Configurar entradas de dados para Análise de logs de integridade manualmente

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 4 min. de leitura

    • Eetupa suas entradas de dados para Análise de logs de integridade manualmente. A configuração de entrada de dados é uma etapa essencial na configuração da aplicação Análise de logs de integridade.

    Antes de Iniciar

    Nota:
    Considere usar a configuração assistida de entrada de dados Análise de logs de integridade, que garante que você tenha a configuração mínima necessária para o processo de entrada de dados. Para obter mais informações, consulte Configurar entradas de dados usando a configuração assistida Análise de logs de integridade.
    Importante:
    Análise de logs de integridade não é compatível com IPv6. Para trabalhar com a aplicação, configure o MID Server para IPv4.
    • Certifique-se de que um MID Server esteja instalado e configurado com a capacidade de ingestão de log habilitada.

      Configuração do MID Server com capacidade de ingestão de log habilitada.

    • Se o endereço IP MID Server for exposto pela conversão de endereço de rede (NAT), um balanceador de carga ou um dispositivo semelhante, ele deverá ter um endereço IP público. Nas propriedades MID Server, adicione uma propriedade chamada mid.public_ip com o endereço IP público como o valor. Para obter mais informações, consulte Criar uma propriedade do MID Server.
    • Para obter informações sobre como enviar seus logs criptografados usando SSL TLS, consulte o artigo Streaming de dados com Rsyslog e Filebeat usando SSL [KB0866319] na Base de conhecimento Now Support.

    Função necessária: evt_mgmt_admin. Para a entrada de dados do Syslog do Glide: admin.

    Procedimento

    1. Configure uma entrada de dados executando o procedimento na documentação relevante do produto.
      Tabela 1. Entradas de dados
      Entrada de dados Descrição
      Rsyslog ou Beats A entrada de dados transmite dados de log para sua instância usando Rsyslog ou Beats.
      Splunk A entrada de dados transmite dados de log para sua instância usando Splunk.
      Elasticsearch A entrada de dados extrai dados de log de índices Elasticsearch para sua instância.
      TCP A entrada de dados envia mensagens de log brutas para sua instância diretamente sobre um soquete TCP/SSL.
      UDP A entrada de dados transmite mensagens de log brutas para sua instância ServiceNow diretamente sobre um soquete UDP.
      GCP Pub/Sub A entrada de dados recebe mensagens de log que são publicadas em um tópico Google Cloud do Pub/Sub e as transmite para sua instância ServiceNow.
      MID Server A entrada de dados coleta MID Server arquivos de log e os transmite para sua instância.
      Amazon CloudWatch A entrada de dados transmite dados de log de Amazon CloudWatch para sua instância ServiceNow.
      Amazon S3 A entrada de dados transmite dados de log de buckets Amazon S3 (Serviço de armazenamento simples) para sua instância ServiceNow.
      Análise de logs do Microsoft Azure A entrada de dados transmite dados de log de Análise de logs do Microsoft Azure para sua instância ServiceNow.
      Event Hubs do Microsoft Azure A entrada de dados transmite eventos de Event Hubs do Microsoft Azure para sua instância ServiceNow.
      Apache Kafka A entrada de dados transmite dados de log de Apache Kafka para sua instância ServiceNow.
      REST API A entrada de dados transmite dados de log para sua instância ServiceNow no formato JSON.
      Syslog do Glide A entrada de dados transmite dados de log da tabela Log do sistema (Glide Syslog) para o Análise de logs de integridade Mecanismo de IA (Occultus).
      Nota:
      Somente uma única entrada de dados do Syslog do Glide pode existir no sistema e somente usuários com a função de administrador podem criá-la e configurá-la. Esta entrada de dados não é executada em um MID Server.
      Agent Client Collector A entrada de dados transmite mensagens de log para sua instância ServiceNow usando o ServiceNow Agent Client Collector.

      Esta entrada de dados é compatível para uso com a aplicação Agent Client Collector Análise de log, disponível na ServiceNow Store.
      Nota:
      Selecionar Testar conexão no final do procedimento garante que a entrada de dados seja configurada corretamente. Você só pode publicar uma configuração de entrada de dados quando a conexão entre MID Server e o repositório de dados tiver sido estabelecida.
    2. Identifique e resolva problemas de fluxo para garantir que a entrada de dados esteja transmitindo dados de log para o MID Server de todas as origens.
      Para obter mais informações, consulte Identificar e resolver problemas de streaming de log.
    3. Determine como Análise de logs de integridade lida com dados de log brutos que estão sendo transmitidos para sua instância.
      Por padrão, cada linha de log de entrada é mapeada automaticamente para o marcador correto. Se as propriedades não forem descobertas automaticamente, mapeie as origens de entrada de dados manualmente definindo uma função JavaScript. Para obter mais informações, consulte Mapear os dados brutos.
    4. Opcional: Modifique os dados de log brutos antes que Análise de logs de integridade os mapeie e estruture.
      Para obter mais informações, consulte Editar seus dados de log brutos antes de processar.
    5. Opcional: Refine a estrutura do tipo de origem para garantir que Análise de logs de integridade extraia e classifique todas as propriedades corretamente.
      Para obter mais informações, consulte Refinar a estrutura do tipo de origem.