Ordnen Sie Rohprotokolldaten zu

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Die Zuordnung von Rohprotokolldaten, die in Ihre Instanz gestreamt werden, bestimmt, wie die Daten behandelt werden. Health Log AnalyticsStrukturiert Protokolle automatisch, erstellt Metriken für die Anomalieerkennung und zeigt Warnungen basierend auf der Art und Weise an, wie Ihre Daten getaggt werden.

    Vorbereitungen

    Erforderliche Rolle: evt_mgmt_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Standardmäßig Health Log AnalyticsVersucht es automatische Zuordnung Jede eingehende Protokollzeile an das richtige Tag senden. Wenn Eigenschaften nicht automatisch erkannt werden, ordnen Sie die Dateneingabequellen manuell zu, indem Sie eine JavaScript-Funktion definieren.

    In der JavaScript-Funktion müssen Sie nur zuordnen Serviceinstanz (hier aufgerufen Anwendungsservice ) . Die Zuordnung der Komponente und des Quelltyps ist optional: Health Log AnalyticsVersucht, ihre Werte automatisch aus den Protokolldaten zu extrahieren. Wenn der Versuch fehlschlägt, werden die Standardwerte zugewiesen. Wenn Sie die Komponente zuordnen, aber nicht den Quelltyp oder umgekehrt, versucht das System, den fehlenden Wert aus den Protokolldaten zu extrahieren. Wenn dies fehlschlägt, wird der Komponentenwert dem Quelltyp zugewiesen oder umgekehrt, je nachdem, welchen Sie zugeordnet haben. Diese Funktion wird in unterstützt Health Log AnalyticsAnwendung, Version 20.0.11 – Juli 2021, verfügbar über ServiceNow-Speicher .

    Hinweis:

    (Nur ACC-Dateneingaben) wenn Agent Client CollectorWechselt zu einer anderen MID-ServerUm Failover-Schutz bereitzustellen, muss er zu einer anderen ACC-Dateneingabe wechseln. Daher müssen alle ACC-Dateneingaben dieselbe JavaScript-Funktion haben. Health Log AnalyticsStellt die neueste veröffentlichte JavaScript-Funktion für alle vorhandenen und zukünftigen ACC-Dateneingaben bereit und ersetzt das vorherige Skript. Diese Funktion wird in unterstützt Health Log AnalyticsAnwendung, Version 22.0.12 – Dezember 2021 und höher, verfügbar über ServiceNow-Speicher . Für Informationen zum Failover-Schutz in Agent Client CollectorProtokollanalysen (ACC-L), siehe Agent Client Collector Protokollanalysen.

    Hinweis:
    Sie können Rohprotokolldaten vorher bearbeiten Health Log AnalyticsOrdnet sie zu und strukturiert sie. Weitere Informationen finden Sie unter Bearbeiten Sie Rohprotokolldaten vor der Verarbeitung .

    Prozedur

    1. Navigieren zu Alle > Health Log Analytics > Zuordnung > Dateneingabezuordnungan.
    2. Öffnen Sie einen Datensatz.
      Hinweis:
      Das erste Mal, wenn das Formular „Dateneingabezuordnung“ angezeigt wird, Health Log AnalyticsRuft Protokollbeispiele automatisch ab. Rufen Sie in nachfolgenden Sitzungen neue Beispiele ab, indem Sie auswählen Aktualisieren Sie Beispiele .
    3. Wahlweise: Um die vollständige Rohprotokollnachricht weiterzuleiten, deaktivieren Sie die automatische Erkennung von Headereigenschaften für diese Dateneingabe, indem Sie auswählen Deaktivieren Sie die Headererkennung .
      Weitere Informationen finden Sie unter Erkennung von Headereigenschaften.
    4. Wahlweise: Aktivieren Sie den Testmodus, indem Sie festlegen Testmodus Wert auf EIN.
      Im Testmodus Health Log AnalyticsErstellt nicht die Quelltypen, Quellen oder andere Objekte, die im Standard-Flow erstellt werden, um zu vermeiden, dass sie explodieren ElasticsearchSpeicher mit Beispieldaten. Weitere Informationen finden Sie unter Automatische Zuordnung und Zuordnung von Protokolldaten.
    5. Wahlweise: Zeigen Sie an, wie sich die aktuelle JavaScript-Funktion auf Protokollzeilen auswirkt.
      1. Fügen Sie eine Beispielnachricht in hinzu Manuelles Beispiel testen Feld.
      2. Wählen Sie Aus Los .
      3. Beachten Sie, wie sich die JavaScript-Funktion auf die Protokollzeilen auswirkt.
    6. In Roheingabesample Wählen Sie ein Protokollbeispiel aus, das die Auswirkungen Ihrer neuen JavaScript-Funktion auf Protokollzeilen anzeigt, wenn Sie sie testen.
    7. Definieren Sie eine JavaScript-Funktion, die Ihre Dateneingabequellen den richtigen zugeordnet Serviceinstanz (hier aufgerufen Anwendungsservice ) , Komponente und Quelltyp.
      Hinweis:
      (Nur ACC-Dateneingaben) Stellen Sie sicher, dass Ihre JavaScript-Funktion zur Verarbeitung von Daten verwendet werden kann, die von allen ACC-Dateneingaben gestreamt werden.
      1. Ändern Sie in der JavaScript-Konsole entweder die bereitgestellte Standard-JavaScript-Funktion, ändern Sie eine vorhandene anwenderdefinierte JavaScript-Funktion, oder definieren Sie eine neue.
        Hinweis:
        Zusätzlich zur standardmäßigen JavaScript-Funktion Health Log AnalyticsStellt JS-Funktionsvorlagen für die Datenzuordnung für bereit LinuxBS-Protokolle, die mit syslog und gestreamt werden WindowsEreignisprotokolle, die mit gestreamt wurden FilebeatOder mit WinlogbeatEreignisprotokolle, die mit gestreamt wurden Winlogbeat. Die Vorlagen können als Ausgangspunkt für Ihren anwenderdefinierten Skriptcode dienen. Diese Funktion wird in unterstützt Health Log AnalyticsAnwendung, Version 20.0.11 – Juli 2021, verfügbar über ServiceNow-Speicher .
        Tabelle : 1. JavaScript-Funktionsvorlagen
        Vorlage Beschreibung
        Linux Mit Syslog gestreamte BS-Protokolle Für die Zuordnung verwendetes Skript LinuxProtokolle. Ordnet Protokolle der verschiedenen Daemons den richtigen Quelltypen, Komponenten und zu Serviceinstanzen (hier aufgerufen Anwendungsservices ) .
        Hinweis:
        Protokolle müssen einen Syslog-Wrapper haben, damit diese JavaScript-Funktion ordnungsgemäß funktioniert.
        Windows EventLog gestreamt mit Filebeat Für die Zuordnung verwendetes Skript WindowsEreignisprotokolle, die mit gestreamt wurden Filebeat. Ordnet die verschiedenen zu und gruppiert sie WindowsServices zu Quelltypen, Komponenten und Serviceinstanzen (hier aufgerufen Anwendungsservices ).
        WindowsWinlogbeatProtokolle, die mit gestreamt wurden Winlogbeat Für die Zuordnung verwendetes Skript WindowsEreignisprotokolle, die mit gestreamt wurden Winlogbeat. Ordnet die verschiedenen zu WindowsServices für die richtigen Quelltypen, Komponenten und Serviceinstanzen (hier aufgerufen Anwendungsservices ) .
        Die JavaScript-Funktion für die Zuordnung von Rohprotokolldaten verwendet die folgenden Objekte:
        • Signatur: Funktionszuordnung (Beispiel, Metadaten)
          Objekt Beschreibung
          Beispiel Das aktuelle Protokollbeispiel nach der Vorverarbeitung.
          Metadaten Objekt, das Folgendes enthält:
          • Ereignisstrom: Zugriff über: <metadata value>. Beispiel: Metadaten.eventStream.Origin
          • Transformationsheader 1: Zugriff über: <metadata value>. Beispiel: Metadata.Headers.i1.type
          • Transformationsheader 2: Zugriff über: <metadata value>. Beispiel: Metadata.Headers.i2.type
          • Typ Transformationsheader 3: Zugriff über: <metadata value>. Beispiel: Metadaten.Header.i3.Typ
          • Fallback-Zuweisung: Zugriff über: <metadata value>. Beispiel: Metadaten.Fallbacks.Host
          Hinweis:
          Sie können mehrere Services pro Quelltyp erstellen und zuordnen.
        • Rückgabetyp und -Struktur
          Hinweis:
          Die JavaScript-Funktion gibt eine Zuordnung von zwei Einträgen zurück. Ändern Sie diese Rückgabestruktur nicht.
          Objekt Beschreibung
          ApplicationService Der vorhandene Anwendungsservice (D. h. die Serviceinstanz) Dem dieses Beispiel zugewiesen wird.
          Hinweis:
          Die Serviceinstanz Muss an Anomaliewarnungen im Zusammenhang mit dem Protokoll gebunden werden.
          Komponente Die Komponente, der dieses Beispiel zugewiesen wird.
          sourceType Der Quelltyp, dem dieses Beispiel zugewiesen wird.
        • Um eine Protokollnachricht zu verwerfen, rufen Sie auf Drop() zurückgeben .
      2. Testen Sie die JavaScript-Funktion, indem Sie auswählen Testen .

        Durch das Testen der JavaScript-Funktion können Sie das Ergebnis des Skripts im Protokollbeispiel anzeigen. Eine Beschreibung der angezeigten Felder finden Sie unter Ergebnisfelder des JavaScript-Funktionstests.

        Hinweis:
        Wenn sich Ihre neue JavaScript-Funktion nicht wie erwartet verhält, können Sie die zuletzt veröffentlichte Funktion wiederherstellen, indem Sie auswählen JS-Funktion zurücksetzen Zugehöriger Link.
      3. Wahlweise: Nehmen Sie alle erforderlichen Anpassungen vor, und testen Sie die JavaScript-Funktion dann erneut.
      4. Wahlweise: Vergleichen Sie das Ergebnis mehrerer Tests.
        Der Vergleich der Testergebnisse mehrerer Versionen der JavaScript-Funktion kann Ihnen helfen, das Skript zu verfeinern, bis das gewünschte Ergebnis erreicht wird.
    8. Wenn Sie die JavaScript-Funktion abgeschlossen haben, wählen Sie aus Speichern Sie die Vorlage Zum Speichern.
      Sie können die JavaScript-Funktion entweder als neue Vorlage speichern oder die aktuell ausgewählte Vorlage überschreiben.
      • Um die JavaScript-Funktion als neue Vorlage zu speichern, geben Sie einen neuen Namen in ein Vorlagenname Feld.
      • Zum Überschreiben der derzeit in ausgewählten Vorlage JS-Funktionsvorlagen Feld, lassen Sie das Vorlagenname Feld leer.
    9. Wählen Sie Aus Veröffentlichen Zum Speichern der JavaScript-Funktion in der Datenbank.

    Ergebnisse

    Wenn die JavaScript-Funktion veröffentlicht wird, Health Log AnalyticsVerwendet es, um Dateneingabequellen zuzuordnen.

    Das neue Skript wird automatisch der Liste der JS-Funktionsvorlagen hinzugefügt, aus denen Sie auswählen können. Diese Funktion wird in unterstützt Health Log AnalyticsAnwendung, Version 20.0.11 – Juli 2021, verfügbar über ServiceNow-Speicher .

    (Nur ACC-Dateneingaben) Health Log AnalyticsStellt die veröffentlichte JavaScript-Funktion für alle vorhandenen und zukünftigen ACC-Dateneingaben bereit. Die neue JavaScript-Funktion ersetzt das vorherige Skript.

    Nächste Maßnahme

    • (Optional) Bearbeiten Sie Ihre Rohprotokolldaten Vor Health Log AnalyticsOrdnet sie zu und strukturiert sie. Wenn Sie diese Aufgabe sofort ausführen möchten, klicken Sie auf Wechseln Sie zum Präprozessor Zugehöriger Link, um mit fortzufahren Dateneingabe-Präprozessor Seite.
    • (Optional) Optimieren Sie, wie das System Ihre Protokolldaten liest Verfeinerung der Quelltypstruktur . Mit diesem Schritt können Sie automatisch klassifizierte Eigenschaften neu klassifizieren und automatisch zugeordnete Bezeichnungen ändern.