Ändern Sie eine Dateneingabekonfiguration in Health Log Analytics

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 3 Minuten Lesedauer

    • Ändern Sie die Konfiguration einer Dateneingabe für Health Log Analytics Durch Hinzufügen eines neuen Pfads zu einer vorhandenen Dateneingabekonfiguration oder Ändern der Dateneingaben MID-Server Ziel und Port.

    Vorbereitungen

    Erforderliche Rolle: evt_mgmt_admin

    Prozedur

    1. Navigieren zu Alle > Health Log Analytics > Dateneingabe > Dateneingabenan.
    2. Öffnen Sie einen Datensatz aus der Tabelle „Dateneingaben“.
    3. Ändern Sie die Dateneingabekonfiguration.
      Spalte Beschreibung
      Name Name der Dateneingabe.
      Beschreibung Beschreibung der Dateneingabe.
      Port
      Port auf dem MID-Server.
      Hinweis:
      Der Port darf nicht von einem anderen Prozess belegt sein. Stellen Sie sicher, dass das Sicherheitsteam Ihrer Organisation den ausgewählten Port öffnet.
      MID Die MID-Server An den die Protokolle streamen.
      Hinweis:
      • Sie können nur MID Servers mit Protokollerfassungsfunktion auswählen, die die Standardauthentifizierung unterstützen. MID Servers, die mTLS unterstützen, sind nicht aufgeführt.
      • Die standardmäßige maximale Anzahl von Dateneingaben, die Protokolle an einen einzelnen MID-Server streamen, beträgt 10. Sie können diese Anzahl in den MID Server-Eigenschaften ändern.
      Tabelle : 1. Einstellungen
      Spalte Beschreibung
      Pfad Der vollständige Pfad, aus dem Protokolle gestreamt werden sollen. Sie können einen Platzhalter verwenden.
      Hinweis:
      Diese Spalte ist für nicht verfügbar Windows Systeme, die Winlogbeat verwenden.
      Serviceinstanz Die Serviceinstanz, an die die Protokolldaten gebunden werden sollen.
      Hinweis:
      Wenn keine relevante Serviceinstanz vorhanden ist, Erstellen Sie einen Serviceinstanz Und fügen Sie CIs hinzu. Legen Sie den Status der neuen Serviceinstanz auf betriebsbereit fest.
      Komponente Der Gerätetyp oder die Stapelebene als Kontext für die Protokolle, die für die Anomalieerkennung und -Korrelation verwendet werden. Beispiel: Tomcat.

      Komponenten stellen normalerweise CIs in der CMDB dar. Mehrere Komponenten werden häufig in einer einzigen Serviceinstanz gruppiert.
      Quelltyp Der Quelltyp, der definiert, wie Health Log Analytics Verarbeitet eine bestimmte Anwendung und analysiert die Protokolldaten. Beispiel: Tomcat Catalina.

      Jede Dateneingabe kann je nach Vielfalt der Protokollformate mehrere Quelltypen haben. Serviceinstanzen und -Komponenten können eine beliebige Anzahl von Quelltypen haben.
      Zur Verarbeitung mehrzeiliger Nachrichten in Linux/ Windows Systeme, die nur Filebeat verwenden:
      Übereinstimmung Gibt an, wie Filebeat übereinstimmende Zeilen zu einem Ereignis kombiniert Danach Oder Vor .
      Negieren Boolescher Wert, der definiert, ob das in den Protokollzeilen identifizierte Muster negiert wird. Der Standardwert ist Falsch .
      Regulärer Ausdruck Der reguläre Ausdruck, der abgeglichen werden soll.
      Hinweis:
      Sie können die rsyslog-Konfigurationsdatei ändern, um zusätzlich zu den Anwendungsprotokollen auch die Versandsystemprotokolle des Service Desk-Mitarbeiters festzulegen. Weitere Informationen finden Sie unter Versandsystemprotokolle mit rsyslog [KB0954507] artikel in der Now Support-Wissensdatenbank.
    4. Wählen Sie Aktualisieren.
    5. Für Dateneingaben, die verwenden Rsyslog Oder Beats Nur Agenten: Erstellen Sie die serverseitige Konfigurationsdatei neu, und installieren Sie sie auf dem Endpunktgerät.
      1. Wählen Sie Aus Konfigurationsdatei neu erstellen .

        Health Log Analytics Erstellt die Datei neu und speichert sie im Abschnitt „Anhänge verwalten“. Je nach verwendetem Agent wird die neu erstellte Datei als entweder gespeichert Rsyslog.yml , Filebeat.yml , Oder Winlogbeat.yml .

        Das System benennt die vorherige Konfigurationsdatei automatisch um, indem dem Dateinamen ein Suffix mit dem Datum und der Uhrzeit der Neuerstellung der Datei hinzugefügt wird.

      2. Installieren Sie die neu erstellte Konfigurationsdatei entsprechend Ihrem Dateneingabetyp auf dem Endpunkt.
        Dateneingabetyp Aktion
        Rsyslog
        1. Laden Sie die Datei herunter, und installieren Sie sie auf dem Endpunktgerät in /Etc/rsyslog.d/rsyslog.conf Verzeichnis.
        2. Validieren Sie die Konfiguration, indem Sie ausführen Rsyslogd – N1 Befehl.
        3. Überprüfen Sie die Ausgabe. Wenn die Systemprotokolldatei /var/log/messages Fehler enthält, prüfen und beheben Sie die Fehlermeldungen.
        4. Starten Sie Neu Rsyslog Durch Ausführen von Sudo systemctl startet rsyslog neu Befehl.
        Linux
        1. Laden Sie die Datei herunter, und installieren Sie sie auf dem Endpunktgerät in /Etc/filebeat/ Verzeichnis.
        2. Starten Sie den Agent-Service neu, indem Sie ausführen Sudo-Service filebeat-Neustart Befehl.
        Hinweis:
        Die generierte Konfiguration ignoriert Dateien, die zuletzt vor mehr als sechs Stunden geändert wurden. Bei Bedarf können Sie diese Einstellung in der Konfigurationsdatei ändern.
        Windows Wird verwendet Beats(Filebeat oder Winlogbeat):
        1. Laden Sie die Datei herunter, und installieren Sie sie auf dem Endpunktgerät in C:\Programmdateien\ Verzeichnis.
        2. Starten Sie den Agent-Service neu, indem Sie den entsprechenden Befehl in PowerShell ausführen:
          • Filebeat: PS > Neustart – Service filebeat
          • Winlogbeat: PS > Neustart-Service winlogbeat
        Hinweis:
        Die generierte Konfiguration ignoriert Dateien, die zuletzt vor mehr als sechs Stunden geändert wurden. Bei Bedarf können Sie diese Einstellung in der Konfigurationsdatei ändern.