Elasticsearch 統合構成フィールド
ヘルスログアナリティクス用の Elasticsearch 統合構成フォームのフィールドについて説明します。
Elasticsearch統合のセットアップ手順については、「ヘルスログアナリティクス の Elasticsearch統合の設定」を参照してください。
| フィールド | 説明 |
|---|---|
| 統合名 | この統合の一意の名前。例:My Elasticsearch 統合。このフィールドは必須です。 注: このフィールドに入力すると、フォームに表示される一般名が、入力した名前と一致するよう自動的に調整されます。 |
| 実行 | 特定の MID サーバー または特定の MID サーバー クラスターを使用するかどうかを決定するオプション。 |
| MID サーバー名 | ( [実行日] が [特定の MID サーバー] に設定されている場合のみ) Elasticsearch インデックスに基づくログデータのプル先の MID サーバー。このフィールドは必須です。 |
| MID サーバークラスター | ( [実行日] が [特定の MID サーバー に設定されている場合のみクラスター) ログデータのプル先の MID サーバー クラスター。このフィールドは必須です。クラスターを選択すると、選択したクラスター内の MID サーバー とそのステータスが表示されます。 統合はクラスター内の単一の MID サーバー で実行され、その MID サーバー が失敗するまで継続します。次に、構成された順序に従って、クラスター内の次に利用可能な MID サーバー にすべての統合タスクが移動されます。 注:
|
| サービスインスタンス | ログデータのバインド先のサービスインスタンス。このフィールドは必須です。 注:
関連するサービスインスタンスが存在しない場合は、 作成 サービスインスタンス CI を追加します。新しいサービスインスタンスのステータスを [運用] に設定します。 |
| データソース | 統合によって ServiceNow インスタンスにプルされるログデータのソース:Elastic このフィールドは読み取り専用です。 |
| 説明 | 統合の識別に役立つ簡単な説明を追加するオプション。 |
| フィールド | 説明 |
|---|---|
| サーバー URL | クラスターへのアクセスに使用される URL。このフィールドは必須です。 |
| 認証方法 | Elasticsearch に対する統合を認証するために使用される認証方法。デフォルトは [なし] です。 認証方法を選択すると、対応する認証情報フィールドがフォームに表示されます。 注: アドミニストレーターは、次の場所に移動して認証方法を作成できます をクリックし、[ 新規] を選択します。 |
| インデックスプリフィックス (Index prefix) | データを読み込む Elasticsearch インデックスの名前の先頭にプリフィックスが追加されます。統合では、構成されたプリフィックスに一致するインデックスからのみデータを読み取ります。例:network-logs-* は、network-logs-2024.01.01 などのインデックスと一致します。このフィールドは必須です。 この設定により、 HLA は関連するインデックスからのみデータを取り込むようになります。 例:only-read-these-indices-* |
| ドキュメントタイムスタンプフィールド | 読み取られたインデックスに格納されている、ドキュメントのタイムスタンプフィールド。このフィールドは必須です。 |
| タイムスタンプフィールド形式 (Timestamp field format) | ドキュメントのタイムスタンプフィールドの形式。 形式が指定されていない場合は、デフォルトの Unix エポック時間形式 (ミリ秒) が使用されます。例:1684168407 (2023 年 5 月 15 日 16:33:27) |
| 用語フィルター (Term filters) | フィルターする用語の JSON マップ。 注: テキストフィールドに対しては用語クエリを使用しないでください。ターゲットフィールドがテキストとキーワードの両方としてマッピングされている場合は、fieldname.keyword を使用してキーワードを参照します。 例:{"severity": ["error","warning"]} |
| フィールド | 説明 |
|---|---|
| ルートあたりの最大接続数 (Max connections per route) | ノードごとに開かれる接続の最大数。 |
| 最大スクロールスライス数 | Elasticsearch の関連インデックスに構成されたシャードの数。 この数は、各ポーリング要求で実行する並列クエリの数を Elastic に伝えます。 |
| プロキシホスト | 要求の送信が経由する HTTP プロキシのホスト名。 |
| プロキシポート | 要求の送信が経由する HTTP プロキシのポート。 |
| MID 証明書ポリシーチェックを使用 | MID 証明書ポリシーチェックを有効にするオプション。 SSL TLS を使用して暗号化したログを送信する場合は、このオプションを選択します。次に、次の場所に移動します。 をクリックし、MID 証明書ポリシーチェックをテーブルに追加します。詳細については、「MID サーバー証明書チェックポリシー」を参照してください。 |
| クラスター間検索の使用 | Elasticsearchクラスター間でデータを検索するオプション。 このチェックボックスをオンにすると、[検索するクラスター (Clusters to search)] フィールドが表示されます。 注:
[詳細構成] フォームの [最小限の権限を使用 (Use minimal privileges)] チェックボックスと [現在のタイムスタンプの読み取り遅延 (秒) (Delay in reading current timestamp (seconds))] フィールドの設定は、複数のクラスターにわたるデータの収集方法に影響します。 |
| 検索するクラスター | 検索する Elasticsearch クラスター。このフィールドは、[ クラスター間検索を使用] チェックボックスがオンになっている場合にのみ表示されます。 次のいずれかの操作を行います。
|
| 最小限の権限を使用 | 構成されたプリフィックスを持つ Elasticsearch インデックスからログデータを直接読み取るオプション。
Elasticsearch 統合を使用したログのストリーミングの詳細については、Now Supportナレッジベースの記事「Elasticsearch データ入力を使用したログのストリーミング - 詳細ガイド」[KB1080162] を参照してください。 |
| クエリあたりの最大ドキュメント数 | 1 回のクエリでフェッチされる最大ドキュメント数。 |
| スライススクロールタイブレーカー (Sliced-scrolling tie breaker) | データをスライスするために使用される値。各スライスは並列にスクロールされます。デフォルト:_id |
| サーチアフタータイブレーカー | タイムスタンプでログエントリをソートするときにタイブレーカーとして使用する、ドキュメントごとの一意の値。 |
| サーチアフター API の使用 | スライススクロール API とサーチアフター API の使用を切り替えるオプション。 注: 履歴データの読み取りにはスライススクロール API が適していますが、リアルタイムデータの読み取りにはサーチアフター API が適しています。 |
| インデックス時間サフィックス形式 | 時間ベースのインデックス名を使用する場合の時間サフィックスの形式 ([logstash-]YYYY.MM.DD など)。 エイリアスを使用する場合は、このフィールドを空のままにします。 例:uuuu。MM.dd |
| データ読み取りタイムアウト (ミリ秒) | Elasticsearch クラスターへの要求がタイムアウトするまでの時間 (ミリ秒)。 |
| インデックス検出間隔 (秒) (Index discovery interval (seconds)) | 断続的な MID サーバーがデータを読み取るための新しいインデックスを Elasticsearch クラスターに要求する間隔の秒数。 |
| スクロールコンテキスト時間 (ミリ秒) | スクロール API を使用して Elasticsearch からデータを読み取る際に作成されるスクロールの有効期間。詳細については、Elasticsearch スクロール API のドキュメントを参照してください。 |
| イベントプロセッサーワーカー (Event processor workers) | Elasticsearch からフェッチされたイベントを処理するために、同時に使用される CPU コアの最大数。この設定を大きくすると、CPU 使用率が高くなりますが、データ入力スループットは向上します。 |
| ワーカーキューサイズ (Worker queue size) | 処理用にキューに投入されるバッチの最大数。この設定を大きくすると、RAM 使用率が高くなりますが、スループットは向上します。 |
| デフォルトのタイムゾーン (Default time zone) | ログにタイムゾーンが指定されていない場合に使用されるイベントのタイムゾーン。 このような場合、デフォルトでは GMT が使用されますが、別のタイムゾーンを指定することもできます。 |
| サブサンプルドロップ率 (Sub sample drop ratio) | このイベント数に達すると、イベントが 1 つ破棄されます。この設定は、フェッチするイベントの数を減らすために使用されます。 |
| サブサンプル受信率 (Sub sample receive ratio) | このイベント数に達すると、1 つを除いてすべてのイベントが破棄されます。この設定は、受信するイベントの数を減らすために使用されます。 |
| 文字エンコード | このデータ入力の文字エンコーディング。 |
| スリープ間隔 (秒) (Sleep interval (seconds)) | クエリでデータが返されなかった場合に、クエリを再実行するまで待機する間隔 (秒)。 |
| 最大長 (バイト) (Max length in bytes) | ログメッセージの最大長 (バイト)。 |
| 現在のタイムスタンプの読み取り遅延 (秒) | 遅延データを含めるためにクエリを実行する現在時刻までの秒数。設定された秒数が現在の時刻から差し引かれ、最後のタイムスタンプが読み取られます。 注: この値が 0 で、データが複数のクラスターから同時に収集される場合、いずれかのクラスターで遅延して送信されたデータはクエリに含まれない可能性があります。 |
| ポーリング間隔 | システムが新しいログデータをポーリングする頻度。 |