Elasticsearch 데이터 입력 구성 필드

호주 IT Operations Management

Release: australia
ft:locale: ko-KR
ft:publication_title: 호주 IT Operations Management
ft:clusterId: itom
bundleId: itom
workflow: Technology

Elasticsearch 데이터 입력 구성 필드

릴리스 버전: Australia

업데이트 날짜 2026년 03월 12일

소요 시간: 9분

데이터 입력 구성 양식의 필드에 대한 설명입니다 Elasticsearch .

기본 구성


필드	설명
이름	새 데이터 입력의 이름입니다. 이 필드는 필수입니다.
설명	데이터 입력에 대한 설명입니다.
다음에서 실행	특정 MID 서버 또는 MID 서버 클러스터를 사용할지 여부를 결정하는 옵션입니다. 이 기능은 ServiceNow Store에서 제공되는 애플리케이션(상태 로그 분석버전 26.0.17 - 2023년 2월 이상)에서 지원됩니다.
MID	( 다음에서 실행 필드가 특정 MID 서버로 설정된 경우에만) MID 서버 인덱스에서 Elasticsearch 로그 데이터를 끌어오는 대상입니다. 주: 기본 인증을 지원하는 MID 서버만 선택할 수 있습니다. mTLS를 지원하는 MID 서버는 목록에 표시되지 않습니다. 단일 MID 서버에 로그를 스트리밍하는 최대 데이터 입력 수의 기본값은 10입니다. MID 서버 속성에서 이 수를 수정할 수 있습니다. 선택한 MID 서버에 대해 로그 수집이 활성화되지 않은 경우 상태 로그 분석가 로그 수집을 자동으로 활성화합니다. 이 필드는 필수입니다.
MID 서버 클러스터	( 다음에서 실행 필드가 특정 MID 서버 으로 설정된 경우에만) 클러스터) 로그 데이터를 끌어오는 대상인 MID 서버 클러스터입니다. 데이터 입력은 실패할 때까지 MID 서버 클러스터의 단일 MID 서버 항목에서 실행됩니다. 그런 다음 시스템은 구성된 순서에 따라 모든 데이터 입력 작업을 클러스터에서 사용 가능한 다음 MID 서버로 이전합니다. 이 기능은 ServiceNow Store에서 제공되는 애플리케이션(상태 로그 분석버전 26.0.17 - 2023년 2월 이상)에서 지원됩니다. 주: 상태 로그 분석 는 페일오버 MID 서버 클러스터만 지원합니다. 이러한 클러스터에서는 페일오버 보호를 위해 여러 개의 MID 서버가 함께 그룹화됩니다. 데이터 입력 양식에서 클러스터를 선택할 때 클러스터 목록에는 MID 서버 페일오버 클러스터만 표시됩니다. MID 서버 클러스터에는 기본 인증을 지원하는 MID 서버만 포함되어야 합니다. mTLS는 로그 수집에 지원되지 않습니다. 클러스터의 각각 MID 서버 에 대해 로그 수집을 활성화해야 합니다. 활성 MID 서버에 대해 로그 수집이 활성화되지 않은 경우 상태 로그 분석가 로그 수집을 자동으로 활성화합니다. 클라이언트 인증서 또는 CA 인증서 인증을 사용하는 경우 Elasticsearch 클러스터의 모든 MID 서버 사용자에게 적절한 인증서가 있어야 합니다. 단일 MID 서버에 로그를 스트리밍하는 최대 데이터 입력 수의 기본값은 10입니다. 클러스터에 데이터 입력이 10개 미만인 클러스터가 하나 MID 서버 이상 포함된 경우 다운된 경우에도 MID 서버 클러스터는 용량 확인을 통과합니다. MID 서버 클러스터에 대한 자세한 내용은 MID 서버 클러스터 구성을 참조하십시오. 이 필드는 필수입니다.
서비스 인스턴스	로그 데이터를 바인딩할 서비스 인스턴스입니다. 이 필드는 필수입니다. 주: 관련 서비스 인스턴스가 없는 경우 만들기 서비스 인스턴스 CI를 추가합니다. 새 서비스 인스턴스의 상태를 운영으로 설정하십시오.

다음 필드에는 읽기 전용 정보가 표시됩니다.


필드	설명
상태	데이터 입력의 상태입니다.
전송	로그 데이터를 스트리밍하는 데 사용하는 프로토콜입니다. 이 데이터 입력이 Elastic을 사용하여 로그 데이터를 인스턴스로 스트리밍합니다.
소스 수	이 데이터 입력이 생성한 로그 소스의 수입니다.
사용 중지 시간	데이터 입력이 중지되거나 실패한 시간입니다.
마지막 로그 시간	데이터 입력에서 로그가 마지막으로 스트리밍된 시간입니다.

표 1. 전송 탭
필드	설명
서버 URL	클러스터에 접근하는 데 사용되는 URL입니다. 이 필드는 필수입니다.
경로당 최대 연결 수	노드당 열리는 최대 연결 수입니다. 기본값: 2.
최대 스크롤 슬라이스	에서 Elasticsearch관련 인덱스에 대해 구성된 조각 수입니다. 이 숫자는 각 폴링 요청에서 실행할 병렬 쿼리의 수를 Elastic에 알려줍니다.
프록시 호스트	요청을 전송하는 HTTP 프록시의 호스트 이름입니다.
프록시 포트	요청을 전송하는 HTTP 프록시의 포트 이름입니다.
인증 방법	에 대한 Elasticsearch데이터 입력을 인증하는 데 사용되는 인증 방법입니다. 옵션은 기본 인증, API 키 또는 클라이언트 인증서입니다. 주: 필요한 인증 방법을 선택하면 해당 자격 증명 필드가 양식에 표시됩니다.
기본 인증 자격 증명	검색 엔진에 연결하는 데 사용되는 사용자 이름 및 암호입니다.Elasticsearch 주: 이 필드 또는 AWS 자격 증명 필드를 채웁니다.
AWS 자격 증명	AWS 호스팅 Elasticsearch 검색 엔진에 연결하는 데 사용할 AWS 자격 증명입니다. 주: 이 필드 또는 기본 인증 자격 증명 필드를 채웁니다.
AWS 영역	클러스터가 실행되는 AWS 리전입니다 Elasticsearch .
API 키 자격 증명	검색 엔진에 연결하는 데 사용되는 API 키입니다.Elasticsearch
클라이언트 인증서	검색 엔진에 연결하는 데 사용되는 클라이언트 인증서입니다 Elasticsearch .
MID 인증서 정책 검사 사용	MID 인증서 정책 검사를 활성화하는 옵션입니다. SSL TLS를 사용하여 암호화된 로그를 배송하려면 이 옵션을 선택합니다. 그런 다음 다음으로 이동합니다. 모두 > MID 서버 > MID 보안 정책 테이블에 MID 인증서 정책 검사를 추가합니다. 자세한 내용은 MID 서버 인증서 검사 정책을 참조하십시오.

표 2. 쿼리 설정 탭
필드	설명	예제
시작/종료	데이터를 읽을 시작 날짜 및 시간입니다. 시작: 이 날짜보다 오래된 데이터는 읽지 않습니다. 주: 이 값을 과거 날짜로 설정하면 읽어야 할 데이터 양이 많아 정체가 발생할 수 있습니다. 종료: 이 날짜 이후의 데이터는 읽지 않습니다. 실시간 데이터를 얻으려면 이 날짜를 먼 미래로 설정하십시오.	시작일: 1970-01-01 15:59:59 수신: 2300-01-01 15:59:59
클러스터 간 검색 사용	클러스터 간에 Elasticsearch 데이터를 검색하는 옵션입니다. 이 확인란을 선택하면 검색할 클러스터 필드가 표시됩니다. 주: 고급 구성 양식의 최소 권한 사용 확인란과 현재 타임스탬프 읽기 지연(초) 필드의 설정은 여러 클러스터에서 데이터를 수집하는 방식에 영향을 줍니다.
검색할 클러스터	검색할 Elasticsearch 클러스터입니다. 이 필드는 클러스터 간 검색 사용 확인란이 선택된 경우에만 표시됩니다. 다음 중 하나를 수행합니다. 이 필드를 비워 두거나 ""를 입력하여 에 정의된 모든 원격 클러스터를 검색합니다.Elasticsearch 쉼표로 구분된 목록에서 검색할 클러스터를 지정합니다. 주: 로컬 클러스터도 검색하려면 시작 또는 끝 부분에 쉼표를 추가하거나 목록에 쉼표 두 개를 연속해서 추가합니다. 예: 'east,,west' 또는 ',east,west' 또는 ','	동쪽, 서쪽, 남쪽
인덱스 접두사	읽으려는 인덱스의 Elasticsearch 프리픽스입니다. 데이터 입력은 이 접두사가 있는 인덱스에서만 읽어옵니다. 이 필드는 필수입니다.	only-read-these-indices-*
최소 권한 사용	구성된 프리픽스가 있는 인덱스에서 Elasticsearch 직접 로그 데이터를 읽는 옵션입니다. 이 옵션을 선택하면 데이터 입력이 구성된 접두사가 있는 인덱스에서 Elasticsearch 직접 로그 데이터를 읽습니다. 이 작업을 수행하려면 읽기 권한만 필요합니다. 주: 이 확인란을 선택하고 클러스터 간 검색을 사용하는 경우 모든 클러스터에서 데이터가 동시에 수집됩니다. 옵션을 지우면 데이터 입력이 접두사가 있는 모든 인덱스를 가져오고 필터링한 후 필터링된 인덱스에서 로그 데이터를 읽습니다. 이 작업을 수행하려면 추가 권한이 필요합니다. 주: 클러스터 간 검색을 사용할 때 이 확인란을 선택 취소하면 클러스터에서 데이터를 수집하는 방식이 달라집니다. 자세한 내용은 지식베이스의 Now SupportHealth Log Analytics[KB1556079] 문서에서 Elasticsearch 데이터 입력에 대한 클러스터 간 검색 활성화 및 사용을 참조하십시오. 데이터 입력을 사용하여 Elasticsearch 로그를 스트리밍하는 방법에 대한 자세한 내용은 지식베이스의 Elasticsearch 데이터 입력을 사용한 스트림 로그 - 고급 가이드 [KB1080162] 문서를 참조하십시오.Now Support
문서 타임스탬프 필드	읽기 인덱스에 저장된 문서의 타임스탬프 필드. 이 필드는 필수입니다.
타임스탬프 필드 형식	문서 내 타임스탬프 필드의 형식. 지정된 형식이 없으면 기본 Unix epoch 시간 형식(밀리초 단위)이 사용됩니다. 예: 1684168407(2023년 5월 15일 오후 4:33:27)	yyyy-MM-dd'T'HH:mm:ss. SSSSSSS'Z'
용어 필터	필터링할 용어의 JSON 맵입니다. 주: 텍스트 필드에 용어 쿼리를 사용하지 마십시오. 대상 필드가 텍스트와 키워드 둘 다로 매핑된 경우 fieldname.keyword를 사용하여 키워드를 참조하십시오.	{"심각도": ["오류", "경고"]}
쿼리당 최대 문서	단일 쿼리에서 가져온 최대 문서 수.
슬라이스 스크롤링 타이브레이커	데이터를 슬라이싱하는 데 사용되는 값입니다. 각 슬라이스는 병렬로 스크롤됩니다. 기본값: _id
검색 후 결정자	타임스탬프로 로그 항목을 정렬할 때 결정자로 사용할 문서당 고유 값입니다.
검색 후 API 사용	슬라이스 스크롤링과 검색 후 API 사용 간에 전환하는 옵션입니다. 주: 기록 데이터를 읽을 때는 슬라이스 스크롤링 API를 사용하고, 실시간 데이터를 읽을 때는 검색 후 API를 사용하는 것이 좋습니다.
인덱스 시간 접미사 형식	[logstash-]YYYY와 같이 시간 기반 인덱스 이름을 사용할 때 쓰는 시간 접미사 형식입니다. MM.DD입니다. 별칭을 사용하면 이 필드를 비워 두십시오.	uuuu.MM.dd

고급 구성

표 3. 고급 구성 양식
필드	설명
데이터 읽기 시간 제한(밀리초)	클러스터에 대한 요청이 시간 초과되기 전까지의 시간(밀리초)입니다 Elasticsearch .
인덱스 디스커버리 간격(초)	데이터를 읽어올 새 인덱스에 대한 클러스터에 대한 Elasticsearch 간헐적인 MID 서버 요청 사이의 시간(초)입니다.
스크롤 컨텍스트 시간(밀리초)	스크롤 API를 사용하여 데이터를 Elasticsearch읽을 때 생성된 스크롤의 수명입니다. 자세한 내용은 Elasticsearch 스크롤 API 설명서를 참조하십시오.
이벤트 프로세서 작업자	에서 가져온 Elasticsearch이벤트를 처리하는 데 병렬로 사용되는 최대 CPU 코어 수입니다. 높게 설정할수록 데이터 입력 처리량이 증가하지만 CPU 사용량도 많아집니다.
작업자 큐 크기	처리를 위해 큐에 넣을 최대 배치 수입니다. 높게 설정할수록 처리량이 증가하지만 RAM 사용량도 많아집니다.
기본 시간대	이벤트 날짜 및 시간에 특정 시간대 정보가 없는 경우의 기본 시간대입니다.
하위 샘플 삭제 비율	함께 배치할 이벤트의 수로, 이 중 하나는 삭제됩니다. 이 설정은 가져온 이벤트 수를 줄이는 데 사용됩니다.
하위 샘플 수신 비율	함께 배치할 이벤트의 수로, 이 중 하나만 제외하고 모두 삭제됩니다. 이 설정은 수신 이벤트 수를 줄이는 데 사용됩니다.
문자 인코딩	이 데이터 입력에 대한 문자 인코딩.
대기 간격(초)	쿼리에서 반환한 데이터가 없는 경우 다시 쿼리하기까지 대기하는 시간 간격(초)입니다.
최대 길이(byte)	로그 메시지의 최대 길이(byte)입니다.
현재 타임스탬프 읽기 지연(초)	지연된 데이터를 포함하기 위한 현재 쿼리 시간 전의 시간(초)입니다. 구성된 시간(초)은 마지막 타임스탬프를 읽기 위해 현재 시간에서 차감됩니다. 주: 이 값이 0이고 여러 클러스터에서 동시에 데이터가 수집되는 경우 클러스터 중 하나에서 지연 후 전송된 데이터가 쿼리에 포함되지 않을 수 있습니다.