Agent Client Collector-Protokollrichtlinie erstellen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Erstellen Sie eine neue ACC-Protokollrichtlinie, wenn für das CI, das von Agent Client Collector überwacht werden soll, keine Standardrichtlinie vorhanden ist.

    Vorbereitungen

    • Die im ServiceNow Store verfügbare Anwendung Agent Client Collector Log Analytics (ACC-L) muss installiert sein. Weitere Informationen finden Sie unter Installation von Agent Client Collector.
    • Agent Client Collector wird mit dem standardmäßigen servicenow-Benutzer bereitgestellt. Vergewissern Sie sich, dass dieser Benutzer Lesezugriff hat, damit von Agent Client Collector alle konfigurierten Protokollpfade angezeigt werden können. Beispielsweise verfügt der Agent Client Collector servicenow-Benutzer, der zusammen mit dem Basissystem installiert wird, nicht über Berechtigungen zum Anzeigen des Pfads zu /var/log/ unter Linux und des Pfads zu C:\Windows\System32 unter Windows. Informationen zum Konfigurieren von Berechtigungen für den servicenow-Benutzer finden Sie in der Now Support-Knowledge Base im Artikel ACC-L Permission Denied issues [KB1117271] (Probleme verweigerter ACC-L-Berechtigungen).

    Erforderliche Rolle: agent_client_collector_admin

    Prozedur

    1. Navigieren zu Alle > ACC Log Analytics > ACC-Protokollrichtlinien.
      Auf der Seite Richtlinien werden alle Log Analytics-Richtlinien angezeigt. Eine Liste der Richtlinien, die mit dem Basissystem bereitgestellt werden, finden Sie unter Agent Client Collector Log Analytics Standardrichtlinien und -prüfungen.
    2. Klicken Sie auf Neu.
      Hinweis:
      Allgemeine Informationen zum Erstellen einer ACC-Richtlinie finden Sie unter Neue Agent Client Collector-Richtlinie erstellen.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Policy Definition“ (Richtliniendefinition)
      Feld Beschreibung
      Name Beschreibender Name für die Richtlinie
      Beschreibung Beschreibung der Richtlinie
      Veröffentlichungsstatus Hartcodiert als Draft (Entwurf), was bedeutet, dass die Richtlinie noch nicht veröffentlicht wurde. Dieses Feld können Sie nicht bearbeiten.
      Hierarchie Hartcodiert als Keine. Wenn der Richtlinie eine untergeordnete Richtlinie hinzugefügt wird, ändert sich der Wert in Übergeordnet. Untergeordnete Richtlinien haben den Wert Untergeordnetes Element.
    4. Verknüpfen Sie auf der Registerkarte Überprüfungen die Protokollrichtlinie mit der entsprechenden Protokollversender-Überprüfung.
      • Wählen Sie für Linux und Windows (mit Ausnahme von Windows-Ereignisprotokollen) die Prüfungsdefinition log shipper aus.
      • Wählen Sie für Windows-Ereignisprotokolle die Prüfungsdefinition log shipper for win events aus.
    5. Geben Sie auf der Registerkarte Überwachte CIs die CIs an, für die die Richtlinie gilt.
      1. Wählen Sie den zu überwachenden CI-Typ aus.
        • Überwachter CI-Typ nach Filter: Wählen Sie den überwachten CI-Typ aus. Sie können die zu überwachenden CIs mithilfe von Filterbedingungen eingrenzen.
        • Überwachter CI-Typ nach Skript: Geben Sie die überwachten CIs mithilfe eines Skripts an.
        • Überwachter CI-Typ nach CMDB-Gruppe: Geben Sie die überwachten CIs mithilfe von CMDB-Gruppenabfragen an.

        Weitere Informationen zur Auswahl überwachter CI-Typen finden Sie unter Neue Agent Client Collector-Richtlinie erstellen.

      2. Wahlweise: Wenn Sie ausschließlich CIs überwachen möchten, die einem Anwendungsservice zugeordnet sind, wählen Sie Überwachte CIs nach Anwendungsservice filtern aus.
        Sie können die zu überwachenden Anwendungsservices mithilfe von Filterbedingungen angeben. Von Agent Client Collector werden dann ausschließlich die Protokolle von CIs abgerufen, die diesen Anwendungsservices zugeordnet sind.
    6. Speichern Sie die Protokollrichtlinie.
      In der zugehörigen Liste „Instanzen überprüfen“ wird ein Datensatz für die Überprüfungsinstanz angelegt.
    7. Öffnen Sie den entsprechenden Datensatz für die Überprüfungsinstanz, und wählen Sie dann In Sandbox bearbeiten aus.
    8. Wählen Sie die zugehörige Liste „Log path configuration“ (Protokollpfadkonfigurationen) aus.
    9. Fügen Sie einen Protokollpfad für die Überprüfungsinstanz hinzu.
      Hinweis:
      Für eine Prüfung muss mindestens ein Protokollpfad konfiguriert sein, damit Protokoll-Streaming aktiviert werden kann. Weitere Informationen zu Prüfungen finden Sie unter Prüfungen und Richtlinien.
      1. Wählen Sie Neu.
      2. Füllen Sie die Felder des Formulars aus.
        Tabelle : 2. Formular für neue Pfadkonfiguration
        Feld Beschreibung
        Pfad Vollständiger Pfad, aus dem die Protokolle gestreamt werden sollen. Sie können einen Platzhalter verwenden. Dies ist ein Pflichtfeld.
        Komponente Gerätetypen oder Stapelebenen, die Kontext für die Protokolle bieten, die zur Anomalieerkennung und -korrelation verwendet werden. Beispiel: Tomcat.
        Quelltyp Definiert, wie von Health Log Analytics bestimmte Protokolltypen verarbeitet und die Protokolldaten analysiert werden sollen. Beispiel: Tomcat Catalina.
      3. Wahlweise: Konfigurieren Sie für den Versand von mehrzeiligen Protokollen mit Filebeat die folgenden Eigenschaften.

        Mit diesen Parametern wird gesteuert, wie von Agent Client Collector Log Analytics (ACC-L) Nachrichten verarbeitet werden, die sich über mehrere Textzeilen erstrecken.

        Weitere Informationen finden Sie unter Mehrzeilige Nachrichten verwalten in der Elastic-Dokumentation.

        Feld Beschreibung
        multiline.pattern (regex) Der entsprechende reguläre Ausdruck
        Hinweis:
        Sie müssen diese Eigenschaft definieren, bevor Sie die Eigenschaften multiline.match und multiline.negate konfigurieren können.
        multiline.match Wie ACC-L übereinstimmende Zeilen zu einer einzigen Protokollzeile kombiniert.

        Die verfügbaren Optionen sind Keine, Vorher und Nachher. Standard ist Keine.
        multiline.negate Option, um zu bestimmen, ob das in den Protokollzeilen identifizierte Muster negiert wird.

        Die verfügbaren Optionen sind Keine, Wahr und Falsch. Standard ist Keine.
      4. Wahlweise: Definieren Sie die folgenden Eigenschaften, mit denen die Filebeat-YML-Konfiguration gesteuert wird.
        Feld Beschreibung
        Felder Feld, mit dem Sie Informationen in die Ausgabe einbeziehen und aus der Ausgabe ausschließen können. Sie können beispielsweise ein Feld zum Filtern der Protokolldaten hinzufügen.

        Mit dem Plus-Symbol neben dem Wertfeld fügen Sie weitere Feldzeilen hinzu: Plus-Symbol.. Mit dem Minus-Symbol entfernen Sie eine Feldzeile: Minus-Symbol..

        Weitere Informationen finden Sie in der Beschreibung der Felder der Protokolleingabe in der Elastic-Dokumentation.
        Konfigurationsoptionen Feld, mit dem Sie den Protokollzeilen Konfigurationsoptionen hinzufügen können. Sie können beispielsweise die zu verwendende Codierung hinzufügen.
        Hinweis:
        Legen Sie nur Konfigurationsoptionen fest, die von Filebeat unterstützt werden.

        Weitere Informationen finden Sie in der Elastic-Dokumentation bei der Beschreibung der Konfigurationsoptionen der Protokolleingabe.
      5. Wählen Sie OK aus.
        Der Protokollpfad wird erstellt.
    10. Wählen Sie Zurück zur Richtlinie aus.
    11. Wählen Sie im Richtlinienformular die Option Veröffentlichen aus.
      Der Veröffentlichungsstatus der Richtlinie ändert sich in Veröffentlicht.
    12. Wahlweise: Aktivieren Sie die Richtlinie, indem Sie Aktivieren auswählen.

    Nächste Maßnahme

    Vergewissern Sie sich, ob von der Dateneingabe Daten gestreamt werden.