バージョンを実行していることを確認してください。以前のバージョンでも機能しますが、機能が制限されます。
    6. [タグ付けとバインディング (Tagging and Binding)] タブで、構成管理データベース (CMDB) のサービスインスタンスにログをアサインし、そのサービスがログデータ間の関連性を示すことができるようにして、システムで根本原因分析を行えるようにします。
      1. ソースごとに、ストリーミングするログのパスとサービスインスタンスを構成します。
        注:
        デフォルトでは、必須フィールドの [パス ] と [サービスインスタンス ] のみが表示されます。

        フィールドの説明については、「Rsyslog、Filebeat、または Winlogbeat のデータ入力構成のフィールド」を参照してください。

      2. Filebeatを使用して複数行のログを送付する場合は、複数行にわたるメッセージをFilebeatが処理する方法を制御するプロパティを設定します。
        フィールド 説明
        一致 一致する行 Filebeat イベントに結合する方法を指定します。
        否定 (Negate) ログの行で識別されたパターンを否定するかどうかを指定します。
        正規表現 一致を検出するための正規表現を指定します。
        注:
        ヘルスログアナリティクス は現在、Rsyslog に対して複数のプロパティをサポートしていません。
      3. オプション: 追加のログパスを定義して、データ入力が複数のパスからログタイプをストリーミングできるようにします。
        追加のログパスごとに、次を実行します。
        1. 新しい行を挿入します。
        2. ログパスを構成します。
        3. サービスインスタンスを選択します。
        4. (オプション) コンポーネントとソースタイプを選択します。
        注:
        Winlogbeat を使用する場合は、Windowsイベントログがストリーミングされるため、このオプションは使用できずヘルスログアナリティクス必要ありません。
    7. [完了] タブで、データ入力タイプの構成を完了します。
      • Rsyslog
        1. 構成ファイルをダウンロードして、エンドポイントデバイスの /etc/rsyslog.d/rsyslog.conf ディレクトリにインストールします。
          注:
          ヘルスログアナリティクス アプリケーション (バージョン 20.0.11 - July 2021、ServiceNow Storeから入手可能)を使用している場合は、代わりに次の手順を実行します。
          1. エンドポイントデバイスで、構成ファイルを /etc/rsyslog.d/ ディレクトリにインストールします。
          2. sudo mkdir -p/var/spool/rsyslog コマンドを実行して、スプールディレクトリを作成します。
        2. 構成検証のため、rsyslogd -N1 コマンドを実行して出力を確認します。
        3. sudo systemctl restart rsyslog コマンドを実行して Rsyslog を再起動します。
        4. 出力を確認します。エラーがある場合は、/var/log/messages システムログファイルでエラーメッセージを確認し、エラーを修正してください。
      • LinuxFilebeatの使用:
        1. 構成ファイルをダウンロードして、エンドポイントデバイスの /etc/filebeat/ ディレクトリにインストールします。
        2. sudo service filebeat start コマンドを実行して、エージェントサービスを開始します。
          注:
          生成された構成では、最後の変更から 6 時間を超えているファイルは無視されます。必要に応じて、構成内でこの設定を変更できます。
        3. 適切なコマンドを実行して、エージェントサービスを再起動します。
      • WindowsBeats (Filebeat または Winlogbeat の使用:
        1. 構成ファイルをダウンロードして、エンドポイントデバイスの C:\Program Files\ ディレクトリにインストールします。
        2. PowerShell で適切なコマンドを実行して、エージェントサービスを開始します。
          • Filebeat: PS > Start-Service filebeat
          • Winlogbeat: PS > Start-Service winlogbeat
          注:
          生成された構成では、最後の変更から 6 時間を超えているファイルは無視されます。必要に応じて、構成内でこの設定を変更できます。
        3. 適切なコマンドを実行して、エージェントサービスを再起動します。
    8. [保存] を選択します。
      ヘルスログアナリティクス でデータ入力レコードがデータ入力テーブルに追加されます。
    9. [テスト接続] を選択して、データ入力が正しく構成されていることを確認します。

      ヘルスログアナリティクスMID サーバー をデータリポジトリに接続しようとします。

      • 接続が確立された場合、[テスト接続] ボタンがオフになり、[公開 (Publish)] ボタンが有効になります。
      • 接続に失敗した場合は、失敗の理由が [エラーメッセージ] フィールドに表示されます。このフィールドは、ストリーミングエラーが発生した場合にのみ表示されます。

        問題を解決し、構成を変更した場合は [保存] を選択し、[テスト接続] を選択して接続を再度テストします。

        注:
        接続が正常に作成された場合にのみ、データ入力構成を公開できます。
      注:
      [変更を元に戻す] を選択すると、最後に公開された構成に戻すことができます。このオプションは、以前に公開された構成を変更する場合にのみ使用できます。
    10. データ入力を MID サーバー に公開するには、[公開 (Publish)] を選択します。

    タスクの結果

    データ入力構成プロセスが完了しました。ヘルスログアナリティクスは、データ入力レコードを [データ入力] テーブルに追加し、構成ファイルをデータ入力レコードに添付します。データ入力により、 ServiceNow インスタンスへのログデータストリーミングが開始されます。

    注:
    新しいFilebeatデータ入力用にヘルスログアナリティクス生成される構成ファイルはFilebeatバージョン 7.14 以降と互換性があります。Elasticsearch が現在サポートしている最小 Filebeat バージョンは 7.17 で、サポート終了 (EOL) が近づいています。

    HLA の既存のFilebeatデータ入力構成ファイルは、8.x までのFilebeatバージョンと互換性があります。バージョン 9.0 以降 Filebeat では、ログ入力からファイルストリーム入力に移行するか、新しい構成ファイルを生成します。移行プロセスの詳細については、次を参照してください。 Filebeat ドキュメント.

    注:
    HLAエンジンが停止し、データのストリーミングが停止した場合、データ入力構成ページの上部に通知が表示されます。これが発生した場合は、ServiceNow サポートにお問い合わせください。

    次のタスク

    データ入力がストリーミングデータであることを確認します。