Configure um Rsyslog, Filebeat ou Winlogbeat entrada de dados em Análise de logs de integridade manualmente

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 6 min. de leitura

    • Configure uma entrada de dados para transmitir mensagens de log para seu ServiceNow instância usando um Rsyslog, Filebeat ou Winlogbeat agente.

    Antes de Iniciar

    • Verifique se um MID Server Está instalado e configurado com o recurso de ingestão de log habilitado. Para obter mais informações, consulte MID Server system requirements.

      Configuração DO MID Server com o recurso de ingestão de log habilitado.

      Importante:
      Análise de logs de integridade Não é compatível com IPv6. Para trabalhar com a aplicação, configure o. MID Server Para IPv4.
    • . MID Server O endereço IP é exposto por meio da conversão de endereços de rede (NAT), de um balanceador de carga ou de um dispositivo semelhante, o. MID Server Deve ter um endereço IP público para ser acessado por clientes externos, como Filebeat agentes, localizados fora de sua rede. Endereços IP privados não são roteáveis pela Internet, portanto, sem um IP público, esses clientes externos não podem se conectar ao MID Server mesmo se eles estiverem configurados com seu endereço. Em MID Server, adicione uma propriedade chamada mid.public_ipCom o endereço IP público como o valor. Para obter mais informações, consulte Crie uma propriedade do MID Server .
      Nota:
      . MID Server E os clientes externos estão na mesma rede, um IP público não é necessário e as conexões podem ser feitas usando o endereço IP privado.
    • Para enviar seus logs criptografados usando SSL TLS, consulte Streaming de dados com rsyslog e Filebeat usando SSL [KB0866319] artigo no Now Support Base de conhecimento.

    Função necessária: evt_mgmt_admin

    Procedimento

    1. Navegar até Tudo > Análise de logs de integridade > Entrada de dados > Entradas de dados.
    2. Na página Entradas de dados, selecione Novo .
    3. Escolha o tipo de entrada de dados a ser criado a partir dos tipos de entrada de dados disponíveis descritos na tabela.
      Nota:
      O tipo de entrada de dados selecionado complementa a entrada de dados passiva (ouvinte). Para obter mais informações, consulte Entradas de dados compatíveis .
      Tabela 1. Tipos de entrada de dados
      Tipo Descrição
      Rsyslog Transmite mensagens de log de servidores baseados em UNIX para ServiceNow Mecanismo de IA usando Rsyslog agente.
      Linux usando Filebeat Transmite mensagens de log do sistema e arquivos locais do Linux para a instância usando Filebeat agente.
      Windows Logs da aplicação usando Filebeat Transmite arquivos locais de Microsoft Windows dispositivos para ServiceNow instância usando Filebeat agente.
      Windows SO usando Winlogbeat Fluxos Windows logs de eventos para ServiceNow instância usando Winlogbeat agente.
    4. Em Introdução preencha o formulário.

      Para obter uma descrição dos campos, consulte Rsyslog, Filebeat ou Winlogbeat campos de configuração de entrada de dados.

      Nota:
      Ao criar uma entrada de dados para Linux usando Filebeat, você pode selecionar um pacote de conteúdo no Pacote de conteúdo menu suspenso. O pacote de conteúdo contém tipos de origem padrão e modelos de script de mapeamento que economizam o tempo necessário para criá-los do zero. Para obter mais informações, consulte Análise de logs de integridade pacotes de conteúdo para um tempo de retorno mais rápido.
    5. . Rsyslog, Filebeat ou Winlogbeat o agente ainda não foi instalado, baixe-o e instale-o do Instalação guia.
      Para obter instruções de instalação, consulte a documentação do produto do respectivo agente.
      Nota:
      Certifique-se de que você esteja executando a versão mais recente do agente. Versões anteriores funcionarão, mas com funcionalidade limitada.
    6. Em Marcação e vinculação atribua logs a uma instância de serviço no Configuration Management Database (CMDB) para permitir que o serviço correlacione os dados de log e permita que o sistema faça a análise da causa raiz.
      1. Para cada origem, configure o caminho e a instância de serviço para os logs a serem transmitidos.
        Nota:
        Por padrão, somente os campos obrigatórios Caminho e. Instância de serviço aparecer.

        Para obter uma descrição dos campos, consulte Rsyslog, Filebeat ou Winlogbeat campos de configuração de entrada de dados.

      2. Se você quiser enviar logs de várias linhas usando Filebeat, configure as propriedades que controlam como Filebeat manipula mensagens que se estendem por várias linhas de texto.
        Campo Descrição
        Correspondência Especifica como Filebeat combina linhas correspondentes em um evento.
        Rejeitar Define se o padrão identificado nas linhas de log é negado.
        Regex Especifica a expressão regular a ser correspondida.
        Nota:
        Análise de logs de integridade atualmente não oferece suporte a propriedades de várias linhas para Rsyslog.
      3. Opcional: Defina caminhos de log adicionais para habilitar a entrada de dados para transmitir tipos de log de vários caminhos.
        Para cada caminho de log adicional, faça o seguinte:
        1. Insira uma nova linha.
        2. Configure o caminho do log.
        3. Escolha uma instância de serviço.
        4. (Opcional) Escolha um componente e um tipo de origem.
        Nota:
        Esta opção não está disponível ou é necessária ao usar Winlogbeat porque Análise de logs de integridade transmite o. Windows logs de eventos.
    7. Em Concluir conclua a configuração do seu tipo de entrada de dados.
      • Rsyslog:
        1. Baixe o arquivo de configuração e instale-o no dispositivo de endpoint, no /etc/rsyslog.d/rsyslog.conf diretório.
          Nota:
          Se você estiver usando Análise de logs de integridade Versão 20.0.11 - julho de 2021, disponível em ServiceNow Store em vez disso, faça o seguinte:
          1. No dispositivo de endpoint, instale o arquivo de configuração no /etc/rsyslog.d/ diretório.
          2. Crie um diretório spool executando sudo mkdir -p/var/spool/rsyslog comando.
        2. Valide a configuração executando o. Rsyslogan d -n1 e verifique a saída.
        3. Reiniciar Rsyslog executando o. sudo systemctl reiniciar rsyslog comando.
        4. Verifique a saída. Se contiver erros, verifique /var/log/messages arquivo de log do sistema para mensagens de erro e corrija os erros.
      • Linux usando Filebeat:
        1. Baixe o arquivo de configuração e instale-o no dispositivo de endpoint, no /etc/filebeat/ diretório.
        2. Inicie o serviço do agente executando o. início do filebeat do serviço sudo comando.
          Nota:
          A configuração gerada ignora os arquivos que foram alterados pela última vez há mais de seis horas. Se necessário, você pode mudar esta configuração na configuração .
        3. Reinicie o serviço do agente executando o comando apropriado.
      • Windows usando Beats( Filebeat ou Winlogbeat):
        1. Baixe o arquivo de configuração e instale-o no dispositivo de endpoint, no Arquivos de programas diretório.
        2. Inicie o serviço do agente executando o comando apropriado no PowerShell.
          • Filebeat: Start-Service filebat
          • Winlogbeat: Start-Service winlogbeat
          Nota:
          A configuração gerada ignora os arquivos que foram alterados pela última vez há mais de seis horas. Se necessário, você pode mudar esta configuração na configuração .
        3. Reinicie o serviço do agente executando o comando apropriado.
    8. Selecione Save (Salvar).
      Análise de logs de integridade Adiciona o registro de entrada de dados à tabela Entradas de dados.
    9. Selecione para verificar se a entrada de dados está configurada corretamente Conexão de teste .

      Análise de logs de integridade tenta conectar o. MID Server para o repositório de dados.

      • Se a conexão foi estabelecida, o. Conexão de teste e o botão está desativado e Publicar o botão está habilitado.
      • Se a conexão falhar, o motivo da falha será exibido no Mensagem de erro campo. Este campo é exibido somente quando ocorre um erro de fluxo.

        Resolva o problema, selecione Salvar se você modificou a configuração e selecione Conexão de teste para testar a conexão novamente.

        Nota:
        Você só pode publicar a configuração de entrada de dados quando a conexão é criada com sucesso.
      Nota:
      Você pode reverter para a última configuração publicada selecionando Reverter mudanças . Esta opção está disponível somente quando você está modificando uma configuração que foi publicada anteriormente.
    10. Selecione Publicar para publicar a entrada de dados no MID Server.

    Resultado

    O processo de configuração da entrada de dados está concluído. Análise de logs de integridade adiciona o registro de entrada de dados ao Entradas de dados e anexa o arquivo de configuração ao registro de entrada de dados. A entrada de dados começa a transmitir dados de log para seu ServiceNow instância.

    Nota:
    O arquivo de configuração Análise de logs de integridade gera para novo Filebeat as entradas de dados são compatíveis com Filebeat versão 7,14 e superior. Mínimo Filebeat versão que Elasticsearch Atualmente o oferece suporte ao IS 7,17, que está se aproximando do fim da vida útil (EOL).

    Existente Filebeat arquivos de configuração de entrada de dados em HLA são compatíveis com Filebeat versões até 8.x. Para Filebeat versão 9,0 e superior, migre da entrada de log para a entrada filestream ou gere um novo arquivo de configuração. Para obter mais informações sobre o processo de migração, consulte Filebeat documentação.

    Nota:
    . HLA o mecanismo está inativo e o fluxo de dados parou, uma notificação é exibida na parte superior da página de configuração da entrada de dados. Quando isso acontecer, entre em contato ServiceNow suporte.

    O que Fazer Depois

    Certifique-se de que a entrada de dados seja dados de streaming.