Configure um Splunk Integração de pesquisa para Análise de logs de integridade

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura

    • Configure uma integração que extrai periodicamente dados de log do Splunk para seu ServiceNow instância para processamento por Análise de logs de integridade.

    Antes de Iniciar

    • Verifique se um MID Server Está instalado e configurado com o recurso de ingestão de log habilitado. Para obter mais informações, consulte MID Server system requirements.

      Configuração DO MID Server com o recurso de ingestão de log habilitado.

      Importante:
      Análise de logs de integridade Não é compatível com IPv6. Para trabalhar com a aplicação, configure o. MID Server Para IPv4.
    • . MID Server O endereço IP é exposto por meio da conversão de endereços de rede (NAT), de um balanceador de carga ou de um dispositivo semelhante, o. MID Server Deve ter um endereço IP público para ser acessado por clientes externos, como Filebeat agentes, localizados fora de sua rede. Endereços IP privados não são roteáveis pela Internet, portanto, sem um IP público, esses clientes externos não podem se conectar ao MID Server mesmo se eles estiverem configurados com seu endereço. Em MID Server, adicione uma propriedade chamada mid.public_ipCom o endereço IP público como o valor. Para obter mais informações, consulte Crie uma propriedade do MID Server .
      Nota:
      . MID Server E os clientes externos estão na mesma rede, um IP público não é necessário e as conexões podem ser feitas usando o endereço IP privado.
    • Para enviar seus logs criptografados usando SSL TLS, consulte Streaming de dados com rsyslog e Filebeat usando SSL [KB0866319] artigo no Now Support Base de conhecimento.
    • . MID Server deve oferecer suporte à autenticação básica.
      Nota:
      MTLS não é compatível com ingestão de log.
    • Não mais do que o máximo padrão de 10 integrações transmitirá logs para uma única MID Server. Você pode modificar o número máximo adicionando a propriedade sn.occ.log_ingestion.max_datainputs_per_mid para MID Server e, em seguida, mudar o valor padrão.

      Para descobrir quantas entradas de dados estão transmitindo logs para o mesmo MID Server, navegue até Fontes de streaming e contar as entradas de dados que são transmitidas para um específico MID Server.

    • Considere se os dados de log devem ser extraídos para um único MID Server ou para um MID Server cluster.

      Em MID Server clusters, vários MID Servers são agrupados para proteção de failover. A integração ativa é executada em um único MID Server no cluster. Se for isso MID Server falha, o sistema move suas tarefas para as próximas disponíveis MID Server no cluster em uma ordem configurada.

      Se você quiser usar um MID Server cluster, verifique o seguinte:

      • . MID Server inclusões de cluster somente MID Servers que oferecem suporte à autenticação básica.
      • A ingestão de log está habilitada para cada MID Server no cluster.
        Nota:
        Se a ingestão de log não estiver habilitada para o ativo MID Server, Análise de logs de integridade habilita automaticamente.
      • Não mais do que o máximo padrão de 10 integrações transmitirá logs para uma única MID Server.

        Um cluster passa na validação de capacidade se contiver pelo menos um MID Server com menos de 10 integrações em execução, mesmo quando isso é feito MID Server está inativo.

    Função necessária: evt_mgmt_admin

    Procedimento

    1. Navegar até Espaços > Espaço de operações de serviços.
    2. No painel esquerdo, selecione o ícone do Launchpad de integrações: Ícone do Launchpad de integração.
    3. Em Procurar integrações , insira Splunk Poller no campo de pesquisa.
    4. Selecione Splunk Bloco de integração de pesquisa.
      Nota:
      Se você iniciar uma configuração de integração antes de atender a todos os pré-requisitos, uma mensagem será exibida. Você pode cancelar a configuração e concluir os requisitos anteriores primeiro ou continuar no modo de rascunho e concluí-los mais tarde. Observe que você não pode ativar a integração até que todos os pré-requisitos sejam atendidos.
    5. Em Forneça detalhes preencha os campos.
      Para obter uma descrição dos campos, consulte Forneça detalhes tabela em Splunk Campos de configuração de integração do Poller.
    6. Selecione Avançar.
    7. Em Definir método de recuperação de dados preencha os campos.
      Para obter uma descrição dos campos, consulte Definir método de recuperação de dados tabela em Splunk Campos de configuração de integração do Poller.
    8. Selecione Configurações avançadas e preencha os campos de configuração avançada.
      Para obter uma descrição dos campos, consulte Splunk Campos de configuração de integração do Poller.
    9. Siga um destes procedimentos:
      • Se você concluiu todos os pré-requisitos antes de iniciar a configuração, selecione Ativar .

        Na tela pop-up, selecione Teste e salve para salvar a integração no banco de dados e testar a conectividade. Se um erro for retornado, ajuste a configuração conforme sugerido na mensagem de erro e tente ativar a integração novamente.

        Quando o teste é bem-sucedido, a integração é ativada e o. Visão geral é exibida. Em Integrations Launchpad, o bloco de integração está disponível no Integrações instaladas guia.

      • Se você não concluiu todos os requisitos anteriores, selecione Salvar rascunho .

        O sistema salva a integração como rascunho no Integrations Launchpad Integrações instaladas , em Aguardando sua ação . Você pode concluir os pré-requisitos e ativar a instalação mais tarde. Para obter mais informações, consulte O que fazer em seguida seção.

    O que Fazer Depois

    Aproveite as informações no Visão geral para refinar como HLA lê os dados do log. Para obter mais informações, consulte Revise os dados de streaming de log e ajuste as configurações de integração em Análise de logs de integridade.
    Dica:
    Use o menu Mais opções ( ) para abrir o. Mapeamento de entrada de dados , Estruturas de tipo de origem ou Origens de log páginas com contexto da integração. Se os dados de log não estiverem mapeados, estruturados ou originados corretamente, volte e ajuste a configuração. . Espaço de operações de serviços Análise de logs A aplicação está instalada, o menu Mais opções também fornece acesso direto ao Visualizador de logs , onde você pode revisar mensagens de log brutas ingeridas pela integração.
    Para obter mais informações, consulte:
    Se você salvou a integração como rascunho, execute estas etapas para ativá-la mais tarde:
    1. Preencha todos os requisitos anteriores.
    2. Em Integrations Launchpad Integrações instaladas , em Aguardando sua ação , localize e selecione o bloco de integração.
    3. Na tela de configuração, selecione Ativar .

      Selecione Teste e salve para salvar a integração no banco de dados e testar a conectividade. Se um erro for retornado, ajuste a configuração conforme sugerido na mensagem de erro e tente ativar a integração novamente.

      Quando o teste é bem-sucedido, a integração é ativada e o. Visão geral é exibida. O bloco de integração está disponível no Integrações instaladas no Integrations Launchpad.