Erstellen Sie einen Agent Client CollectorProtokollrichtlinie
Erstellen Sie eine neue ACC-Protokollrichtlinie, wenn für das gewünschte CI keine Standardrichtlinie vorhanden ist Agent Client CollectorZu überwachen.
Vorbereitungen
- Die Agent Client Collector Log Analytics(ACC-L) Anwendung, verfügbar über ServiceNow-Speicher , Muss installiert sein. Weitere Informationen finden Sie unter Agent Client Collector Installation.
- Die Agent Client CollectorWird standardmäßig geliefert servicenowAnwender. Stellen Sie sicher, dass dieser Anwender Lesezugriff zum Aktivieren hat Agent Client CollectorZum Anzeigen aller konfigurierten Protokollpfade. Beispiel: Agent Client Collector servicenowAnwender, der mit dem Basissystem installiert ist, hat keine Berechtigungen zum Anzeigen der Pfade zu /Var/log/ In LinuxUnd C:\Windows\System32 In Windows. Informationen zum Konfigurieren von Berechtigungen für servicenowAnwender, siehe ACC-L – Probleme mit abgelehnter Berechtigung [KB1117271] artikel in Now SupportKnowledge Base.
Erforderliche Rolle: agent_client_collector_admin
Prozedur
-
Navigieren zu Alle > ACC-Protokollanalysen > ACC-Protokollrichtlinienan.
Die Richtlinien Seite zeigt alle an Log AnalyticsRichtlinien. Eine Liste der Richtlinien, die mit dem Basissystem geliefert werden, finden Sie unter Agent Client Collector Log Analytics Standardrichtlinien und -Prüfungen.
-
Klicken Sie auf Neu.
Hinweis:Allgemeine Informationen zum Erstellen einer ACC-Richtlinie finden Sie unter Erstellen Sie eine neue Agent Client CollectorRichtlinie.
-
Füllen Sie im Formular die Felder aus.
Tabelle : 1. Richtliniendefinitionsformular Feld Beschreibung Name Ein beschreibender Name für die Richtlinie. Beschreibung Beschreibung der Richtlinie. Veröffentlichungsstatus Hartcodiert als Entwurf , Das bedeutet, dass die Richtlinie noch nicht veröffentlicht wurde. Sie können dieses Feld nicht bearbeiten. Hierarchie Hartcodiert als Keine . Wenn der Richtlinie eine untergeordnete Richtlinie hinzugefügt wird, ändert sich der Wert in Übergeordnet . Untergeordnete Richtlinien haben einen Wert von Untergeordnet . -
Auf Prüfungen Registerkarte, ordnen Sie die Protokollrichtlinie der relevanten Protokoll-Versandprüfung zu.
- Für LinuxUnd Windows, Außer WindowsEreignisprotokolle, wählen Sie aus log shipperDefinition überprüfen.
- Für WindowsNur Ereignisprotokolle, wählen Sie aus log shipper for win eventsDefinition überprüfen.
-
Auf Überwachte CIs Geben Sie die CIs an, für die die Richtlinie gilt.
-
Wählen Sie den zu überwachenden CI-Typ aus.
- Überwachter CI-Typ nach Filter : Wählen Sie den überwachten CI-Typ aus. Sie können die überwachten CIs mithilfe von Filterbedingungen eingrenzen.
- Überwachter CI-Typ nach Skript : Geben Sie die überwachten CIs mithilfe eines Skripts an.
- Überwachter CI-Typ nach CMDB-Gruppe : Geben Sie die überwachten CIs mithilfe von CMDB-Gruppenabfragen an.
Weitere Informationen zur Auswahl überwachter CI-Typen finden Sie unter Erstellen Sie eine neue Agent Client CollectorRichtlinie.
- Wahlweise:
Überwachen Sie nur CIs, die einem Anwendungsservice zugeordnet sind, indem Sie auswählen Filtern Sie überwachte CIs nach Anwendungsservice .
Sie können die zu überwachenden Anwendungsservices mithilfe von Filterbedingungen angeben. Agent Client CollectorRuft nur die Protokolle von CIs ab, die diesen Anwendungsservices zugeordnet sind.
-
Wählen Sie den zu überwachenden CI-Typ aus.
-
Speichern Sie die Protokollrichtlinie.
In der zugehörigen Liste „Prüfinstanzen“ wird ein Prüfinstanzdatensatz erstellt.
- Öffnen Sie den relevanten Prüfungsinstanzdatensatz, und wählen Sie dann aus Bearbeiten Sie in Sandbox .
- Wählen Sie die zugehörige Liste Protokollpfadkonfigurationen aus.
-
Fügen Sie einen Protokollpfad für die Prüfungsinstanz hinzu.
Hinweis:Für eine Prüfung muss mindestens ein Protokollpfad konfiguriert sein, um Streaming-Protokolle zu aktivieren. Weitere Informationen zu Prüfungen finden Sie unter Prüfungen und Richtlinien.
- Wählen Sie Neu.
-
Füllen Sie im Formular die Felder aus.
Tabelle : 2. Neues Pfadkonfigurationsformular Feld Beschreibung Pfad Der vollständige Pfad von Wo Die Protokolle Werden gestreamt . Sie können einen Platzhalter verwenden. Dieses Feld ist erforderlich. Komponente Der Gerätetyp oder die Stapelebene, die einen Kontext für die Protokolle bereitstellt und für die Anomalieerkennung und -Korrelation verwendet wird. Beispiel: Tomcat. Quelltyp Definiert, wie Health Log AnalyticsVerarbeitet einen bestimmten Protokolltyp und analysiert die Protokolldaten. Beispiel: Tomcat Catalina. - Wahlweise:
Zum Versand mehrzeiliger Protokolle mit Filebeat, Konfigurieren Sie die folgenden Eigenschaften.
Diese Parameter steuern, wie Agent Client Collector Log Analytics(ACC-L) verarbeitet Nachrichten, die sich über mehrere Textzeilen erstrecken.
Weitere Informationen finden Sie unter Verwalten Sie mehrzeilige Nachrichten In der elastischen Dokumentation.
Feld Beschreibung Multiline.pattern (regulärer Ausdruck) Der reguläre Ausdruck, der abgeglichen werden soll. Hinweis:Sie müssen diese Eigenschaft definieren, bevor Sie konfigurieren können Multiline.Übereinstimmung Und Mehrzeilig.negieren Eigenschaften.Mehrzeilig.m Patch Wie ACC-L übereinstimmende Zeilen in einer einzelnen Protokollzeile kombiniert. Die verfügbaren Optionen sind „keine“, „vor“ und „nach“. Standard ist „keine“.
Mehrzeilig.n Starten Option zum Bestimmen, ob das in den Protokollzeilen identifizierte Muster negiert ist. Die verfügbaren Optionen sind „keine“, „wahr“ und „falsch“. Standard ist „keine“.
- Wahlweise:
Definieren Sie die folgenden Eigenschaften, die steuern FilebeatYML-Konfiguration.
Feld Beschreibung Felder Feld, mit dem Sie Informationen in die Ausgabe ein- und ausschließen können. Sie können beispielsweise ein Feld zum Filtern der Protokolldaten hinzufügen. Fügen Sie weitere Feldzeilen hinzu, indem Sie das Plussymbol neben dem Wertfeld auswählen:
. Entfernen Sie eine Feldzeile, indem Sie das Minussymbol auswählen:
.
Weitere Informationen finden Sie unter Protokolleingabe Felder Beschreibung in der elastischen Dokumentation.
Konfigurationsoptionen Feld, mit dem Sie den Protokollzeilen Konfigurationsoptionen hinzufügen können. Sie können beispielsweise die zu verwendende Codierung hinzufügen. Hinweis:Definieren Sie nur Konfigurationsoptionen, die von unterstützt werden Filebeat.Weitere Informationen finden Sie unter Protokolleingabe Konfigurationsoptionen Beschreibung in der elastischen Dokumentation.
-
Wählen Sie OK.
Der Protokollpfad wird erstellt.
- Wählen Sie Aus Zurück zur Richtlinie .
-
Wählen Sie im Richtlinienformular aus Veröffentlichen .
Der Veröffentlichungsstatus der Richtlinie ändert sich in Veröffentlicht .
- Wahlweise: Aktivieren Sie die Richtlinie, indem Sie auswählen Aktivieren .