Definir configurações avançadas para Elasticsearch entradas de dados em Análise de logs de integridade manualmente

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Defina configurações avançadas para entradas de dados usadas para fluxo de dados de log de Elasticsearchíndices para sua instância.

    Antes de Iniciar

    Função necessária: evt_mgmt_admin

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode definir parâmetros do sistema para ler dados de log que determinam as ações que o sistema executa nos dados de log que chegam ao MID Server. Por exemplo, você pode definir o fuso horário a ser usado se um log não tiver um carimbo de data/hora. Se nenhuma configuração avançada estiver definida, o sistema usará os valores padrão.

    Para obter informações adicionais sobre logs de streaming usando Elasticsearch entrada de dados, consulte Logs de fluxo usando a entrada de dados do Elasticsearch - Guia avançado [KB1080162] artigo no Now Support Base de conhecimento.

    Procedimento

    1. Navegar até Tudo > Análise de logs de integridade > Entrada de dados > Entradas de dados.
    2. Abra um Elasticsearch Registro de entrada de dados da tabela Entradas de dados.
      A configuração de entrada de dados é exibida.
      Nota:
      O número de origens de log que a entrada de dados criou é mostrado em Contagem de origens campo. Para obter mais informações sobre fontes de entrada de dados, consulte Mapeamento automático de dados e mapeamento em log em Análise de logs de integridade.
      Nota:
      . HLA o mecanismo está inativo e o fluxo de dados parou, uma notificação é exibida na parte superior da página de configuração da entrada de dados. Quando isso acontecer, entre em contato ServiceNow suporte.
    3. Selecione Avançado e, em seguida, selecione Avançado guia.
    4. No formulário, preencha os campos.
      Para obter uma descrição dos campos, consulte Elasticsearch campos de configuração de entrada de dados.
    5. Opcional: Na lista relacionada Origens de streaming, verifique se esta entrada de dados é dados de log de streaming de todos os dispositivos de endpoint relevantes.
      Para obter mais informações sobre fontes de streaming, consulte Identificar e resolver um problema de fluxo de log em Análise de logs de integridade.
      Nota:
      Se você tiver problemas relacionados a permissões com streaming de dados de log do Elasticsearch, consulte Concedendo privilégios para fluxos de dados do Elasticsearch [KB0967366] artigo no Now Support Base de conhecimento.
    6. Selecione Save (Salvar).
      Análise de logs de integridade Adiciona o registro de entrada de dados à tabela Entradas de dados.
    7. Certifique-se de que a entrada de dados esteja configurada corretamente selecionando Conexão de teste .

      Análise de logs de integridade tenta conectar o. MID Server para o repositório de dados.

      Se a entrada de dados estiver configurada para ser executada em um MID Server cluster, o sistema tenta conectar todos os MID Servers contido no cluster para o repositório. O cluster passa no teste se pelo menos um dos seus MID Servers conecta-se. Este recurso é compatível com Análise de logs de integridade Versão 26.0.17 - fevereiro de 2023 e posterior, disponível em ServiceNow Store .

      • Se a conexão foi estabelecida, o. Conexão de teste e o botão está desativado e Publicar o botão está habilitado.
      • Se a conexão falhar, o motivo da falha será exibido no Mensagem de erro campo. Este campo é exibido somente quando ocorre um erro de fluxo.

        Resolva o problema, selecione Salvar se você modificou a configuração e selecione Conexão de teste para testar a conexão novamente.

        Nota:
        Você só pode publicar a configuração de entrada de dados quando a conexão é criada com sucesso.
      Nota:
      Você pode reverter para a última configuração publicada selecionando Reverter mudanças . Esta opção está disponível somente quando você está modificando uma configuração que foi publicada anteriormente.
    8. Selecione Publicar para publicar a entrada de dados no MID Server.