상태 로그 분석에서 로그 스트리밍 문제 식별 및 해결

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 2분

    • 로그 스트리밍 문제를 찾아 해결하여 데이터 입력이 로그 데이터를 인스턴스로 적절하게 스트리밍하고 있는지 확인합니다.

    시작하기 전에

    필요한 역할: evt_mgmt_admin

    프로시저

    1. 다음으로 이동 모두 > 상태 로그 분석 > 스트리밍 소스.
      스트리밍 소스 페이지에 모든 데이터 입력과 MID 서버 그로부터 로그를 수신하는 데이터가 표시됩니다.
      주:
      • 고급 데이터 입력 구성에서 호스트 이름 조회를 선택하면 스트리밍 소스 페이지에 Filebeat 전송기를 사용하는 Rsyslog 장치의 호스트 이름이 표시됩니다. 인덱스의 경우 Elasticsearch 인덱스 이름이 표시됩니다.
      • 스트리밍 소스는 데이터 입력 양식에서 관련 목록으로도 사용할 수 있습니다. 관련 목록에는 해당 데이터 입력과 관련된 엔드포인트 장치만 표시됩니다.
      • HLA 엔진이 다운되고 데이터 스트리밍이 중지되면 스트리밍 소스 페이지 상단에 알림이 나타납니다. 이러한 경우 ServiceNow 지원 센터에 문의하십시오.
    2. 데이터 입력 기록을 선택하여 소스의 스트리밍 데이터를 보고 스트리밍 문제와 그 원인을 식별합니다.
      예를 들어 데이터 입력의 엔드포인트 서버에 대해 마지막으로 기록된 이벤트 시간이 어제라면 서버가 다운되거나 잘못 구성되었을 수 있습니다. 또한 엔드포인트에 데이터 입력 구성 파일이 설치되어 있지 않다면 스트리밍 문제가 발생할 수 있습니다.
      필터 설명
      상태 소스의 상태입니다. 빨간색 글머리 기호는 이 소스가 지난 한 시간 동안 데이터를 스트리밍하지 않았음을 나타냅니다.
      마지막 이벤트 시간 지난 1분 동안 이벤트가 마지막으로 MID 서버 도착한 기록된 시간입니다.

      상태 로그 분석 는 마지막 이벤트 시간을 계속 업데이트합니다. 마지막 이벤트 시간이 최신이 아닌 경우 데이터가 스트리밍되지 않습니다.
      초당 원시 로그 라인 지난 1분 동안 초당 스트리밍된 MID 서버 원시 로그 라인의 평균 수입니다.
      주:
      이 값은 전처리되기 전의 원시 로그 라인 수를 나타냅니다.
      초당 전처리 로그 라인 전처리된 로그 라인이 지난 1분 동안 MID 서버로 스트리밍된 초당 평균 수입니다.
      주:
      이 값은 초당 원시 로그 라인 수와 다를 수 있습니다. 예를 들어 전처리 중 로그가 삭제되면 두 가지 차이가 발생할 수 있습니다.
    3. 데이터 스트리밍 문제를 조사하고 해결합니다.
      주:
      에서 로그 데이터를 Elasticsearch스트리밍하는 데 권한 관련 문제가 발생하는 경우 지식베이스의 Now SupportElasticsearch [KB0967366]에서 데이터 스트림에 대한 권한 부여 문서를 참조하십시오.

    다음에 수행할 작업

    로그가 제대로 스트리밍되면 원시 로그 데이터 매핑을 진행합니다.
    주:
    들어 오는 원시 로그 데이터를 처리하기 전에 상태 로그 분석 편집하도록 선택할 수 있습니다. 예를 들어 전처리를 사용하여 로그 일부를 삭제하거나 로그에서 민감한 데이터를 제거할 수 있습니다. 이 작업은 선택 사항입니다.