Protokollüberwachung in einer Linux-Umgebung aktivieren

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Um Überwachungsprotokolle in einer Linux-Umgebung zu aktivieren, wählen Sie die relevante Richtlinie aus, und weisen Sie ihr spezifische Prüfungsparameter zu. Wenn die Protokollüberwachung aktiviert ist und eine angegebene Zeichenfolge im überwachten Protokoll erkannt wird, wird ein Event erstellt.

    Vorbereitungen

    Stellen Sie sicher, dass der Benutzer servicenow Zugriff auf die überwachte Protokolldatei hat oder dass der angegebene Benutzer den sudo-Befehl ausführen kann.

    Erforderliche Rolle: agent_client_collector_admin

    Prozedur

    1. Navigieren zu Alle > Agent Client Collector > Richtlinien.
    2. Wählen Sie die Richtlinie zur Linux-Protokollüberwachung aus.
    3. Wählen Sie util.check-logs auf der Registerkarte Check Instances (Prüfungsinstanzen) aus, um die Überwachung von Protokolldateien zu aktivieren, die nicht dem root-Benutzer gehören.
      Stellen Sie sicher, dass der Agent Client Collector servicenow-Benutzer über Leseberechtigungen für die überwachte Protokolldatei verfügt.
    4. Geben Sie die Protokolldatei an, die bei der Prüfung durchsucht werden soll:
      1. Wählen Sie auf der Registerkarte Check Parameter Definitions (Definition von Prüfungsparametern) am unteren Seitenrand in der Spalte Name den Eintrag file (Datei) aus.
      2. Geben Sie im Feld Default value (Standardwert) den Pfad zu der Protokolldatei ein, die Sie durchsuchen möchten.
    5. Geben Sie die Zeichenfolge an, die Sie im Protokoll suchen möchten:
      1. Wählen Sie auf der Registerkarte Check Parameter Definitions (Definition von Prüfungsparametern) am unteren Seitenrand in der Spalte Name den Eintrag pattern (Muster) aus.
      2. Geben Sie im Feld Default value (Standardwert) die Suchmuster-Zeichenfolgen ein, nach denen Sie in der Protokolldatei suchen möchten, z. B. 404 und Error. Die Standardwerte lauten SEVERE (Schwerwiegend) und Exception(Ausnahme).

        Stellen Sie sicher, dass Sie mehrere Muster durch eine Pipe (|) trennen und als Parameter in Anführungszeichen weitergeben. Zum Beispiel: "SEVERE|404".

    6. Klicken Sie auf Update (Aktualisieren), um Ihre Prüfungsinstanz zu speichern und zur Seite Policy - Linux Log Monitoring (Richtlinie - Linux-Protokollüberwachung) zurückkehren.
    7. Wählen Sie die Prüfung util.check-logs-sudo aus, um Protokolle zu überwachen, die dem Root-Benutzer gehören.
    8. Wiederholen Sie die Schritte 4 und 5, um Protokolle zu überwachen, die dem Root-Benutzer gehören.
    9. Ändern Sie für die Prüfung util.check-logs-sudo wie folgt die Datei etc/sudoers auf dem Host oder virtuellen Linux-Computer:
      Wenn der Agent am Standardspeicherort des Hosts (/usr/share/servicenow/agent-client-collector) oder auf einem virtuellen Linux-Computer installiert ist, fügen Sie der Datei /etc/sudoers die folgende Zeichenfolge hinzu:
      servicenow ALL= SETENV: /var/cache/servicenow/agent-client-collector/monitoring-plugin-linux/bin/check-log.rb *
Defaults:servicenow !requiretty
Defaults exempt_group += servicenow
    10. Klicken Sie auf der Seite Policy (Richtlinie) auf Save (Speichern) und dann auf Publish (Veröffentlichen), um die Richtlinie zum Überwachen der Protokolldatei zu aktivieren.