Definir configurações avançadas para Rsyslog, Splunk Ou entradas de dados TCP em Análise de logs de integridade manualmente

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Defina configurações avançadas para entradas de dados que usam Rsyslog, Splunk Ou agentes TCP.

    Antes de Iniciar

    Função necessária: evt_mgmt_admin

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode definir parâmetros do sistema para ler dados de log que determinam as ações que o sistema executa nos dados de log que chegam ao MID Server. Por exemplo, você pode definir o fuso horário a ser usado se um log não tiver um carimbo de data/hora. Se nenhuma configuração avançada estiver definida, o sistema usará os valores padrão.

    Para obter informações sobre como mudar as configurações que foram configuradas quando a entrada de dados foi criada, como adicionar um novo caminho ou alterar a entrada de dados MID Server destino ou porta, consulte Modifique uma configuração de entrada de dados em Análise de logs de integridade.

    Procedimento

    1. Navegar até Tudo > Análise de logs de integridade > Entrada de dados > Entradas de dados.
    2. Abra um Rsyslog, Splunk Ou registro de entrada de dados TCP da tabela Entradas de dados.
      A configuração de entrada de dados é exibida.
      Nota:
      O número de origens de log que a entrada de dados criou é mostrado em Contagem de origens campo. Para obter mais informações sobre fontes de entrada de dados, consulte Mapeamento automático de dados e mapeamento em log em Análise de logs de integridade.
      Nota:
      . HLA o mecanismo está inativo e o fluxo de dados parou, uma notificação é exibida na parte superior da página de configuração da entrada de dados. Quando isso acontecer, entre em contato ServiceNow suporte.
    3. Selecione Avançado .
    4. No formulário, preencha os campos.
      Para obter uma descrição dos campos, consulte Rsyslog, Filebeat ou Winlogbeat campos de configuração de entrada de dados.
    5. Opcional: Na lista relacionada Origens de streaming, verifique se esta entrada de dados é dados de log de streaming de todos os dispositivos de endpoint relevantes.
      Para obter mais informações sobre fontes de streaming, consulte Identificar e resolver um problema de fluxo de log em Análise de logs de integridade.
    6. Selecione Save (Salvar).
      Análise de logs de integridade Adiciona o registro de entrada de dados à tabela Entradas de dados.
    7. Certifique-se de que a entrada de dados esteja configurada corretamente selecionando Conexão de teste .

      Análise de logs de integridade tenta conectar o. MID Server para o repositório de dados.

      • Se a conexão foi estabelecida, o. Conexão de teste e o botão está desativado e Publicar o botão está habilitado.
      • Se a conexão falhar, o motivo da falha será exibido no Mensagem de erro campo. Este campo é exibido somente quando ocorre um erro de fluxo.

        Resolva o problema, selecione Salvar se você modificou a configuração e selecione Conexão de teste para testar a conexão novamente.

        Nota:
        Você só pode publicar a configuração de entrada de dados quando a conexão é criada com sucesso.
      Nota:
      Você pode reverter para a última configuração publicada selecionando Reverter mudanças . Esta opção está disponível somente quando você está modificando uma configuração que foi publicada anteriormente.
    8. Selecione Publicar para publicar a entrada de dados no MID Server.