Die Zuordnung von Protokolldaten im Rohzustand, die in Ihre Instanz gestreamt werden, bestimmt, wie die Daten behandelt werden. Health Log Analytics strukturiert Protokolle automatisch, erstellt Metriken zur Erkennung von Anomalien und zeigt Warnungen abhängig vom Tagging Ihrer Daten an.

Vorbereitungen

Erforderliche Rolle: evt_mgmt_admin

Warum und wann dieser Vorgang ausgeführt wird

Standardmäßig versucht Health Log Analytics, jede eingehende Protokollzeile automatisch den richtigen Tags zuzuordnen. Wenn Eigenschaften nicht automatisch erkannt werden, ordnen Sie die Dateneingabequellen manuell zu, indem Sie eine JavaScript-Funktion definieren.

In der JavaScript-Funktion müssen Sie nur die Serviceinstanz (hier als Anwendungsservicebezeichnet)zuordnen. Die Zuordnung der Komponente und des Quelltyps ist optional: Health Log Analytics versucht, ihre Werte automatisch aus den Protokolldaten zu extrahieren. Wenn der Versuch fehlschlägt, werden die Standardwerte zugewiesen. Wenn Sie die Komponente zuordnen, aber nicht den Quelltyp oder umgekehrt, versucht das System, den fehlenden Wert aus den Protokolldaten zu extrahieren. Wenn dies fehlschlägt, wird der Komponentenwert dem Quelltyp zugewiesen (oder umgekehrt, je nachdem, welchen Sie zugeordnet haben). Diese Funktion wird unterstützt in Anwendung Health Log Analytics, Version 20.0.11 - Juli 2021, verfügbar im ServiceNow Store.

Hinweis:

(Nur ACC-Dateneingaben) Wenn Agent Client Collector zu einem anderen MID-Server wechselt, um Failover-Schutz zu bieten, muss er zu einer anderen ACC-Dateneingabe wechseln. Daher müssen alle ACC-Dateneingaben dieselbe JavaScript-Funktion aufweisen. Von Health Log Analytics wird die neueste veröffentlichte JavaScript-Funktion für alle vorhandenen und zukünftigen ACC-Dateneingaben bereitgestellt. Das vorherige Skript wird dabei ersetzt. Diese Funktion wird unterstützt in der Anwendung Health Log Analytics, Version 22.0.12 – Dezember 2021 und später, verfügbar im ServiceNow Store. Informationen zum Failover-Schutz in Agent Client Collector Log Analytics (ACC-L) finden Sie unter Agent Client Collector Log Analytics.

Hinweis: Sie können Protokolldaten im Rohzustand ändern, bevor Health Log Analytics sie zuordnet und strukturiert. Weitere Informationen finden Sie unter Protokolldaten im Rohzustand vor der Verarbeitung bearbeiten.

Prozedur

  1. Navigieren zu Alle > Health Log Analytics > Zuordnung > Dateneingabezuordnung.
  2. Öffnen Sie einen Datensatz.
    Hinweis: Wenn das Formular „Dateneingabezuordnung“ angezeigt wird, ruft Health Log Analytics automatisch Protokollbeispiele ab. Rufen Sie in nachfolgenden Sitzungen neue Beispiele ab, indem Sie Refresh Samples (Beispiele aktualisieren) auswählen.
    Hinweis: Wenn die KI-Engine Health Log Analytics ausgefallen ist und das Streaming von Daten beendet wurde, wird oben auf der Seite „Dateneingabezuordnung“ eine Benachrichtigung angezeigt. Wenden Sie sich in diesem Fall an den Support ServiceNow.
  3. (Wahlweise) Um die vollständige Protokollnachricht im Rohzustand weiterzuleiten, deaktivieren Sie die automatische Erkennung der Headereigenschaften für diese Dateneingabe, indem Sie Disable header detection (Headererkennung deaktivieren) auswählen.
    Weitere Informationen finden Sie unter Erkennung von Headereigenschaften.
  4. (Wahlweise) Aktivieren Sie den Testmodus, indem Sie für den Testmodus -Wert auf EIN setzen.
    Im Testmodus erstellt Health Log Analytics nicht die Quelltypen, Quellen oder andere Objekte, die im Standard-Flow erstellt werden, um zu vermeiden, dass der Speicher Elasticsearch von durch Beispieldaten überlastet wird. Weitere Informationen finden Sie unter Automatische Zuordnung und Zuordnung von Protokolldaten.
  5. (Wahlweise) Beachten Sie, wie sich die JavaScript-Funktion auf Protokollzeilen auswirkt.
    1. Fügen Sie im Feld Test manual sample (Manuelles Beispiel testen) eine Beispielnachricht hinzu.
    2. Wählen Sie Start.
    3. Beachten Sie, wie sich die JavaScript-Funktion auf Protokollzeilen auswirkt.
  6. Wählen Sie im Feld Unformatierte Eingabebeispiel ein Protokollbeispiel aus, das die Auswirkungen Ihrer neuen JavaScript-Funktion auf Protokollzeilen veranschaulicht, wenn Sie sie testen.
  7. Definieren Sie eine JavaScript-Funktion, die Ihre Dateneingabequellen der richtigen -Serviceinstanz (hier als Anwendungsservicebezeichnet), Komponente und Quelltyp zuordnet.
    Hinweis: (Nur ACC-Dateneingaben) Stellen Sie sicher, dass Ihre JavaScript-Funktion zur Verarbeitung von Daten verwendet werden kann, die von allen ACC-Dateneingaben gestreamt werden.
    1. Ändern Sie in der JavaScript-Konsole entweder die bereitgestellte JavaScript-Standardfunktion, ändern Sie eine vorhandene benutzerdefinierte JavaScript-Funktion, oder definieren Sie eine neue.
      Hinweis: Neben der JavaScript-Standardfunktion bietet Health Log Analytics JS-Funktionsvorlagen für die Datenzuordnung für Linux-Betriebssystem-Protokolle, die mit syslog gestreamt werden, und Windows-Event-Protokolle, die mit Filebeat gestreamt werden, oder Winlogbeat-Event-Protokolle, die mit Winlogbeat gestreamt werden. Die Vorlagen können als Ausgangspunkt für Ihren benutzerdefinierten Skriptcode dienen. Diese Funktion wird unterstützt in Anwendung Health Log Analytics, Version 20.0.11 - Juli 2021, verfügbar im ServiceNow Store.
      Tabelle : 1. JavaScript-Funktionsvorlagen
      Vorlage Beschreibung
      Mit Syslog gestreamte Linux-Betriebssystemprotokolle Skript für die Zuordnung von Linux-Protokollen. Ordnet Protokolle der verschiedenen Daemons den richtigen Quelltypen, Komponenten und Serviceinstanzen zu (hier Anwendungsservices).
      Hinweis: Damit diese JavaScript-Funktion ordnungsgemäß funktioniert, müssen Protokolle über einen Syslog-Wrapper verfügen.
      Mit Filebeat gestreamtes Windows-Event-Protokoll Skript für die Zuordnung von Windows-Event-Protokollen, die mit Filebeat gestreamt werden. Ordnet die verschiedenen Windows -Services Quelltypen, Komponenten und -Serviceinstanzen (hier als Anwendungsservicesbezeichnet) zu und gruppiert sie.
      Windows − Mit Winlogbeat gestreamte Winlogbeat-Protokolle Skript für die Zuordnung von Windows-Event-Protokollen, die mit Winlogbeat gestreamt werden. Ordnet die verschiedenen Windows -Services den richtigen Quelltypen, Komponenten und -Serviceinstanzen (hier als Anwendungsservicesbezeichnet)zu.
      Die JavaScript-Funktion zur Vorverarbeitung von Rohprotokolldaten verwendet die folgenden Objekte:
      • Signatur: Funktionszuordnung (Beispiel, Metadaten)
        Objekt Beschreibung
        Beispiel Das aktuelle Protokollbeispiel nach der Vorverarbeitung
        Metadaten Objekt, das Folgendes enthält:
        • Event-Stream: Zugriff über: <Metadatenwert>. Beispiel: metadata.eventStream.origin
        • Transform-Header 1: Zugriff über: <Metadatenwert>. Beispiel: metadata.headers.i1.type
        • Transform-Header 2: Zugriff über: <Metadatenwert>. Beispiel: metadata.headers.i2.type
        • type-Transform-Header 3: Zugriff über: <Metadatenwert>. Beispiel: metadata.headers.i3.type
        • Fallback-Zuweisung: Zugriff über: <Metadatenwert>. Beispiel: metadata.fallBacks.host
        Hinweis: Sie können mehrere Services pro Quelltyp erstellen und zuordnen.
      • Typ und Struktur der Rückgabe
        Hinweis: Die JavaScript-Funktion gibt eine Zuordnung mit zwei Einträgen zurück. Ändern Sie diese Rückgabestruktur nicht.
        Objekt Beschreibung
        applicationService Der vorhandene Anwendungsservice (d. h. die Serviceinstanz) , dem dieses Muster zugewiesen wird.
        Hinweis: Die Serviceinstanz muss an Anomaliewarnungen im Zusammenhang mit dem Protokoll gebunden sein.
        Komponente Komponente, der dieses Beispiel zugewiesen wird
        sourceType Quelltyp, dem dieses Beispiel zugewiesen wird
      • Um eine Protokollnachricht zu verwerfen, rufen Sie return drop () auf.
    2. Testen Sie die JavaScript-Funktion, indem Sie auf Test klicken.

      Durch das Testen der JavaScript-Funktion können Sie das Ergebnis des Skripts im Protokollbeispiel anzeigen. Eine Beschreibung der angezeigten Felder finden Sie unter Ergebnisfelder für JavaScript-Funktionstests.

      Hinweis: Wenn sich Ihre neue JavaScript-Funktion nicht wie erwartet verhält, können Sie zur zuletzt veröffentlichten Funktion zurückkehren, indem Sie auf den zugehörigen Link JS-Funktion zurücksetzen klicken.
    3. (Wahlweise) Nehmen Sie alle erforderlichen Anpassungen vor, und testen Sie die JavaScript-Funktion erneut.
    4. (Wahlweise) Vergleichen Sie die Ergebnisse mehrerer Tests.
      Durch den Vergleich der Testergebnisse mehrerer Versionen der JavaScript-Funktion können Sie das Skript verfeinern, bis das gewünschte Ergebnis erreicht ist.
  8. Wenn Sie die JavaScript-Funktion abgeschlossen haben, wählen Sie Vorlage speichern, um sie zu speichern.
    Sie können die JavaScript-Funktion entweder als neue Vorlage speichern oder die aktuell ausgewählte Vorlage überschreiben.
    • Um die JavaScript-Funktion als neue Vorlage zu speichern, geben Sie einen neuen Namen in das Feld Template name (Vorlagenname) ein.
    • Um die aktuell im Feld JS function templates (JS-Funktionsvorlagen) ausgewählte Vorlage zu überschreiben, lassen Sie das Feld Template name (Vorlagenname) leer.
  9. Klicken Sie auf Publish (Veröffentlichen), um die JavaScript-Funktion in der Datenbank zu speichern.

Ergebnisse

Wenn die JavaScript-Funktion veröffentlicht wird, verwendet Health Log Analytics sie zum Zuordnen von Dateneingabequellen.

Das neue Skript wird automatisch der Liste der JS-Funktionsvorlagen hinzugefügt, aus denen Sie auswählen können. Diese Funktion wird unterstützt in Anwendung Health Log Analytics, Version 20.0.11 - Juli 2021, verfügbar im ServiceNow Store.

(Nur ACC-Dateneingaben) Health Log Analytics bietet die veröffentlichte JavaScript-Funktion für alle vorhandenen und zukünftigen ACC-Dateneingaben. Die neue JavaScript-Funktion ersetzt das vorherige Skript.

Nächste Maßnahme

  • (Optional) Ändern Sie Rohprotokolldaten, bevor Health Log Analytics sie zuordnet und strukturiert. Wenn Sie diese Aufgabe sofort ausführen möchten, klicken Sie auf den zugehörigen Link Go to Preprocessor (Zu Präprozessor wechseln), um zur Seite Data Input Preprocessor (Dateneingabe-Präprozessor) zu wechseln.
  • (Optional) Feintunen Sie, wie das System Ihre Protokolldaten liest, indem Sie die Quelltypstruktur verfeinern. Mit diesem Schritt können Sie automatisch klassifizierte Eigenschaften neu klassifizieren und automatisch zugeordnete Bezeichnungen ändern.