Mapper les données de journal brutes dans Analyse de l'intégrité des journaux

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 7 minutes de lecture

    • Le mappage des données de journal brutes qui sont diffusées dans votre instance détermine la façon dont les données sont traitées. Analyse de l'intégrité des journaux Structure automatiquement les journaux, crée des mesures pour la détection des anomalies et présente des alertes en fonction de la façon dont vos données sont balisées.

    Avant de commencer

    Pour obtenir une vue d’ensemble du mappage, reportez-vous à la section Mappage automatique et mappage des données de journal dans Analyse de l'intégrité des journaux.

    Rôle requis : evt_mgmt_admin

    Pourquoi et quand exécuter cette tâche

    Par défaut, Analyse de l'intégrité des journaux essaie de mapper automatiquement chaque ligne de journal entrante à la balise appropriée. Si les propriétés ne sont pas détectées automatiquement, mappez manuellement les sources d’entrée de données en définissant une fonction JavaScript.

    Dans la fonction JavaScript, vous devez uniquement mapper l’instance de service (ici appelée service d’application). Le mappage du composant et du type de source est facultatif : Analyse de l'intégrité des journaux tente d’extraire automatiquement leurs valeurs des données de journal. Si la tentative échoue, elle affecte les valeurs par défaut. Si vous mappez le composant mais pas le type de source ou vice versa, le système tente d’extraire la valeur manquante des données de journalisation. En cas d’échec, il affecte la valeur du composant au type de source ou vice versa, selon celui que vous avez mappé. Cette fonctionnalité est prise en charge dans l’application, version Analyse de l'intégrité des journaux 20.0.11 : juillet 2021, disponible depuis le ServiceNow Store.

    Remarque :

    (entrées de données ACC uniquement) Lorsque l’utilisateur Agent Client Collector bascule vers une autre Serveur MID entrée de données ACC pour assurer la protection contre le basculement, il doit passer à une autre entrée de données ACC. Par conséquent, toutes les entrées de données ACC doivent avoir la même fonction JavaScript. Analyse de l'intégrité des journaux fournit la dernière fonction JavaScript publiée à toutes les entrées de données ACC existantes et futures, en remplaçant le script précédent. Cette fonctionnalité est prise en charge dans l’application, version Analyse de l'intégrité des journaux 22.0.12 de décembre 2021 et ultérieures, disponible depuis le ServiceNow Store. Pour plus d’informations sur la protection contre le basculement dans Log Analytics (ACC-L), reportez-vous à Agent Client Collector la section Agent Client Collector Analyse de journaux.

    Remarque :
    Vous pouvez manipuler les données de journal brutes avant Analyse de l'intégrité des journaux de les mapper et de les structurer. Pour plus d’informations, consultez Modifier les données de journal brutes avant traitement.

    Procédure

    1. Accédez à la Tous > Analyse de l'intégrité des journaux > Mappage > Mappage d'entrée de données.
    2. Ouvrez un enregistrement.
      Remarque :
      La première fois que le formulaire Mappage d’entrée de données s’affiche, Analyse de l'intégrité des journaux les échantillons de journal sont extraits automatiquement. Au cours des sessions suivantes, récupérez de nouveaux échantillons en sélectionnant Actualiser les échantillons.
      Remarque :
      Si le moteur est en panne et que la HLA diffusion des données s’est arrêtée, une notification s’affiche en haut de la page Mappage d’entrée de données. Lorsque cela se produit, contactez l’assistance ServiceNow .
    3. Facultatif : Pour transférer le message du journal brut complet, désactivez la détection automatique des propriétés d’en-tête pour cette entrée de données en sélectionnant Désactiver la détection d’en-tête.
      Pour plus d'informations, consultez Détection des propriétés d’en-tête dans Analyse de l'intégrité des journaux.
    4. Facultatif : Activez le mode test en définissant la valeur Mode test sur ON.
      En mode Test, Analyse de l'intégrité des journaux ne crée pas les types de sources, les sources ou tout autre objet créé dans le flux standard pour éviter d’augmenter Elasticsearch le stockage avec des exemples de données. Pour plus d'informations, consultez Mappage automatique et mappage des données de journal dans Analyse de l'intégrité des journaux.
    5. Facultatif : Voyez comment la fonction JavaScript actuelle affecte les lignes de journal.
      1. Ajoutez un exemple de message dans le champ d’exemple du manuel de test .
      2. Sélectionnez Go.
      3. Notez comment la fonction JavaScript affecte les lignes du journal.
    6. Dans le champ Exemple d’entrée brute , choisissez un exemple de journal qui montrera l’effet de votre nouvelle fonction JavaScript sur les lignes de journal lorsque vous la testez.
    7. Facultatif : Activez cette option HLA pour identifier les instances de services et les composants à partir des champs de journal et leur mapper automatiquement les données de journal en sélectionnant Activer le mappage automatique à partir du champ de journal.
      Remarque :
    8. Définissez une fonction JavaScript qui mappe vos sources d’entrée de données à l’instance de service (ici appelée service d’application), au composant et au type de source appropriés.
      Remarque :
      (entrées de données ACC uniquement) Assurez-vous que votre fonction JavaScript peut être utilisée pour gérer les données diffusées par toutes les entrées de données ACC.
      1. Dans la console JavaScript, modifiez la fonction JavaScript fournie par défaut ou une fonction JavaScript personnalisée sélectionnée dans la liste déroulante Modèles de fonctions JS, ou définissez une nouvelle fonction JavaScript.
        Les modèles fournis peuvent servir de point de départ pour votre code de script personnalisé. Les modèles disponibles sont les suivants :
        • Script de mappage par défaut
        • Script de mappage du journal de nœud Glide
        • Script de mappage du journal système Glide
        • Linux Journaux du système d’exploitation diffusés avec Syslog
          Remarque :
          Les journaux doivent avoir une couche syslog pour que cette fonction JavaScript fonctionne correctement.
        • Script de mappage des journaux du serveur MID
        • Windows - Winlogbeat journaux diffusés avec Winlogbeat
        La fonction JavaScript de mappage des données de journal brutes utilise les objets suivants :
        • Signature : carte de fonction (échantillon, métadonnées)
          Objet Description
          Exemple Exemple de journal actuel après prétraitement.
          metadata Objet contenant :
          • Flux d’événements : Accès via : <valeur des métadonnées>. Par exemple : metadata.eventStream.origin
          • En-tête de transformation 1 : Accès via : <valeur des métadonnées>. Par exemple : metadata.headers.i1.type
          • En-tête de transformation 2 : Accès via : <valeur des métadonnées>. Par exemple : metadata.headers.i2.type
          • type En-tête de transformation 3 : Accès via : <valeur des métadonnées>. Par exemple : metadata.headers.i3.type
          • Affectation de secours : Accès via : <valeur des métadonnées>. Par exemple : metadata.fallBacks.host
          Remarque :
          Vous pouvez créer et associer plusieurs services par type de source.
        • Type et structure de retour
          Remarque :
          La fonction JavaScript renvoie une carte de deux entrées. Ne modifiez pas cette structure de retour.
          Objet Description
          service d’application Service d’application existant (c’est-à-dire l’instance de service) auquel cet échantillon sera affecté.
          Remarque :
          L’instance de service doit être liée aux alertes d’anomalie liées au journal.
          composant Composant auquel cet échantillon sera affecté.
          sourceType Type de source auquel cet échantillon sera affecté.
        • Pour ignorer un message du journal, appelez le retour drop().
      2. Testez la fonction JavaScript en sélectionnant Test.

        Le test de la fonction JavaScript vous permet d’afficher le résultat du script sur l’exemple de journal. Pour obtenir une description des champs affichés, reportez-vous à la section Champs de résultats des tests de fonction JavaScript.

        Remarque :
        Si votre nouvelle fonction JavaScript ne se comporte pas comme prévu, vous pouvez revenir à la dernière fonction publiée en sélectionnant le lien connexe Rétablir la fonction JS .
      3. Facultatif : Effectuez les ajustements nécessaires, puis testez à nouveau la fonction JavaScript.
      4. Facultatif : Comparez le résultat de plusieurs tests.
        La comparaison des résultats des tests de plusieurs versions de la fonction JavaScript peut vous aider à affiner le script jusqu’à ce qu’il atteigne le résultat souhaité.
    9. Lorsque vous avez finalisé la fonction JavaScript, sélectionnez Enregistrer le modèle pour l’enregistrer.
      Vous pouvez enregistrer la fonction JavaScript en tant que nouveau modèle ou remplacer le modèle actuellement sélectionné.
      • Pour enregistrer la fonction JavaScript en tant que nouveau modèle, saisissez un nouveau nom dans le champ Nom du modèle .
      • Pour remplacer le modèle actuellement sélectionné dans le champ Modèles de fonction JS , laissez le champ Nom du modèle vide.
    10. Sélectionnez Publier pour enregistrer la fonction JavaScript dans la base de données.

    Résultats

    Lorsque la fonction JavaScript est publiée, Analyse de l'intégrité des journaux l’utilise pour mapper les sources d’entrée de données.

    Le nouveau script est automatiquement ajouté à la liste des modèles de fonction JS parmi lesquels vous pouvez choisir. Cette fonctionnalité est prise en charge dans l’application, version Analyse de l'intégrité des journaux 20.0.11 : juillet 2021, disponible depuis le ServiceNow Store.

    (entrées de données ACC uniquement) Analyse de l'intégrité des journaux fournit la fonction JavaScript publiée à toutes les entrées de données ACC existantes et futures. La nouvelle fonction JavaScript remplace le script précédent.

    Que faire ensuite

    • (Facultatif) Modifiez vos données de journal brutes avant Analyse de l'intégrité des journaux de les mapper et de les structurer. Si vous souhaitez effectuer cette tâche immédiatement, cliquez sur le lien connexe Aller au préprocesseur pour passer à la page Prétraitement d’entrée de données .
    • (Facultatif) Affinez la façon dont le système lit vos données de journal en affinant la structure du type de source. Cette étape vous permet de reclasser les propriétés classées automatiquement et de modifier les étiquettes automatiquement mappées.