Criar uma política de log Agent Client Collector

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Crie uma nova política de log do ACC quando não houver nenhuma política padrão para o IC que você deseja que Agent Client Collector monitore.

    Antes de Iniciar

    • A aplicação Agent Client Collector Log Analytics (ACC-L), disponível na ServiceNow Store, deve ser instalada. Para obter mais informações, consulte Agent Client Collector instalação.
    • O Agent Client Collector vem com o usuário servicenow padrão. Certifique-se de que este usuário tenha acesso de leitura para habilitar Agent Client Collector para exibir todos os caminhos de log configurados. Por exemplo, o usuário Agent Client Collector servicenow que vem instalado com o sistema de base não tem permissões para exibir os caminhos para /var/log/ em Linux e C:\Windows\System32 em Windows. Para obter informações sobre como configurar permissões para o usuário servicenow, consulte o artigo Problemas de permissão negada do ACC-L [KB1117271] na Base de conhecimento Now Support.

    Função necessária: agent_client_collector_admin

    Procedimento

    1. Navegar até Todos > Análise de logs do ACC > Políticas de log de ACC.
      A página Políticas exibe todas as políticas Log Analytics. Para obter uma lista das políticas que vêm com o sistema de base, consulte Agent Client Collector Log Analytics políticas e verificações padrão.
    2. Clique em Nova.
      Nota:
      Para obter informações gerais sobre como criar uma política de ACC, consulte Criar uma nova política Agent Client Collector.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário de definição de política
      Campo Descrição
      Nome Um nome descritivo para a política.
      Descrição Descrição da política.
      Status da publicação Codificada como Rascunho, o que significa que a política ainda não foi publicada. Não é possível editar esse campo.
      Hierarquia Codificado como Nenhum. Quando uma política secundária é adicionada à política, o valor muda para Primário. As políticas secundárias têm um valor de secundário.
    4. Na guia Verificações, associe a política de log à verificação do remetente de log relevante.
      • Para Linux e Windows, exceto para logs de eventos Windows, selecione a definição de verificação log shipper.
      • Para logs de eventos Windows somente, selecione a definição de verificação log shipper for win events.
    5. Na guia ICs monitorados, especifique os ICs aos quais a política se aplica.
      1. Escolha o tipo de IC a ser monitorado.
        • Tipo de IC monitorado por filtro: selecione o tipo de IC monitorado. Você pode restringir os ICs que serão monitorados usando condições de filtro.
        • Tipo de IC monitorado por script: especifique os ICs monitorados usando um script.
        • Tipo de IC monitorado por grupo do CMDB: especifique os ICs monitorados usando consultas de grupo do CMDB.

        Para obter mais informações sobre como escolher tipos de IC monitorados, consulte Criar uma nova política Agent Client Collector.

      2. Opcional: Monitore somente os ICs associados a um serviço de aplicações selecionando Filtrar ICs monitorados por serviço de aplicações.
        Você pode especificar os serviços de aplicações a serem monitorados usando condições de filtro. Agent Client Collector recuperará somente os logs de ICs associados a esses serviços de aplicações.
    6. Salve a política de log.
      Na lista relacionada Verificar instâncias, um registro de instância de verificação é criado.
    7. Abra o registro da instância de verificação relevante e selecione Editar na área restrita.
    8. Selecione a lista relacionada Configurações do caminho do log.
    9. Adicione um caminho de log para a instância de verificação.
      Nota:
      Uma verificação deve ter pelo menos um caminho de log configurado para habilitar logs de streaming. Para obter mais informações sobre verificações, consulte Verificações e políticas.
      1. Selecione Novo.
      2. No formulário, preencha os campos.
        Tabela 2. Novo formulário de configuração de caminho
        Campo Descrição
        Caminho O caminho completo de onde os logs são transmitidos. Você pode usar um caractere curinga. Este campo é obrigatório.
        Componente O tipo de dispositivo ou camada de pilha que fornece um contexto para os logs, usados para detecção de anomalias e correlação. Por exemplo: Tomcat.
        Tipo de origem Define como Análise de logs de integridade lida com um tipo de log específico e analisa os dados do log. Por exemplo: Tomcat Catalina.
      3. Opcional: Para enviar logs de várias linhas usando Filebeat, configure as propriedades a seguir.

        Esses parâmetros controlam como Agent Client Collector Log Analytics (ACC-L) lida com mensagens que se estendem por várias linhas de texto.

        Para obter mais informações, consulte Gerenciar mensagens de várias linhas na documentação do Elastic.

        Campo Descrição
        multiline.pattern (regex) A expressão regular a ser correspondida.
        Nota:
        Você deve definir esta propriedade antes de configurar as propriedades multiline.match e multiline.negate.
        multiline.manexado Como o ACC-L combina linhas correspondentes em uma única linha de log.

        As opções disponíveis são Nenhum, Antes e Depois. O padrão é Nenhum.
        multiline.negate Opção para determinar se o padrão identificado nas linhas de log é negado.

        As opções disponíveis são Nenhum, Verdadeiro e Falso. O padrão é Nenhum.
      4. Opcional: Defina as propriedades a seguir que controlam a configuração do YML Filebeat.
        Campo Descrição
        Campos Campo que permite incluir e excluir informações na saída. Por exemplo, você pode adicionar um campo para filtrar os dados do log.

        Adicione mais linhas de campo selecionando o ícone de adição ao lado do campo Valor: ícone de adição.. Remova uma linha de campo selecionando o ícone de menos: Ícone de menos..

        Para obter mais informações, consulte a descrição Campos de entrada de log na documentação do Elastic.
        Opções de Configuração Campo que permite adicionar opções de configuração às linhas de log. Por exemplo, você pode adicionar a codificação a ser usada.
        Nota:
        Defina somente as opções de configuração compatíveis com Filebeat.

        Para obter mais informações, consulte a descrição de Opções de configuração de entrada de log na documentação do Elastic.
      5. Selecione OK.
        O caminho do log é criado.
    10. Selecione Retornar à apólice.
    11. No formulário de política, selecione Publicar.
      O status Publicar da política muda para Publicado.
    12. Opcional: Ative a política selecionando Ativar.

    O que Fazer Depois

    Certifique-se de que a entrada de dados seja de dados de fluxo.