Mapear dados brutos de log em Análise de logs de integridade

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 7 min. de leitura

    • Mapear dados brutos de log que são transmitidos para sua instância determina como os dados são tratados. Análise de logs de integridade estrutura logs automaticamente, cria métricas para detecção de anomalias e apresenta alertas com base em como seus dados são marcados.

    Antes de Iniciar

    Função necessária: evt_mgmt_admin

    Por Que e Quando Desempenhar Esta Tarefa

    Por padrão, Análise de logs de integridade tenta mapeamento automático cada linha de log de entrada para o marcador correto. Se as propriedades não forem descobertas automaticamente, mapeie as fontes de entrada de dados manualmente definindo uma função JavaScript.

    Na função JavaScript, você deve mapear somente a instância de serviço (aqui chamada de serviço de aplicações). Mapear o componente e o tipo de origem é opcional: Análise de logs de integridade tenta extrair seus valores dos dados de log automaticamente. Se a tentativa falhar, ela atribuirá os valores padrão. Se você mapear o componente, mas não o tipo de origem ou vice-versa, o sistema tentará extrair o valor ausente dos dados de log. Se falhar, ele atribuirá o valor do componente ao tipo de origem ou vice-versa, dependendo de qual você mapeou. Este recurso é compatível com Análise de logs de integridade Versão 20.0.11 - julho de 2021, disponível em ServiceNow Store .

    Nota:

    (Somente entradas de dados ACC) quando Agent Client Collector alterna para um diferente MID Server Para fornecer proteção de failover, ele deve alternar para uma entrada de dados ACC diferente. Portanto, todas as entradas de dados ACC devem ter a mesma função JavaScript. Análise de logs de integridade Fornece a função JavaScript publicada mais recente para todas as entradas de dados do ACC existentes e futuras, substituindo o script anterior. Este recurso é compatível com Análise de logs de integridade Versão 22.0.12 - dezembro de 2021 e posterior, disponível em ServiceNow Store . Para obter informações sobre proteção de failover em Agent Client Collector Log Analytics (ACC-L), consulte Agent Client Collector Log Analytics.

    Nota:
    Você pode manipular dados brutos de log antes Análise de logs de integridade mapeia e estrutura isso. Para obter mais informações, consulte Edite os dados brutos de log antes de processar .

    Procedimento

    1. Navegar até Tudo > Análise de logs de integridade > Mapeamento > Mapeamento de entrada de dados.
    2. Abra um registro.
      Nota:
      Na primeira vez que o formulário Mapeamento de entrada de dados for exibido, Análise de logs de integridade busca amostras de log automaticamente. Em sessões subsequentes, obtenha novas amostras selecionando Atualizar amostras .
      Nota:
      . HLA O mecanismo está inativo e o fluxo de dados parou. Uma notificação é exibida na parte superior da página Mapeamento de entrada de dados. Quando isso acontecer, entre em contato ServiceNow suporte.
    3. Opcional: Para encaminhar a mensagem de log bruta completa, desabilite a detecção automática de propriedades de cabeçalho para esta entrada de dados selecionando Desabilitar detecção de cabeçalho .
      Para obter mais informações, consulte Detecção de propriedades do cabeçalho em Análise de logs de integridade.
    4. Opcional: Ative o modo de teste definindo Modo de teste Valor como ATIVADO.
      No modo Teste, Análise de logs de integridade não cria os tipos de origem, as origens ou quaisquer outros objetos que cria no fluxo padrão para evitar explosão Elasticsearch armazenamento com dados de amostra. Para obter mais informações, consulte Mapeamento automático de dados e mapeamento em log em Análise de logs de integridade.
    5. Opcional: Exiba como a função JavaScript atual afeta as linhas de log.
      1. Adicione uma mensagem de exemplo no Amostra manual de teste campo.
      2. Selecione Ir .
      3. Observe como a função JavaScript afeta as linhas de log.
    6. Em Amostra de entrada bruta Escolha uma amostra de log que mostrará o efeito da sua nova função JavaScript nas linhas de log quando você testá-la.
    7. Defina uma função JavaScript que mapeie suas fontes de entrada de dados para a instância de serviço correta (aqui chamada de serviço de aplicações), componente e tipo de origem.
      Nota:
      (Somente entradas de dados do ACC) Certifique-se de que sua função JavaScript possa ser usada para lidar com dados transmitidos por todas as entradas de dados do ACC.
      1. No console JavaScript, altere a função JavaScript padrão fornecida, modifique uma função JavaScript personalizada existente ou defina uma nova.
        Nota:
        Além da função JavaScript padrão, Análise de logs de integridade Fornece modelos de função JS para mapeamento de dados para Linux Logs DO SO transmitidos com o syslog e. Windows logs de eventos transmitidos com Filebeat ou com Winlogbeat logs de eventos transmitidos com Winlogbeat. Os modelos podem atuar como um ponto de partida para seu código de script personalizado. Este recurso é compatível com Análise de logs de integridade Versão 20.0.11 - julho de 2021, disponível em ServiceNow Store .
        Tabela 1. Modelos de função JavaScript
        Modelo Descrição
        Linux Logs DO SO transmitidos com o Syslog Script usado para mapeamento Linux logs. Mapeia logs dos vários daemons para os tipos de origem, componentes e instâncias de serviço corretos (aqui chamados de serviços de aplicações).
        Nota:
        Os logs devem ter um wrapper de syslog para que esta função JavaScript funcione corretamente.
        Windows EventLog transmitido com Filebeat Script usado para mapeamento Windows Logs de eventos transmitidos com Filebeat. Mapeia e agrupa os vários Windows serviços para tipos de origem, componentes e instâncias de serviço (aqui chamados de serviços de aplicações).
        Windows- Winlogbeat logs transmitidos com Winlogbeat Script usado para mapeamento Windows Logs de eventos transmitidos com Winlogbeat. Mapeia os vários Windows serviços para os tipos de origem, componentes e instâncias de serviço corretos (aqui chamados de serviços de aplicações).
        A função JavaScript para mapear dados brutos de log usa os seguintes objetos:
        • Mapa de função (amostra, metadados)
          Objeto Descrição
          amostra A amostra de log atual após o pré-processamento.
          metadados Objeto que contém:
          • Fluxo de eventos: Acesso via: <metadata value>. Por exemplo: Metadata.eventStream.Origin
          • Cabeçalho de transformação 1: Acesso via: <metadata value>. Por exemplo: metadata.headers.i1.type
          • Cabeçalho de transformação 2: Acesso via: <metadata value>. Por exemplo: Metadata.headers.i2.type
          • Cabeçalho de transformação 3: Acesso via: <metadata value>. Por exemplo: metadados.cabeçalhos.i3.tipo
          • Atribuição de fallback: Acesso via: <metadata value>. Por exemplo: Metadata.fallBacks.host
          Nota:
          Você pode criar e associar vários serviços por tipo de origem.
        • Tipo e estrutura de retorno
          Nota:
          A função JavaScript retorna um mapa de duas entradas. Não mude esta estrutura de retorno.
          Objeto Descrição
          ApplicationService O serviço de aplicações existente (ou seja, a instância de serviço) ao qual esta amostra será atribuída.
          Nota:
          A instância de serviço deve ser vinculada a alertas de anomalia relacionados ao log.
          componente O componente ao qual esta amostra será atribuída.
          sourceType O tipo de origem ao qual esta amostra será atribuída.
        • Para descartar uma mensagem de log, chame soltar() .
      2. Teste a função JavaScript selecionando Teste .

        Testar a função JavaScript permite exibir o resultado do script na amostra de log. Para obter uma descrição dos campos exibidos, consulte Campos de resultado de teste da função JavaScript.

        Nota:
        Se sua nova função JavaScript não estiver se comportando conforme o esperado, você poderá reverter para a última função publicada selecionando Reverter função JS link relacionado.
      3. Opcional: Faça os ajustes necessários e teste a função JavaScript novamente.
      4. Opcional: Compare o resultado de vários testes.
        Comparar os resultados de testes de várias versões da função JavaScript pode ajudar a refinar o script até que ele atinja o resultado desejado.
    8. Ao finalizar a função JavaScript, selecione Salvar modelo para salvá-lo.
      Você pode salvar a função JavaScript como um novo modelo ou substituir o modelo selecionado no momento.
      • Para salvar a função JavaScript como um novo modelo, insira um novo nome em Nome do modelo campo.
      • Para substituir o modelo selecionado no momento em Modelos de função JS saia do Nome do modelo campo vazio.
    9. Selecione Publicar Para salvar a função JavaScript no banco de dados.

    Resultado

    Quando a função JavaScript é publicada, Análise de logs de integridade o usa-o para mapear fontes de entrada de dados.

    O novo script é adicionado automaticamente à lista de modelos de função JS dos quais você pode escolher. Este recurso é compatível com Análise de logs de integridade Versão 20.0.11 - julho de 2021, disponível em ServiceNow Store .

    (Somente entradas de dados do ACC) Análise de logs de integridade Fornece a função JavaScript publicada para todas as entradas de dados ACC existentes e futuras. A nova função JavaScript substitui o script anterior.

    O que Fazer Depois

    • (Opcional) Edite seus dados brutos de log antes Análise de logs de integridade mapeia e estrutura isso. Se você quiser executar esta tarefa imediatamente, clique em Vá para Pré-processador link relacionado para prosseguir para Pré-processador de entrada de dados página.
    • (Opcional) Ajuste como o sistema lê seus dados de log Refinando a estrutura do Tipo de origem . Esta etapa permite reclassificar as propriedades classificadas automaticamente e mudar os rótulos mapeados automaticamente.