Splunk 에 대한 TCP 통합 설정상태 로그 분석

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 3분

    • Heavy Forwarder를 사용하여 Splunk TCP 전송 프로토콜을 통해 인스턴스에 로그 메시지를 스트리밍하도록 ServiceNow 통합을 설정합니다. 상태 로그 분석 수집된 로그 데이터를 처리합니다.

    시작하기 전에

    • 로그 수집 기능이 활성화된 상태로 MID 서버 설치 및 구성되어 있는지 확인합니다. 자세한 내용은 MID Server system requirements 문서를 참조하십시오.

      로그 수집 기능이 활성화된 MID 서버 구성입니다.

      중요사항:
      상태 로그 분석는 IPv6를 지원하지 않습니다. 애플리케이션을 사용하려면 MID 서버를 IPv4로 구성합니다.
    • MID 서버 IP 주소가 NAT(Network Address Translation), 부하 분산 장치 또는 유사한 디바이스를 MID 서버 통해 노출되는 경우 네트워크 외부에 있는 에이전트와 같은 Filebeat 외부 클라이언트가 연결할 수 있는 공용 IP 주소가 있어야 합니다. 개인 IP 주소는 인터넷을 통해 라우팅할 수 없으므로 공용 IP가 없으면 이러한 외부 클라이언트는 해당 주소로 구성된 경우에도 연결할 MID 서버 수 없습니다. MID 서버 속성에서 공용 IP 주소가 있는 mid.public_ip 속성을 값으로 추가합니다. 자세한 내용은 MID 서버 속성 만들기를 참조하십시오.
      주:
      MID 서버 및 외부 클라이언트가 동일한 네트워크에 있는 경우 공용 IP가 필요하지 않으며 개인 IP 주소를 사용하여 연결을 설정할 수 있습니다.
    • SSL TLS를 사용하여 암호화된 로그를 배송하려면 지식베이스에서 Now SupportSSL을 사용하여 Rsyslog 및 Filebeat로 데이터 스트리밍 [KB0866319] 문서를 참조하십시오.
    • 기본 MID 서버 인증을 지원해야 합니다.
      주:
      mTLS는 로그 수집에 지원되지 않습니다.
    • 기본 최대 통합인 10개 이하의 통합이 로그를 단일 MID 서버. sn.occ.log_ingestion.max_datainputs_per_mid 속성을 에 MID 서버 추가한 다음 기본값을 변경하여 최대 수를 수정할 수 있습니다.

      동일한 MID 서버로 로그를 스트리밍하는 데이터 입력 수를 확인하려면 스트리밍 소스 테이블로 이동하여 특정 MID 서버.

    필요한 역할: evt_mgmt_admin

    프로시저

    1. 다음으로 이동 작업 공간 > 서비스 운영 작업 공간.
    2. 왼쪽 창에서 통합 시작 패드 아이콘을 선택합니다. 통합 시작 패드 아이콘.
    3. 통합 찾아보기 탭의 검색 필드에 Splunk를 입력합니다.
    4. TCP 통합 타일을 Splunk 선택합니다.
      주:
      모든 필수 조건을 충족하기 전에 통합 설정을 시작하면 메시지가 나타납니다. 설정을 취소하고 이전 요구 사항을 먼저 완료하거나, 초안 모드에서 계속 진행하여 나중에 완료할 수 있습니다. 모든 필수 조건이 충족될 때까지 통합을 활성화할 수 없습니다.
    5. 상세 정보 제공 양식의 필드에 내용을 입력합니다.
      필드에 대한 설명은 의 Splunk TCP 통합 구성 필드제공자 상세 정보 테이블을 참조하십시오.
    6. 옵션: 고급 설정을 선택하고 고급 구성 필드를 채웁니다.
      필드에 대한 설명은 의 고급 설정 테이블을 Splunk TCP 통합 구성 필드참조하십시오.
    7. 다음을 선택합니다.
    8. 설정 지침 화면의 절차에 따라 외부 공급업체 콘솔에 통합을 설치합니다.
      주:
      절차는 구성에 따라 다릅니다.
    9. 초안 저장을 선택합니다.
    10. 활성화를 선택하여 통합을 활성화합니다.
      주:
      시작하기 전에 섹션에 나열된 모든 필수 조건을 이행한 경우에만 구성된 통합을 활성화할 수 있습니다.
      통합이 활성화되고 개요 탭이 표시됩니다.
    11. 옵션: 초안 모드에서 통합을 설치한 경우 다음 단계를 수행하여 활성화합니다.
      1. 통합 필수 조건을 완료합니다.
      2. 통합 Launchpad 설치된 통합 탭의 작업 대기 아래에서 통합을 찾아 선택합니다.
      3. 설정 지침 탭에서 활성화를 선택하여 통합을 활성화합니다.

    결과

    로그 데이터가 인스턴스로 스트리밍되기 ServiceNow 시작합니다. 통합에 대한 타일은 의 설치된 통합 탭에서 사용할 수 있습니다 통합 Launchpad.

    다음에 수행할 작업

    개요 탭의 정보를 활용하여 로그 데이터를 읽는 방법을 HLA 구체화합니다. 자세한 내용은 에서 로그 스트리밍 데이터를 검토하고 통합 설정을 조정합니다. 상태 로그 분석 문서를 참조하십시오.
    팁:
    추가 옵션 메뉴()를 사용하여 통합의 컨텍스트가 포함된 데이터 입력 매핑, 소스 유형 구조 또는 로그 소스 페이지를 엽니다. 로그 데이터가 제대로 매핑, 구조화 또는 소싱되지 않은 경우 뒤로 돌아가 구성을 조정합니다. 서비스 운영 작업 공간 로그 분석 애플리케이션이 설치된 경우 추가 옵션 메뉴를 통해 통합에 의해 수집된 원시 로그 메시지를 검토할 수 있는 로그 뷰어에 직접 액세스할 수도 있습니다.
    자세한 내용은 다음을 참조하십시오.