Bearbeiten Sie Protokollpfadkonfigurationen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Ändern Sie eine Protokollpfadkonfiguration in der Instanz der Protokollabsenderprüfung.

    Vorbereitungen

    Erforderliche Rolle: evt_mgmt_admin

    Prozedur

    1. Navigieren zu Alle > ACC-Protokollanalysen > ACC-Protokollrichtlinienan.
    2. Wählen Sie einen Richtliniendatensatz aus.
    3. Wählen Sie in der zugehörigen Liste „Instanzen überprüfen“ den Instanzdatensatz für die Protokollprüfung des Absenders aus.
    4. Wählen Sie Aus Bearbeiten Sie in Sandbox Zum Aktivieren der Bearbeitung des Datensatzes.
    5. Bearbeiten Sie in der zugehörigen Liste Protokollpfadkonfiguration eine Protokollpfadkonfiguration.
      1. Wählen Sie die Protokollpfadkonfiguration aus, die Sie bearbeiten möchten.
      2. Bearbeiten Sie die Konfiguration.
        • Sie können anwenderdefinierte Felder hinzufügen, sodass Sie zusätzliche Informationen in die Ausgabe aufnehmen können.
        • Sie können zusätzliche Konfigurationsoptionen hinzufügen, z. B. Codierung , Include_lines , Und EXCLUDE_Lines , Um Ihre Protokolldaten zu filtern. Informationen zum Erkennen der Dateicodierung finden Sie unter Erkennen der Dateicodierung unter Windows, Linux und Mac [KB1702770] artikel in Now SupportKnowledge Base.

          Diese Konfigurationsoptionen wirken sich auf alle Dateien aus, die die Dateneingabe an Ihre Instanz streamt.

          Hinweis:
          Definieren Sie nur Konfigurationsoptionen, die von unterstützt werden Filebeat. Weitere Informationen finden Sie unter Protokolleingabe Konfigurationsoptionen Beschreibung in der elastischen Dokumentation.
      3. Wählen Sie Aus Aktualisieren Um Ihre Änderungen zu speichern.
    6. Wahlweise: Löscht einen Protokollpfad.
      1. Aktivieren Sie das Kontrollkästchen neben der Protokollpfadkonfiguration, die Sie löschen möchten.
        Hinweis:
        Sie können mehrere Protokollpfadkonfigurationen auswählen, für eine Prüfung muss jedoch mindestens ein Protokollpfad konfiguriert sein, um Streaming-Protokolle zu aktivieren. Weitere Informationen zu Prüfungen finden Sie unter Prüfungen und Richtlinien.
      2. Wählen Sie Löschen.
    7. Wählen Sie Aus Zurück zur Richtlinie Um zum Protokollrichtliniendatensatz zurückzukehren.
    8. Wählen Sie Aus Erneut Veröffentlichen Und bestätigen Sie dann, dass die Richtlinie mit den aktualisierten Protokollpfadkonfigurationen erneut veröffentlicht wird.
      Die Änderungen werden in einigen Minuten wirksam.