Rsyslog, Filebeat- oder Winlogbeat-Dateneingabe-Konfigurationsfelder

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Beschreibung der Felder in den Konfigurationsformularen für Dateneingaben Rsyslog, Filebeat und Winlogbeat.

    Basiskonfiguration

    Tabelle : 1. Registerkarte „Erste Schritte“
    Feld Beschreibung
    Dateneingabename Name der neuen Dateneingabe. Dies ist ein Pflichtfeld.
    Beschreibung Beschreibung der Dateneingabe
    MID-Server Der MID-Server, an den die Protokolle gestreamt werden
    Hinweis:
    • Sie können nur MID Servers mit Protokollerfassungsfunktion auswählen, die die Standardauthentifizierung unterstützen. MID Servers, die mTLS unterstützen, sind nicht aufgeführt.
    • Die standardmäßige maximale Anzahl von Dateneingaben, die Protokolle an einen einzelnen MID-Server streamen, beträgt 10. Sie können diese Anzahl in den MID Server-Eigenschaften ändern.
    Dies ist ein Pflichtfeld.
    Port

    Port auf dem MID-Server.

    Wählen Sie einen Port innerhalb des vorgeschlagenen Bereichs aus dem Array aus. Der Port darf nicht von einem anderen Prozess belegt sein. Stellen Sie sicher, dass das Sicherheitsteam Ihrer Organisation den ausgewählten Port öffnet.

    Dies ist ein Pflichtfeld.
    Inhaltspaket (Linux nur mit Filebeat) Das zu verwendende Inhaltspaket.

    Inhaltspakete enthalten Standardquelltypen und Zuordnungsskriptvorlagen. Health Log Analytics aktiviert das ausgewählte Paket automatisch und verwendet das zugehörige Zuordnungsskript für die Zuordnung der Dateneingabequellen. Weitere Informationen finden Sie unter Health Log Analytics Inhaltspakete für eine schnellere Amortisierungszeit.
    Tabelle : 2. Registerkarte Tagging und Bindung
    Feld Beschreibung
    Pfad Der vollständige Pfad, aus dem Protokolle gestreamt werden sollen. Sie können einen Platzhalter verwenden. Dies ist ein Pflichtfeld.
    Anwendungsservice Der Anwendungsservice, an den die Protokolldaten gebunden werden sollen. Dies ist ein Pflichtfeld.
    Hinweis:
    Wenn kein relevanter Anwendungsservice vorhanden ist, Erstellen Sie eine Anwendungsservice und fügen Sie CIs hinzu. Legen Sie den Status des neuen Anwendungsservice auf „Funktionsfähig“ fest.
    Komponente Gerätetyp oder Stapelebene als Kontext für die Protokolle, die zur Anomalieerkennung und -korrelation verwendet werden. Beispiel: Tomcat.

    Komponenten stellen normalerweise CIs in der CMDB dar. In einem einzigen Anwendungsservice sind häufig mehrere Komponenten zusammengefasst.
    Quelltyp Quelltyp, der definiert, wie Health Log Analytics eine bestimmte Anwendung behandelt und die Protokolldaten analysiert. Beispiel: Tomcat Catalina.

    Jede Dateneingabe kann je nach Vielfalt ihrer Protokollformate mehrere Quelltypen haben. Anwendungsservices und -komponenten können eine beliebige Anzahl von Quelltypen haben.

    Erweiterte Konfiguration

    Für Rsyslog Dateneingaben:

    Tabelle : 3. Formular für erweiterte Rsyslog-Konfiguration
    Feld Beschreibung Standardwerte
    SSL/TLS verwenden Hiermit geben Sie an, ob SSL/TLS verwendet werden soll.
    Look up hostnames (Nach Hostnamen suchen) Hiermit geben Sie an, ob eine DNS-Suche durchgeführt wird, um IPs in Hostnamen aufzulösen. false
    Anzahl der Boss-Threads Anzahl der Threads, mit denen Verbindungen verwaltet werden 1
    Anzahl der Worker-Threads Anzahl der Threads, mit denen eingehende Daten verarbeitet werden 4
    Lesezeitüberschreitung in Sekunden Zeitüberschreitung in Sekunden seit dem letzten Lesen. Wenn die Zeitüberschreitung abläuft, schließt das System den Kanal. 30
    Standardzeitzone Standardzeitzone von Events. Das System verwendet diesen Standard, wenn im Protokoll keine Zeitzone angegeben ist. GMT
    Anteil der zu verwerfenden Unterstichproben Verhältnis der zu verwerfenden Events -1
    Anteil der zu empfangenden Unterstichproben Verhältnis der zu empfangenden Events -1
    Maximale Länge in Bytes Maximale Länge von Protokollnachrichten in Byte 32766
    Zeichencodierung Zeichencodierung für diese Dateneingabe UTF-8
    Verwerfen, wenn Warteschlange voll ist Hiermit legen Sie fest, dass Protokolle verworfen werden, wenn der MID-Server ausgelastet ist.

    Für Dateneingaben, die Beats Agents verwenden:

    Tabelle : 4. Formular für erweiterte Konfiguration von Beats
    Feld Beschreibung Standardwert
    Client inactivity timeout (sec) (Zeitüberschreitung bei Client-Inaktivität (Sek.)) Die Zeitüberschreitung in Sekunden, nach der ein inaktiver Kanal geschlossen wird 15
    Anzahl der Worker-Threads Anzahl der Threads, mit denen eingehende Daten verarbeitet werden 4
    Default time zone (Standardzeitzone) Standardzeitzone von Events. Das System verwendet diesen Standard, wenn im Protokoll keine Zeitzone angegeben ist. GMT
    Anteil der zu verwerfenden Unterstichproben Verhältnis der zu verwerfenden Events -1
    Anteil der zu empfangenden Unterstichproben Verhältnis der zu empfangenden Events -1
    Maximale Länge in Bytes Maximale Länge von Protokollnachrichten in Byte 32766
    Zeichencodierung Zeichencodierung für diese Dateneingabe UTF-8
    Verwerfen, wenn Warteschlange voll ist Hiermit legen Sie fest, dass Protokolle verworfen werden, wenn der MID-Server ausgelastet ist. false