Configure uma entrada de dados Cribl no Análise de logs de integridade manualmente

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Configure uma entrada de dados Cribl dedicada para habilitar Análise de logs de integridade Para processar mensagens de log de Cribl que são transmitidas para seu ServiceNow instância.

    Antes de Iniciar

    • Verifique se um MID Server Está instalado e configurado com o recurso de ingestão de log habilitado. Para obter mais informações, consulte MID Server system requirements.

      Configuração DO MID Server com o recurso de ingestão de log habilitado.

      Importante:
      Análise de logs de integridade Não é compatível com IPv6. Para trabalhar com a aplicação, configure o. MID Server Para IPv4.
    • . MID Server O endereço IP é exposto por meio da conversão de endereços de rede (NAT), de um balanceador de carga ou de um dispositivo semelhante, o. MID Server Deve ter um endereço IP público para ser acessado por clientes externos, como Filebeat agentes, localizados fora de sua rede. Endereços IP privados não são roteáveis pela Internet, portanto, sem um IP público, esses clientes externos não podem se conectar ao MID Server mesmo se eles estiverem configurados com seu endereço. Em MID Server, adicione uma propriedade chamada mid.public_ipCom o endereço IP público como o valor. Para obter mais informações, consulte Crie uma propriedade do MID Server .
      Nota:
      . MID Server E os clientes externos estão na mesma rede, um IP público não é necessário e as conexões podem ser feitas usando o endereço IP privado.

    Função necessária: evt_mgmt_admin

    Por Que e Quando Desempenhar Esta Tarefa

    Se sua organização usa Cribl para filtrar e rotear grandes volumes de dados de log de várias fontes, o formato de log Análise de logs de integridade recebe é diferente de outros tipos. A entrada de dados Cribl habilita HLA para detectar e separar cabeçalhos de transporte de mensagens de log internas neste formato, encaminhando somente a mensagem interna para a estrutura de tipo de origem para processamento.

    Procedimento

    1. Navegar até Tudo > Análise de logs de integridade > Entrada de dados > Entradas de dados.
    2. Na página Entradas de dados, selecione Novo .
    3. Escolha a entrada de dados Cribl.
    4. Em Introdução preencha os campos do formulário e selecione Próximo .
      Para obter uma descrição dos campos, consulte Cribl campos de configuração de entrada de dados.
    5. Em Configuração preencha os campos do formulário e selecione Próximo .
      Para obter uma descrição dos campos, consulte Cribl campos de configuração de entrada de dados.
    6. Em Processo , selecione a rota necessária e, em seguida, selecione Próximo .
      Para obter mais informações, consulte Cribl campos de configuração de entrada de dados.
      Nota:
      Para solucionar problemas relacionados a esta etapa, consulte Cribl - Configuração da entrada de dados Cribl | Solução de problemas de configuração e ingestão de dados [KB0558611] artigo na Base de conhecimento do Now Support.
      . Concluir a guia é aberta.
    7. Na instância Cribl, verifique se a configuração da entrada de dados está correta.
      Você pode usar os comandos Cribl exibidos no Concluir conforme necessário.
    8. Quando a configuração estiver correta, retorne à configuração de entrada de dados Concluir e selecione Publicar para publicar a entrada de dados.

    Resultado

    O processo de configuração de entrada de dados está concluído. A entrada de dados começa a transmitir dados de log para seu ServiceNow instância.

    Para resolver problemas relacionados à ingestão de dados de log do Cribl, consulte Cribl - Configuração da entrada de dados Cribl | Solução de problemas de configuração e ingestão de dados [KB0558611] artigo no Now Support Base de conhecimento.

    O que Fazer Depois

    Certifique-se de que a entrada de dados seja dados de streaming.