Elasticsearch 통합 구성 필드

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 7분

    • 에 대한 상태 로그 분석통합 구성 양식의 필드에 대한 설명입니다Elasticsearch.

    표 1. 제공자 상세 정보
    필드 설명
    통합 이름 이 통합의 고유 이름입니다. 예: 내 Elasticsearch 통합. 이 필드는 필수입니다.
    주:
    이 필드를 채우면 양식에 표시된 일반 이름이 입력된 이름과 일치하도록 자동으로 조정됩니다.
    다음에서 실행 특정 MID 서버 클러스터를 사용할지 또는 특정 MID 서버 클러스터를 사용할지 여부를 결정하는 옵션입니다.
    MID 서버 이름

    ( 다음에서 실행 이 특정 MID 서버으로 설정된 경우에만)

    Elasticsearch 인덱스에서 로그 데이터를 가져오는 MID 서버입니다. 이 필드는 필수입니다.
    MID 서버 클러스터

    ( 다음에서 실행 이 특정 MID 서버 클러스터)

    로그 데이터를 끌어오는 대상인 MID 서버 클러스터입니다. 이 필드는 필수입니다.

    클러스터를 선택하면 선택한 클러스터에 있는 항목 MID 서버 과 해당 상태가 표시됩니다.

    통합은 실패할 때까지 MID 서버 클러스터의 싱글 MID 서버 에서 실행됩니다. 그런 다음, 시스템은 구성된 순서에 따라 모든 통합 작업을 클러스터에서 사용 가능한 MID 서버 다음 작업으로 이전합니다.

    주:
    • 상태 로그 분석는 페일오버 MID 서버 클러스터만 지원합니다. 이러한 클러스터에서는 페일오버 보호를 위해 여러 개의 MID 서버가 함께 그룹화됩니다. 통합 양식 MID 서버 에서 클러스터를 선택할 때 클러스터 목록에는 페일오버 클러스터만 표시됩니다.
    • MID 서버 클러스터에는 기본 인증을 지원하는 MID 서버만 포함되어야 합니다. mTLS는 로그 수집에 지원되지 않습니다.
    • 클러스터의 MID 서버별로 로그 수집을 활성화해야 합니다. 활성 MID 서버에 대해 로그 수집이 활성화되지 않은 경우 상태 로그 분석가 로그 수집을 자동으로 활성화합니다.
    • Elasticsearch가 클라이언트 인증서 또는 CA 인증서 인증을 사용하는 경우 클러스터에 있는 모든 MID 서버에 적절한 인증서가 있어야 합니다.
    • 단일 MID 서버 통합에 로그를 스트리밍하는 최대 통합 수의 기본값은 10입니다. 클러스터에 10개 미만의 통합이 실행 중인 클러스터가 하나 이상 MID 서버 있는 경우 클러스터가 다운된 경우에도 MID 서버 용량 확인을 통과합니다.
    서비스 인스턴스 로그 데이터를 바인딩할 서비스 인스턴스입니다. 이 필드는 필수입니다.
    주:
    관련 서비스 인스턴스가 없는 경우 생성 서비스 인스턴스 을 클릭하고 CI를 추가합니다. 새 서비스 인스턴스의 상태를 운영으로 설정하십시오.
    데이터 소스 통합이 인스턴스로 ServiceNow 가져오는 로그 데이터의 소스: 탄력적. 이 필드는 읽기 전용입니다.
    설명 통합을 식별하는 데 도움이 되도록 통합에 대한 간략한 설명을 추가하는 옵션입니다.
    표 2. 데이터 검색 방법
    필드 설명
    서버 URL 클러스터에 액세스하는 데 사용되는 URL입니다. 이 필드는 필수입니다.
    인증 방법 통합을 Elasticsearch인증하는 데 사용되는 인증 방법입니다. 기본값은 없음입니다.
    인증 방법을 선택하면 해당 자격 증명 필드가 양식에 표시됩니다.
    주:
    관리자는 다음으로 이동하여 인증 방법을 만들 수 있습니다. 모두 > 상태 로그 분석 > 인증 방법 을 클릭하고 새로 만들기를 선택합니다.
    인덱스 접두사 데이터를 읽으려는 인덱스의 Elasticsearch 이름 앞에 접두사가 추가됩니다. 통합은 구성된 프리픽스와 일치하는 인덱스에서만 데이터를 읽어옵니다. 예: network-logs-*는 network-logs-2024.01.01과 같은 인덱스와 일치합니다. 이 필드는 필수입니다.

    이 설정은 관련 인덱스의 데이터만 수집하도록 HLA 합니다.

    예: only-read-these-indices-*
    문서 타임스탬프 필드 읽기 인덱스에 저장된 문서의 타임스탬프 필드입니다. 이 필드는 필수입니다.
    타임스탬프 필드 형식 문서의 타임스탬프 필드의 형식입니다.

    지정된 형식이 없으면 기본 Unix epoch 시간 형식(밀리초 단위)이 사용됩니다. 예: 1684168407(2023년 5월 15일 오후 4:33:27)
    용어 필터 필터링할 용어의 JSON 맵입니다.
    주:
    텍스트 필드에 용어 쿼리를 사용하지 않도록 하십시오. 대상 필드가 텍스트와 키워드 둘 다로 매핑된 경우 fieldname.keyword를 사용하여 키워드를 참조하십시오.

    예: {"severity": ["error", "warning"]}
    표 3. 고급 설정
    필드 설명
    경로당 최대 연결 수 노드당 열리는 최대 연결 수입니다.
    최대 스크롤 슬라이스 Elasticsearch에서 관련 인덱스로 구성된 샤드의 개수입니다.

    이 숫자는 각 폴링 요청에서 실행할 병렬 쿼리의 수를 Elastic에 알려줍니다.
    프록시 호스트 요청을 전송하는 HTTP 프록시의 호스트 이름입니다.
    프록시 포트 요청을 전송하는 HTTP 프록시의 포트 이름입니다.
    MID 인증서 정책 검사 사용 MID 인증서 정책 검사를 활성화하는 옵션입니다.

    SSL TLS를 사용하여 암호화된 로그를 배송하려면 이 옵션을 선택합니다. 그런 다음 다음으로 이동합니다. 모두 > MID 서버 > MID 보안 정책 을 클릭하고 MID 인증서 정책 검사를 테이블에 추가합니다. 자세한 내용은 MID 서버 인증서 검사 정책을 참조하십시오.
    클러스터 간 검색 사용 Elasticsearch 클러스터 간에 데이터를 검색하기 위한 옵션입니다.

    이 확인란을 선택하면 검색할 클러스터 필드가 표시됩니다.

    주:
    고급 구성 양식의 최소 권한 사용 확인란 및 현재 타임스탬프 읽기 지연(초) 필드의 설정은 여러 클러스터 간에 데이터가 수집되는 방식에 영향을 줍니다.
    검색할 클러스터 검색할 클러스터입니다 Elasticsearch . 이 필드는 클러스터 간 검색 사용 확인란이 선택된 경우에만 표시됩니다.
    다음 중 하나를 수행합니다.
    • 이 필드를 비워 두거나 '*'를 입력하여 Elasticsearch에 정의된 모든 원격 클러스터를 검색합니다.
    • 쉼표로 구분된 목록에서 검색할 클러스터를 지정합니다.
      주:
      로컬 클러스터도 검색하려면 시작 또는 끝 부분에 쉼표를 추가하거나 목록에 쉼표 두 개를 연속해서 추가합니다. 예: 'east,,west' 또는 ',east,west' 또는 '*,'
    최소 권한 사용 구성된 접두사가 있는 Elasticsearch 인덱스에서 직접 로그 데이터를 읽는 옵션입니다.
    • 이 옵션을 선택하면 통합이 구성된 접두사가 있는 인덱스에서 Elasticsearch 직접 로그 데이터를 읽습니다. 이 작업을 수행하려면 읽기 권한만 필요합니다.
      주:
      이 확인란을 선택하고 클러스터 간 검색을 사용하는 경우 모든 클러스터에서 데이터가 동시에 수집됩니다.
    • 옵션을 지우면 통합은 접두사가 있는 모든 인덱스를 가져오고 필터링한 후 필터링된 인덱스에서 로그 데이터를 읽습니다. 이 작업을 수행하려면 추가 권한이 필요합니다.
      주:
      클러스터 간 검색을 사용할 때 이 확인란을 선택 취소하면 클러스터에서 데이터를 수집하는 방식이 달라집니다. 자세한 내용은 Now Support 지식베이스의 상태 로그 분석에서 Elasticsearch 데이터 입력에 대한 클러스터 간 검색 활성화 및 사용 [KB1556079] 문서를 참조하십시오.

    통합을 사용하여 로그를 스트리밍하는 Elasticsearch 방법에 대한 자세한 내용은 지식베이스에서 Elasticsearch 데이터 입력을 사용하는 스트림 로그 - 고급 가이드 [KB1080162] 문서를 Now Support 참조하십시오.
    쿼리당 최대 문서 단일 쿼리에서 가져온 최대 문서 수.
    슬라이스 스크롤링 결정자 데이터를 슬라이싱하는 데 사용하는 값입니다. 각 데이터 슬라이스는 병렬로 스크롤됩니다. 기본값: _id
    검색 후 결정자 타임스탬프로 로그 항목을 정렬할 때 결정자로 사용할 문서당 고유 값입니다.
    검색 후 API 사용 슬라이스 스크롤링과 검색 후 API 사용 간을 전환하는 옵션입니다.
    주:
    기록 데이터를 읽을 때는 슬라이스 스크롤링 API를 사용하고, 실시간 데이터를 읽을 때는 검색 후 API를 사용하는 것이 좋습니다.
    인덱스 시간 서픽스 형식 [logstash-]YYYY.MM.DD 같은, 시간 기반 인덱스 이름을 사용할 때 쓰는 시간 서픽스 형식입니다.

    별칭을 사용하면 이 필드를 비워 두십시오.

    예: uuuu. MM.dd
    데이터 읽기 시간 제한(밀리초) Elasticsearch 클러스터 시간 제한을 요청하기 전에 적용되는 지속 시간(밀리초)입니다.
    인덱스 디스커버리 간격(초) 데이터를 읽어올 새 인덱스에 대한 간헐적인 MID 서버 클러스터 요청 Elasticsearch 사이의 시간(초)입니다.
    스크롤 컨텍스트 시간(밀리초) 스크롤 API를 사용하여 Elasticsearch의 데이터를 읽을 때 생성된 스크롤의 수명입니다. 자세한 내용은 Elasticsearch 스크롤 API 설명서를 참조하십시오.
    이벤트 프로세서 작업자 Elasticsearch에서 가져온 이벤트를 처리하기 위해 병렬로 사용하는 CPU 코어의 최대 개수입니다. 높게 설정할수록 데이터 입력 처리량이 증가하지만 CPU 사용량도 많아집니다.
    작업자 큐 크기 처리를 위해 큐에 넣을 최대 배치 수입니다. 높게 설정할수록 데이터 입력 처리량이 증가하지만 RAM 사용량도 많아집니다.
    기본 시간대 로그에서 시간대를 지정하지 않으면 시스템에서 사용할 이벤트의 시간대입니다.

    이러한 경우 기본적으로 GMT가 사용되지만 다른 시간대를 지정할 수 있습니다.
    하위 샘플 삭제 비율 함께 배치하는 이벤트의 개수로, 그 중 하나를 삭제하게 됩니다. 이 설정은 가져온 이벤트 수를 줄이는 데 사용됩니다.
    하위 샘플 수신 비율 함께 배치하는 이벤트의 개수로, 그 중 하나만 제외하고 모두 삭제하게 됩니다. 이 설정은 수신 이벤트 수를 줄이는 데 사용됩니다.
    문자 인코딩 이 데이터 입력에 대한 문자 인코딩입니다.
    대기 간격(초) 쿼리에서 데이터가 반환되지 않은 경우 다시 쿼리하기까지 대기하는 시간 간격(초)입니다.
    최대 길이(byte) 로그 메시지의 최대 길이(byte)입니다.
    현재 타임스탬프 읽기 지연(초) 지연된 데이터를 포함하도록 쿼리할 현재 시간 전의 시간(초)입니다. 구성된 시간(초)은 마지막 타임스탬프를 읽기 위해 현재 시간에서 차감됩니다.
    주:
    이 값이 0이고 여러 클러스터에서 동시에 데이터가 수집되는 경우 클러스터 중 하나에서 지연 후 전송된 데이터가 쿼리에 포함되지 않을 수 있습니다.
    폴링 간격 시스템에서 새 로그 데이터를 폴링하는 빈도입니다.