Microsoft Azure Log Analytics Champs de configuration de l’entrée de données

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 6 minutes de lecture

    • Description des champs sur le formulaire de configuration d’entrée Microsoft Azure Log Analytics de données.

    Configuration de base

    Champ Description
    Nom Nom de la nouvelle entrée de données Ce champ est obligatoire.
    Description Description de l'entrée de données.
    Exécuter sur Option permettant de déterminer s’il faut utiliser un MID Server spécifique ou une grappe de MID Servers.

    Cette fonctionnalité est prise en charge dans l’application Analyse de l'intégrité des journaux Version 26.0.17 de février 2023 et versions ultérieures, disponible dans le ServiceNow Store.
    MID

    (Uniquement lorsque le champ Exécuter sur est défini sur Serveur MID spécifique)

    Serveur MID vers lequel les données de journal de Microsoft Azure Log Analytics sont extraites.
    Remarque :
    • Vous pouvez sélectionner uniquement des Serveurs MID qui prennent en charge l'authentification de base. Les Serveurs MID qui prennent en charge mTLS ne sont pas répertoriés.
    • Le nombre maximal par défaut d'entrées de données qui diffusent des journaux vers une seul Serveur MID est de 10. Vous pouvez modifier ce nombre dans les propriétés du MID Server.
    • Si l’ingestion de journal n’est pas activée pour l’élément sélectionné Serveur MID, Analyse de l'intégrité des journaux il l’active automatiquement.
    Ce champ est obligatoire.
    Grappe de MID Server

    (Uniquement lorsque le champ Exécuter sur est défini sur Grappe de MID Servers spécifique)

    Grappe de MID Servers vers laquelle les données de journal sont extraites.

    L’entrée de données s’exécute sur un seul MID Server de la grappe jusqu’à ce que ce MID Server tombe en panne. Le système déplace ensuite toutes les tâches d’entrée de données vers le MID Server disponible suivant dans le cluster en fonction de l’ordre configuré.

    Cette fonctionnalité est prise en charge dans l’application Analyse de l'intégrité des journaux Version 26.0.17 de février 2023 et versions ultérieures, disponible dans le ServiceNow Store.

    Remarque :
    • Health Log Analytics prend uniquement en charge les clusters de MID Server de basculement. Dans ces clusters, plusieurs MID Servers sont regroupés pour la protection contre le basculement. Lors de la sélection d’une grappe à partir du formulaire d’entrée de données, la liste des grappes de MID Server affiche uniquement les grappes de basculement.
    • La grappe de MID Servers doit inclure uniquement les MID Servers qui prennent en charge l’authentification de base. mTLS n’est pas pris en charge pour l’ingestion de journaux.
    • L’ingestion de journal doit être activée pour chaque MID Server de la grappe. Si l’ingestion de journaux n’est pas activée pour le MID Server actif, Health Log Analytics l’active automatiquement.
    • Le nombre maximal par défaut d’entrées de données qui diffusent des journaux vers un seul MID Server est de 10. Une grappe réussit la validation de capacité si elle contient au moins un MID Server sur lequel s’exécutent moins de 10 entrées de données, même lorsque ce MID Server est en panne.
    Pour plus d’informations sur les grappes de MID Servers, consultez Configurer une grappe de MID Servers.

    Ce champ est obligatoire.
    Service d'application Service d'application auquel lier les données de journal.
    Remarque :
    S’il n’existe aucun service d’application pertinent, Créer un service d'application et y ajouter des CI. Définissez l'état du nouveau service d'application sur Opérationnel.
    Ce champ est obligatoire.
    Les champs suivants affichent des informations en lecture seule :
    Champ Description
    États État de l'entrée de données.
    Transport Protocole utilisé pour diffuser les données de journal.

    L'entrée de données utilise Microsoft Azure Log Analytics pour diffuser les données de journal vers votre instance.
    Désactivé depuis Heure à laquelle l'entrée de données s'est arrêtée ou a échoué.
    Nombre de sources nombre de sources de journal créées par cette entrée de données.
    Heure du dernier journal Heure à laquelle le dernier journal a été diffusé à l'entrée de données.
    Message d'erreur Erreur de diffusion en continu.

    Ce champ est automatiquement renseigné. Il s’affiche uniquement lorsqu’une erreur de diffusion s’est produite.
    Tableau 1. Onglet Paramètres de la requête

    Analyse de l'intégrité des journaux utilise les valeurs définies dans ces champs pour générer la requête de réception des données de journal de Microsoft Azure Analyse du journal. Le champ Requête de journal vous permet de configurer une requête personnalisée
    Champ Description Exemple
    De Dates et heures de début de lecture des données. Les données antérieures à cette date et heure ne sont pas lues.
    Remarque :
    La définition de cette valeur sur une date antérieure peut nécessiter que le système lise de grandes quantités de données, provoquant ainsi une congestion.

    Ce champ est obligatoire.

    		 Maintenant -1 semaine
    Nom de la source de données Nom de la table dans Microsoft Azure Log Analytics laquelle l’entrée de données extrait les données du journal. Pour plus d’informations, consultez la section Afficher les informations sur la table dans la documentation Microsoft Azure.

    Ce champ est obligatoire.

    		 Journal conteneur
    Nom de propriété de l'heure de l'événement Champ Microsoft Azure Log Analytics dans lequel détecter l'heure de l'événement.

    Ce champ est obligatoire.

    		 TimeGenerated
    Nombre maximum de documents par requête Nombre le plus élevé de lignes récupérées dans chaque requête. 500
    Colonnes à sélectionner Liste de noms de colonnes séparés par des virgules à renvoyer.
    Remarque :
    Ce champ est ignoré lorsque vous fournissez une requête personnalisée.
    		 LogEntry,LogEntrySource
    Requête de journal Requête personnalisée pour la réception de données de journal à partir de Microsoft Azure Analyse du journal.

    Les paramètres de ce champ remplacent ceux de tous les autres champs de l’onglet Paramètres de la requête , à l’exception du champ De . Si le champ Requête de journal est vide, Analyse de l'intégrité des journaux génère la requête à l’aide des valeurs définies dans les autres champs.

    Pour la requête personnalisée, utilisez le format JSON suivant :

    {"query » : « query | where TimeGenerated > %s | take 500"}

    		 
    {
"query":"ContainerLog
                    | where LogEntry contains 'cartservice'
                    | where TimeGenerated > %s
                    | take 500",
"workspaces": ["defaultworkspace-3ab145ff-f9cd-433f-8533-d1b1ee24aee6-eus"],
"project": ["TimeGenerated", "LogEntry", "LogEntrySource"]
}
    Tableau 2. Onglet Transport
    Champ Description
    URL de redirection URL de redirection de l’application de journal d’accès.

    L’URL fait référence à la propriété d’autorisation Microsoft Azure redirect_uri. Pour plus d’informations, consultez la section URL du code d’autorisation (demande GET) de la documentation Microsoft Azure.

    Ce champ est obligatoire.
    Informations d'identification principales du service Azure Informations d'identification utilisées pour accéder aux ressources Microsoft Azure.

    Choisissez Secret client dans la liste déroulante.

    Remarque :
    Vous n'avez pas besoin des informations d'identification Azure Enterprise Agreement (EA).

    Ce champ est obligatoire.
    ID de l'espace de travail ID client utilisé pour appeler l'API REST Microsoft Azure Log Analytics.

    Configuration avancée

    Tableau 3. Formulaire Configuration avancée
    Champ Description Valeur par défaut
    Agents du processeur d'événements Nombre d'agents de traitement d'événements simultanés, où chaque agent traite un lot d'événements de manière indépendante. 4
    Taille de la file d'attente des agents Taille de la file d'attente des agents du processeur d'événements. 5
    Taux d'abandon du sous-exemple Nombre d'événements à mettre en lot ensemble, dont un sera ignoré. Ce paramètre est utilisé pour réduire le nombre d'événements récupérés. -1
    Taux de réception du sous-exemple Nombre d'événements à mettre en lot ensemble, dont tous, sauf un, seront ignorés. Ce paramètre est utilisé pour réduire le nombre d'événements reçus. -1
    Codage des caractères Codage des caractères pour cette entrée de données. UTF-8
    Intervalle de sommeil Intervalle, en secondes, à attendre avant d'interroger à nouveau après qu'une requête n'a renvoyé aucun événement. 60
    Intervalle d'interrogation Intervalle, en secondes, à attendre avant l'interrogation des nouveaux événements. 0
    Abandonner si la file d'attente est saturée Option permettant de sélectionner l'abandon des journaux s'il y a une charge sur le Serveur MID. Faux