Konfigurieren Rsyslog, Filebeat- oder Winlogbeat-Dateneingaben

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Konfigurieren Sie eine Dateneingabe für das Streaming von Protokollnachrichten an Ihren ServiceNowInstanz mit Rsyslog, Filebeat oder Winlogbeat-Agent.

    Vorbereitungen

    • Stellen Sie sicher, dass ein MID-Server Ist mit aktivierter Protokollerfassungsfunktion installiert und konfiguriert.

      MID-Serverkonfiguration mit aktivierter Protokollerfassungsfunktion.

      Wichtig:
      Health Log Analytics Unterstützt IPv6 nicht. Um mit der Anwendung zu arbeiten, konfigurieren Sie MID-ServerAn IPv4.
    • Wenn MID-ServerIP-Adresse wird durch Netzwerkadressübersetzung (Network Address Translation, NAT), ein Lastenausgleichsmodul oder ein ähnliches Gerät verfügbar gemacht. Sie muss eine öffentliche IP-Adresse haben. In MID-ServerEigenschaften, fügen Sie eine Eigenschaft mit dem Namen hinzu mid.public_ipMit der öffentlichen IP-Adresse als Wert. Weitere Informationen finden Sie unter Erstellen Sie eine MID-Servereigenschaft .
    • Informationen zum Versand Ihrer mit SSL-TLS verschlüsselten Protokolle finden Sie unter Streaming von Daten mit rsyslog und Filebeat unter Verwendung von SSL [KB0866319] artikel in Now SupportKnowledge Base.

    Erforderliche Rolle: evt_mgmt_admin

    Prozedur

    1. Navigieren zu Alle > Health Log Analytics > Dateneingabe > Dateneingabenan.
    2. Wählen Sie auf der Seite „Dateneingaben“ die Option aus Neu .
    3. Wählen Sie den zu erstellenden Dateneingabetyp aus den verfügbaren Dateneingabetypen aus, die in der Tabelle beschrieben sind.
      Hinweis:
      Der ausgewählte Dateneingabetyp ergänzt die passive Dateneingabe (Listener). Weitere Informationen finden Sie unter Unterstützte Dateneingaben .
      Tabelle : 1. Dateneingabetypen
      Typ Beschreibung
      Rsyslog Streamt Protokollnachrichten von UNIX-basierten Servern an ServiceNowKI-Engine, die verwendet RsyslogService Desk-Mitarbeiter.
      Linux mit Filebeat Streamt Systemprotokollnachrichten und lokale Dateien aus LinuxServer zur Instanz mit dem Filebeat-Agent.
      Windows Anwendungsprotokolle mit Filebeat Streamt lokale Dateien aus MicrosoftMicrosoft Azure Event Hubs WindowsGeräte zu ServiceNowInstanz, die den Filebeat-Agenten verwendet.
      Windows Betriebssystem mit Winlogbeat Streams WindowsEreignisprotokolle zu ServiceNowInstanz, die den Winlogbeat-Agenten verwendet.
    4. Auf Erste Schritte Registerkarte, füllen Sie das Formular aus.

      Eine Beschreibung der Felder finden Sie unter Rsyslog, Filebeat- oder Winlogbeat-Dateneingabekonfigurationsfelder.

      Hinweis:
      Beim Erstellen einer Dateneingabe für Linux mit Filebeat können Sie ein Inhaltspaket aus auswählen Inhaltspaket Dropdownliste. Das Inhaltspaket enthält Standardquelltypen und Zuordnungsskriptvorlagen, die Ihnen die Zeit sparen, die Sie benötigen, um sie von Grund auf neu zu erstellen. Weitere Informationen finden Sie unter Health Log Analytics Inhaltspakete für kürzere Amortisierungszeiten.
    5. Wenn der Agent noch nicht installiert wurde, laden Sie ihn herunter, und installieren Sie ihn von Installation Registerkarte.
      Hinweis:
      Stellen Sie sicher, dass Sie die neueste Version des Agenten ausführen. Frühere Versionen funktionieren, aber mit eingeschränkter Funktionalität.
    6. Auf Tagging und Bindung Registerkarte, weisen Sie einer Serviceinstanz in Protokolle zu Configuration Management Database (CMDB)Damit der Service die Protokolldaten korrelieren und dem System die Ursachenanalyse ermöglichen kann.
      1. Konfigurieren Sie für jede Quelle den Pfad und die Serviceinstanz für die Protokolle, die gestreamt werden sollen.
        Hinweis:
        Standardmäßig nur die Pflichtfelder Pfad Und Service Instanz Angezeigt.

        Eine Beschreibung der Felder finden Sie unter Rsyslog, Filebeat- oder Winlogbeat-Dateneingabekonfigurationsfelder.

      2. Wenn Sie mehrzeilige Protokolle mit Filebeat versenden möchten, konfigurieren Sie die Eigenschaften, die steuern, wie Filebeat Nachrichten verarbeitet, die sich über mehrere Textzeilen erstrecken.
        Feld Beschreibung
        Übereinstimmung Gibt an, wie Filebeat übereinstimmende Zeilen zu einem Ereignis kombiniert.
        Negieren Definiert, ob das in den Protokollzeilen identifizierte Muster negiert wird.
        Regulärer Ausdruck Gibt den regulären Ausdruck an, der abgeglichen werden soll.
        Hinweis:
        Health Log AnalyticsUnterstützt derzeit keine mehrzeiligen Eigenschaften für Rsyslog.
      3. Wahlweise: Definieren Sie zusätzliche Protokollpfade, damit die Dateneingabe Protokolltypen aus mehreren Pfaden streamen kann.
        Führen Sie für jeden zusätzlichen Protokollpfad Folgendes aus:
        1. Fügen Sie eine neue Zeile ein.
        2. Konfigurieren Sie den Protokollpfad.
        3. Wählen Sie eine Serviceinstanz aus.
        4. (Optional) Wählen Sie eine Komponente und einen Quelltyp aus.
        Hinweis:
        Diese Option ist bei Verwendung von Winlogbeat nicht verfügbar oder erforderlich, da Health Log AnalyticsStreamt WindowsEreignisprotokolle.
    7. Auf Beenden Schließen Sie die Konfiguration für Ihren Dateneingabetyp ab.
      • Rsyslog:
        1. Laden Sie die Konfigurationsdatei herunter, und installieren Sie sie auf dem Endpunktgerät in /Etc/rsyslog.d/rsyslog.conf Verzeichnis.
          Hinweis:
          Wenn Sie verwenden Health Log AnalyticsAnwendung, Version 20.0.11 – Juli 2021, verfügbar über ServiceNow-Speicher , Tun Sie stattdessen Folgendes:
          1. Installieren Sie auf dem Endpunktgerät die Konfigurationsdatei in /Etc/rsyslog.d/ Verzeichnis.
          2. Erstellen Sie ein Spool-Verzeichnis, indem Sie ausführen Sudo mkdir – p/var/spool/rsyslog Befehl.
        2. Validieren Sie die Konfiguration, indem Sie ausführen Rsyslogd – N1 Befehl, und überprüfen Sie die Ausgabe.
        3. Starten Sie Neu RsyslogDurch Ausführen von Sudo systemctl startet rsyslog neu Befehl.
        4. Überprüfen Sie die Ausgabe. Wenn er Fehler enthält, überprüfen Sie /Var/log/messages Systemprotokolldatei für Fehlermeldungen, und beheben Sie die Fehler.
      • Linux Filebeat verwenden:
        1. Laden Sie die Konfigurationsdatei herunter, und installieren Sie sie auf dem Endpunktgerät in /Etc/filebeat/ Verzeichnis.
        2. Starten Sie den Agent-Service, indem Sie ausführen Start des sudo-Service-Filebeat Befehl.
          Hinweis:
          Die generierte Konfiguration ignoriert Dateien, die zuletzt vor mehr als sechs Stunden geändert wurden. Bei Bedarf können Sie diese Einstellung in der Konfiguration ändern.
        3. Starten Sie den Agent-Service neu, indem Sie den entsprechenden Befehl ausführen.
      • WindowsWird verwendet Beats(Filebeat oder Winlogbeat):
        1. Laden Sie die Konfigurationsdatei herunter, und installieren Sie sie auf dem Endpunktgerät in C:\Programmdateien\ Verzeichnis.
        2. Starten Sie den Agent-Service, indem Sie den entsprechenden Befehl in PowerShell ausführen.
          • Filebeat: PS > Start-Service filebeat
          • Winlogbeat: PS > Service starten winlogbeat
          Hinweis:
          Die generierte Konfiguration ignoriert Dateien, die zuletzt vor mehr als sechs Stunden geändert wurden. Bei Bedarf können Sie diese Einstellung in der Konfiguration ändern.
        3. Starten Sie den Agent-Service neu, indem Sie den entsprechenden Befehl ausführen.
    8. Wählen Sie Speichern.
      Health Log Analytics Fügt den Dateneingabedatensatz der Tabelle „Dateneingaben“ hinzu.
    9. Stellen Sie sicher, dass die Dateneingabe korrekt konfiguriert ist, indem Sie auswählen Verbindung testen .

      Health Log AnalyticsVersucht, eine Verbindung zu herzustellen MID-ServerZum Daten-Repository.

      • Wenn die Verbindung hergestellt wurde, wird Verbindung testen Schaltfläche ist deaktiviert und Veröffentlichen Schaltfläche ist aktiviert.
      • Wenn die Verbindung fehlgeschlagen ist, wird der Grund für den Fehler in angezeigt Fehlermeldung Feld. Dieses Feld wird nur angezeigt, wenn ein Streaming-Fehler aufgetreten ist.

        Beheben Sie das Problem, wählen Sie aus Speichern Wenn Sie die Konfiguration geändert haben, und wählen Sie dann aus Verbindung testen Um die Verbindung erneut zu testen.

        Hinweis:
        Sie können die Dateneingabekonfiguration nur veröffentlichen, wenn die Verbindung erfolgreich erstellt wurde.
      Hinweis:
      Sie können zur zuletzt veröffentlichten Konfiguration zurückkehren, indem Sie auswählen Änderungen Rückgängig Machen . Diese Option ist nur verfügbar, wenn Sie eine Konfiguration ändern, die zuvor veröffentlicht wurde.
    10. Wählen Sie Aus Veröffentlichen Um die Dateneingabe in zu veröffentlichen MID-Server.

    Ergebnisse

    Der Konfigurationsprozess für die Dateneingabe ist abgeschlossen. Health Log AnalyticsFügt den Dateneingabedatensatz zu hinzu Dateneingaben Tabelle und hängt die Konfigurationsdatei an den Dateneingabedatensatz an. Die Dateneingabe startet das Streaming des Protokolls Daten zu Ihrem ServiceNowInstanz .

    Nächste Maßnahme

    Stellen Sie sicher, dass die Dateneingabe Daten streamt.