Análise de logs de integridade preferências de configuração

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • Configurações comumente usadas para propriedades Análise de logs de integridade e configuração geral.

    Configurações do MID Server

    • A capacidade de ingestão de log MID Server deve ser habilitada.
      Nota:
      A habilitação de Todos os recursos no MID Server inclui a habilitação da capacidade de ingestão de log.
    • Use dedicado MID Servers para ingestão de log sempre que possível.
    • Para habilitar MID Servers para executar vários produtos, Análise de logs de integridade deve ter pelo menos a configuração de memória da Java Virtual Machine (JVM) para o produto padrão para cada configuração de thread MID Server.
    As configurações [ MID Server preferenciais para Análise de logs de integridade são:
      • CPUs: 8
      • RAM: 32 GB
      • Largura de banda da rede: até 10 Gbps
      • Largura de banda do EBS: até 4.750 Mbps
      • Tamanho máximo de heap Java para MID Server: 8.192 MB
      Com as especificações acima, o rendimento de ingestão de log esperado em uma instância Washington DC é o seguinte:
      • Para uma mensagem de log de 300 bytes: 20.000
      • Para uma mensagem de log de 1,1 KB: 12.300
      • Para uma mensagem de log de 2 KB: 7.970
      Os requisitos mínimos para logs de streaming para Análise de logs de integridade são:
      • CPUs: 4
      • RAM: 16 GB
      • Tamanho de heap Java para MID Server: 8 GB

      Para obter informações gerais, consulte: Requisitos do sistema do MID Server.

    • Para aumentar o rendimento de ingestão de log, você pode aumentar o ulimit ou a largura de banda da rede ou diminuir o tamanho dos logs que estão sendo transmitidos. A configuração de ulimit pode ser definida em um MID Serverindividual. No entanto, a correlação entre o ulimit e o rendimento não pode ser modificada.

      A tabela a seguir lista as configurações de ulimit para arquivos abertos relacionados ao rendimento de rede no MID Server. Ele mostra o tamanho dos logs que estão sendo transmitidos de MID Server para o agente e a taxa de streaming gRPC equivalente ao rendimento.

      Tabela 1. Configurações de Ulimit em relação ao rendimento
      Tipo de fila Tamanho da linha de log taxa de gRPC
      Na fila da memória 300 bytes 18,000
      Na fila da memória 1.1 KB 13,000
      Na fila da memória 2 KB 10.000
      Fila baseada em disco 300 bytes 11,000
      Fila baseada em disco 1,1 KB 5.000
      Fila baseada em disco 2 KB 3.000

      A partir da versão de agosto de 2024, você pode aprimorar a MID Server comunicação com a instância da ServiceNow usando o cliente gRPC do Lightning, que pode aumentar as velocidades de streaming de log para Análise de logs de integridade em até seis vezes. O cliente gRPC do Lightning requer configuração manual para ser ativado. Para obter mais informações, consulte o artigo Cliente gRPC do Lightning - Habilitação da nova arquitetura de streaming gRPC do MID [KB1648419] na Base de conhecimento Now Support.

    • Por padrão, o número de entradas de dados por MID Server é limitado a 10. Você pode configurar esta limitação para um indivíduo MID Server ou para todos MID Servers.
    • Tanto no modo FIPS quanto no modo não FIPS, o MID Servers com a capacidade Análise de logs de integridade deve ser executado no Java Runtime Environment (JRE) 11 ou superior.

    Configurações de retenção de origem do log

    Por padrão, a retenção de log por origem é definida como três dias. Esta configuração não pode ser modificada.

    Ao usar Análise de logs de integridade aplicação, versão 22.0.12 - dezembro de 2021 e posterior, disponível na ServiceNow Store , você pode modificar a política de retenção de log por origem ou para várias origens ao mesmo tempo. Para obter mais informações, consulte Modificar o período de retenção da origem do log.