Configurar Elasticsearch integrações

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Configure uma integração para fluxo contínuo de dados de log de índices Elasticsearch para sua instância para processamento por Análise de logs de integridade.

    Antes de Iniciar

    Nota:
    Análise de logs de integridade é compatível com Elasticsearch versões 5.4 e superiores. Para obter informações avançadas sobre o streaming de dados de log de índices Elasticsearch para sua instância, consulte o artigo Logs de fluxo usando entrada de dados do Elasticsearch - Guia avançado [KB1080162] na base de conhecimento Now Support.
    • Certifique-se de que a aplicação Análise de logs de integridade esteja instalada e provisionada em sua instância. Para obter mais informações, consulte Instalar Análise de logs de integridade (HLA).
    • Certifique-se de que uma instância de serviço esteja disponível.
    • Certifique-se de que o Análise de logs de integridade Mecanismo de IA esteja instalado e funcionando.
    • Certifique-se de que um MID Server esteja instalado e configurado com a capacidade de ingestão de log habilitada.

      Configuração do MID Server com capacidade de ingestão de log habilitada.

      Importante:
      Análise de logs de integridade não é compatível com IPv6. Para trabalhar com a aplicação, configure o MID Server para IPv4.
    • Se o endereço IP MID Server for exposto pela tradução de endereço de rede (NAT), um balanceador de carga ou um dispositivo semelhante, ele deverá ter um endereço IP público. Nas propriedades MID Server, adicione uma propriedade chamada mid.public_ip com o endereço IP público como o valor. Para obter mais informações, consulte Criar uma propriedade do MID Server.

    Função necessária: evt_mgmt_admin

    Procedimento

    1. Navegar até Espaços > Espaço de operações de serviços.
    2. No painel esquerdo, selecione o ícone do Launchpad de integrações ( ícone do Launchpad de integração)
    3. Na guia Procurar integrações, insira Elasticsearch no campo de pesquisa.
    4. Selecione o bloco de integração Elasticsearch.
      Nota:
      Se você iniciou o processo de integração sem atender a todos os pré-requisitos listados na seção Antes de começar, será exibida uma mensagem. Você tem a opção de cancelar a integração e concluir os requisitos ausentes ou continuar no modo de rascunho e preenchê-los mais tarde. Observe que você só pode ativar uma integração quando todos os pré-requisitos são atendidos. As integrações configuradas e salvasque não foram ativadas estão disponíveis na guia Integrações instaladas em Integrations Launchpad, em Aguardando sua ação.
    5. Selecione Fornecer detalhes.
      O campo Fornecer detalhes é exibido. Esta tela requer que você forneça detalhes essenciais para a nova integração, incluindo o MID Server ou cluster do qual as mensagens de log serão extraídas e a instância de serviço à qual os dados devem ser vinculados.
    6. No formulário, preencha os campos.
      Para obter uma descrição dos campos, consulte Elasticsearch integração campos de configuração.
    7. Opcional: Selecione Avançado para definir os campos de configuração avançada.
      Para obter uma descrição dos campos, consulte Elasticsearch integração campos de configuração.
    8. Selecione Avançar.
      A tela Definir recuperação de dados é exibida. Esta tela requer que você especifique quais dados de log devem ser recuperados do dispositivo, o método de extração e como transmitir os dados para a instância.
    9. No formulário, preencha os campos.
      Para obter uma descrição dos campos, consulte Elasticsearch integração campos de configuração.
    10. Selecione Testar e salvar.
      O sistema salva a nova integração no banco de dados e testa a porta configurada, retornando um sucesso ou um erro. Se um erro for retornado, faça ajustes na configuração de acordo com as sugestões na tela e selecione Testar e salvar novamente. Depois que o teste for bem-sucedido, você poderá ativar aintegração.
    11. Selecione Ativar.
      A integração está ativada. Sua guia Visão geral é exibida.

    Resultado

    Os dados de log começam a ser transmitidos para sua instância ServiceNow. O bloco da integração está disponível na guia Integrações instaladas no Integrations Launchpad.

    Usuários com a função evt_mgmt_user podem usar Gestão de eventos para monitorar os logs e exibir os alertas que Análise de logs de integridade gera a partir deles.

    O que Fazer Depois

    Revise o status de streaming de dados de log e as origens de da integração na guia Visão geral. Aproveite as informações exibidas para refinar como HLA lê os dados de log ajustando sua configuração de integração. Para obter mais informações, consulte Revisar o status e as origens do fluxo de dados de log de uma integração [n.
    Nota:
    Na guia Visão geral, você pode acessar diretamente as páginas Mapeamento de entrada de dados, Estruturas de tipo de origem e Origens de log com o contexto desta integração selecionando o ícone do menu Exibir ( ícone do menu Exibir) e escolhendo a opção relevante. O menu também permite que você acesse diretamente o Visualizador de logs, que mostra os logs brutos que esta integração ingere.