Editar dados de log brutos antes do processamento

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Você pode modificar os dados de log brutos e descartar ou dividir as mensagens de log antes que elas sejam processadas no MID Servere, portanto, antes que Análise de logs de integridade os mapeie e estruture. Por exemplo, você pode impedir que dados confidenciais cheguem ao sistema substituindo nomes de usuário e senhas por um asterisco (*).

    Antes de Iniciar

    Função necessária: evt_mgmt_admin

    Procedimento

    1. Navegar até Todos > Análise de logs de integridade > Entrada de dados > Pré-processamento da entrada de dados.
    2. Abra um registro.
      Nota:
      Na primeira vez em que o formulário de pré-processamento é exibido, Análise de logs de integridade busca amostras de log automaticamente. Nas sessões subsequentes, busque novas amostras selecionando Atualizar amostras.
    3. Opcional: Evite mostrar amostras de log que são obtidas dos logs brutos da sua organização selecionando Desabilitar amostras de log bruto.
      Selecione esta opção se você não quiser expor seus logs a Análise de logs de integridade.
    4. Opcional: Veja como a função JavaScript atual afeta as linhas de log.
      1. Adicione uma mensagem de exemplo no campo Testar amostra manual.
      2. Selecione Ir.
      3. Observe como a função JavaScript afeta as linhas de log.
    5. No campo Amostras de entrada brutas, escolha uma amostra de log que mostrará o efeito da sua nova função JavaScript nas linhas de log ao testá-la.
    6. Defina uma função JavaScript que modifique seus dados de log brutos antes de Análise de logs de integridade mapeá-los e estruturá-los.
      Nota:

      (Somente entradas de dados ACC) Quando o Agent Client Collector alterna para um MID Server diferente para fornecer proteção de failover, ele deve alternar para uma entrada de dados ACC diferente. Portanto, todas as entradas de dados do ACC devem ter a mesma função JavaScript. Análise de logs de integridade fornece a função JavaScript publicada mais recente para todas as entradas de dados do ACC existentes e futuras, substituindo o script anterior. Este recurso é compatível com a aplicação Análise de logs de integridade, versão 22.0.12 - dezembro de 2021 e posterior, disponível na ServiceNow Store. Para obter informações sobre proteção de failover em Agent Client Collector Log Analytics (ACC-L), consulte Agent Client Collector Análise de logs.

      1. No console JavaScript, altere a função JavaScript padrão fornecida, modifique uma função JavaScript personalizada existente ou defina uma nova.
        Nota:
        Além da função JavaScript padrão para pré-processamento de dados, Análise de logs de integridade fornece um modelo de função JavaScript chamado Depuração. Esta função JavaScript remove informações de identificação pessoal, como endereços de e-mail, números de CPF e senhas, dos dados brutos do log. O modelo pode atuar como ponto de partida para seu código de script personalizado. Este recurso é compatível com a aplicação Análise de logs de integridade, versão 20.0.11 - julho de 2021, disponível na ServiceNow Store.
        Nota:
        (Somente entradas de dados ACC) Certifique-se de que sua função JavaScript possa ser usada para lidar com dados transmitidos por todas as entradas de dados ACC.
        As funções JavaScript para pré-processar dados de log brutos usam os seguintes objetos:
        • Assinatura: função process(amostra, metadados)
          Objeto Descrição
          amostra A amostra de log atual.
          metadados Objeto que contém o fluxo de eventos.

          Para acessar o fluxo de eventos, chame a função metadata.eventStream. Como o fluxo de eventos é um objeto, você pode acessar cada uma de suas propriedades chamando as funções metadata.eventStream.origin ou metadata.eventStream.LocalPort.

          A lista de propriedades de fluxo de eventos disponíveis está disponível na guia Fluxo de eventos: acesso via metadados.
        • Retornar tipo e estrutura
          Nota:
          A função JavaScript retorna um mapa de duas entradas. Não mude esta estrutura de retorno.
          Objeto Descrição
          modificadoEntrada A mensagem de log atual depois que a função JavaScript modificou a mensagem original. Se for nulo, a mensagem de log original será usada.
          eventos de divisão Matriz de mensagens de log depois que a função JavaScript dividiu a mensagem original.
        • Para descartar uma mensagem de log, chame return drop().
      2. Teste a função JavaScript selecionando Testar e exibindo o resultado na amostra de log nas listas relacionadas.
        Guia Descrição
        Resultado O resultado da execução da função JavaScript na amostra de log.
        Fluxo de eventos: acesso via metadados Os pares de chave-valor que apresentam os metadados do fluxo de eventos.
        Falhas As amostras de log nas quais a função JavaScript falhou ao ser executada com sucesso.
        Nota:
        Se sua nova função JavaScript não estiver se comportando conforme o esperado, você poderá reverter para a última função publicada selecionando o link relacionado Reverter função JS.
      3. Opcional: Faça os ajustes necessários e teste a função JavaScript novamente.
    7. Selecione a opção Salvar modelo para salvar a função JavaScript.
      Você pode salvar a função JavaScript como um novo modelo ou substituir o modelo selecionado no momento.
      • Para salvar a função JavaScript como um novo modelo, insira um novo nome no campo Nome do modelo.
      • Para substituir o modelo atualmente selecionado no campo de modelos de função JS, deixe o campo Nome do modelo em branco.
    8. Selecione Publicar para salvar a função JavaScript no banco de dados.

    Resultado

    Quando a função JavaScript é publicada, Análise de logs de integridade a usa para pré-processar os dados de log brutos antes de mapeá-los e estruturá-los.

    O novo script é adicionado automaticamente à lista de modelos de função JS que você pode escolher. Este recurso é compatível com a aplicação Análise de logs de integridade, versão 20.0.11 - julho de 2021, disponível na ServiceNow Store.

    (Somente entradas de dados ACC) Análise de logs de integridade fornece a função JavaScript publicada para todas as entradas de dados ACC existentes e futuras. A nova função JavaScript substitui o script anterior.

    O que Fazer Depois

    Prossiga para a página Mapeamento de entrada de dados selecionando o link relacionado Ir para mapeamento. Mapeie os dados brutos que são transmitidos para sua instância para determinar como Análise de logs de integridade os processa.