Configurar entradas de dados manualmente

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Como alternativa ao uso da configuração assistida de entrada de dados, você pode configurar suas entradas de dados Análise de logs de integridade manualmente.

    Antes de Iniciar

    Importante:
    Análise de logs de integridade não é compatível com IPv6. Para trabalhar com a aplicação, configure o MID Server como IPv4.
    • Você deve ter um instalado e configurado MID Server com a capacidade de ingestão de log habilitada.

      Configuração do MID Server com o recurso de ingestão de log habilitado.

    • Se o endereço IP MID Server for exposto pela tradução de endereço de rede (NAT), um balanceador de carga ou um dispositivo semelhante, ele deverá ter um endereço IP público. Nas propriedades MID Server, adicione uma propriedade chamada mid.public_ip com o endereço IP público como o valor. Para obter mais informações, consulte Criar uma propriedade do MID Server.
    • Para obter informações sobre como enviar seus logs criptografados usando SSL TLS, consulte o artigo Fluxo de dados com Rsyslog e Filebeat usando SSL [KB0866319] na Base de conhecimento Now Support.
    Nota:
    O uso da configuração assistida de entrada de dados garante que você tenha a configuração mínima necessária para o processo de entrada de dados. Para obter mais informações, consulte Configurar entradas de dados usando a configuração assistida.

    Função necessária: evt_mgmt_admin

    Procedimento

    1. Configure uma entrada de dados executando o procedimento na documentação relevante do produto.
      Tabela 1. Entradas de dados
      Entrada de dados Descrição
      Rsyslog ou Beats A entrada de dados transmite dados de log para sua instância usando Rsyslog ou Beats.
      Splunk A entrada de dados transmite dados de log para sua instância usando Splunk.
      Elasticsearch A entrada de dados extrai dados de log de índices Elasticsearch para sua instância.
      TCP A entrada de dados envia mensagens de log brutas para sua instância diretamente por um soquete TCP/SSL.
      UDP A entrada de dados transmite mensagens de log brutas para sua instância ServiceNow diretamente por um soquete UDP.
      Pub/Sub do GCP A entrada de dados recebe mensagens de log que são publicadas em um tópico Google Cloud Pub/Sub e as transmite para sua instância ServiceNow.
      MID Server A entrada de dados coleta MID Server arquivos de log e os transmite para sua instância.
      Amazon CloudWatch A entrada de dados transmite dados de log de Amazon CloudWatch para sua instância ServiceNow.
      Amazon S3 A entrada de dados transmite dados de log de buckets Amazon S3 (Serviço de armazenamento simples) para sua instância ServiceNow.
      Microsoft Azure Log Analytics A entrada de dados transmite dados de log de Microsoft Azure Log Analytics para sua instância ServiceNow.
      Event Hubs do Microsoft Azure A entrada de dados transmite eventos de Event Hubs do Microsoft Azure para sua instância ServiceNow.
      Apache Kafka A entrada de dados transmite dados de log de Apache Kafka para sua instância ServiceNow.
      REST API A entrada de dados transmite dados de log para sua instância ServiceNow no formato JSON.
      Agent Client Collector A entrada de dados transmite mensagens de log para sua instância ServiceNow usando o ServiceNow Agent Client Collector.

      Esta entrada de dados é compatível com o uso com a aplicação Agent Client Collector Análise de logs, disponível na ServiceNow Store.
      Nota:
      Selecionar Testar conexão no final do procedimento garante que a entrada de dados esteja configurada corretamente. Você só pode publicar uma configuração de entrada de dados quando a conexão entre MID Server e o repositório de dados tiver sido estabelecida.
    2. Identifique e resolva problemas de streaming para garantir que a entrada de dados esteja transmitindo dados de log para o MID Server de todas as fontes.
      Para obter mais informações, consulte Identificar e resolver problemas de streaming de log.
    3. Determine como Análise de logs de integridade lida com dados de log brutos que estão sendo transmitidos para sua instância.
      Por padrão, cada linha de log de entrada é mapeada automaticamente para o marcador correto. Se as propriedades não forem descobertas automaticamente, mapeie as fontes de entrada de dados manualmente, definindo uma função JavaScript. Para obter mais informações, consulte Mapear os dados brutos.
    4. Opcional: Modifique os dados brutos do log antes que Análise de logs de integridade os mapeie e estruture.
      Para obter mais informações, consulte Editar seus dados brutos de log antes do processamento.
    5. Opcional: Refine a estrutura do tipo de origem para garantir que Análise de logs de integridade extraia e classifique todas as propriedades corretamente.
      Para obter mais informações, consulte Refinar a estrutura do tipo de origem.