Ändern Sie eine Dateneingabekonfiguration in Health Log Analytics

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Ändern Sie die Konfiguration einer Dateneingabe für Health Log Analytics Durch Hinzufügen eines neuen Pfads zu einer vorhandenen Dateneingabekonfiguration oder Ändern der Dateneingaben MID-Server Ziel und Port.

    Vorbereitungen

    Erforderliche Rolle: evt_mgmt_admin

    Prozedur

    1. Navigieren zu Alle > Health Log Analytics > Dateneingabe > Dateneingabenan.
    2. Öffnen Sie einen Datensatz aus der Tabelle der Dateneingaben.
    3. Bearbeiten Sie die Konfiguration der Dateneingabe.
      Spalte Beschreibung
      Name Name der Dateneingabe
      Beschreibung Beschreibung der Dateneingabe
      Port
      Port auf dem MID-Server.
      Hinweis:
      Der Port darf nicht von einem anderen Prozess belegt sein. Stellen Sie sicher, dass das Sicherheitsteam Ihrer Organisation den ausgewählten Port öffnet.
      MID Der MID-Server, an den die Protokolle gestreamt werden
      Hinweis:
      • Sie können nur MID Servers mit Protokollerfassungsfunktion auswählen, die die Standardauthentifizierung unterstützen. MID Servers, die mTLS unterstützen, sind nicht aufgeführt.
      • Die standardmäßige maximale Anzahl von Dateneingaben, die Protokolle an einen einzelnen MID-Server streamen, beträgt 10. Sie können diese Anzahl in den MID Server-Eigenschaften ändern.
      Tabelle : 1. Einstellungen
      Spalte Beschreibung
      Pfad Der vollständige Pfad, aus dem Protokolle gestreamt werden sollen. Sie können einen Platzhalter verwenden.
      Hinweis:
      Diese Spalte ist in Windows-Systemen, in denen Winlogbeat verwendet wird, nicht verfügbar.
      Serviceinstanz Die Serviceinstanz, an die die Protokolldaten gebunden werden sollen.
      Hinweis:
      Wenn keine relevante Serviceinstanz vorhanden ist, Erstellen Sie einen Serviceinstanz Und fügen Sie CIs hinzu. Legen Sie den Status der neuen Serviceinstanz auf betriebsbereit fest.
      Komponente Gerätetyp oder Stapelebene als Kontext für die Protokolle, die zur Anomalieerkennung und -korrelation verwendet werden. Beispiel: Tomcat.

      Komponenten stellen normalerweise CIs in der CMDB dar. Mehrere Komponenten werden häufig in einer einzigen Serviceinstanz gruppiert.
      Quelltyp Quelltyp, der definiert, wie Health Log Analytics eine bestimmte Anwendung behandelt und die Protokolldaten analysiert. Beispiel: Tomcat Catalina.

      Jede Dateneingabe kann je nach Vielfalt ihrer Protokollformate mehrere Quelltypen haben. Serviceinstanzen und -Komponenten können eine beliebige Anzahl von Quelltypen haben.
      Nur zur Verarbeitung mehrzeiliger Nachrichten in Linux-/Windows-Systemen mit Filebeat:
      Match (Übereinstimmung) Gibt an, wie Filebeat übereinstimmende Zeilen zu einem Event kombiniert, entweder nach oder vor.
      Negieren Boolescher Wert, der definiert, ob das in den Protokollzeilen identifizierte Muster negiert wird. Der Standardwert ist false.
      Regulärer Ausdruck Der entsprechende reguläre Ausdruck
      Hinweis:
      Sie können die Rsyslog-Konfigurationsdatei ändern, damit der Agent zusätzlich zu den Anwendungsprotokollen Systemprotokolle versendet. Weitere Informationen finden Sie im Artikel Shipping system logs using Rsyslog (Übermittlung von Systemprotokollen mit Rsyslog) [KB0954507] in der Knowledge Base des Now Support.
    4. Wählen Sie Aktualisieren.
    5. Erstellen Sie für Dateneingaben, die nur Rsyslog- oder Beats-Agents verwenden, die serverseitige Konfigurationsdatei neu, und installieren Sie sie auf dem Endpunktgerät.
      1. Wählen Sie Rebuild configuration file (Konfigurationsdatei neu erstellen) aus.

        Health Log Analytics erstellt die Datei neu und speichert sie im Abschnitt „Manage Attachments“ (Anhänge verwalten). Abhängig vom verwendeten Agent wird die neu erstellte Datei als rsyslog.yml, filebeat.yml oder winlogbeat.yml gespeichert.

        Das System benennt die vorherige Konfigurationsdatei automatisch um, indem ein Suffix mit Datum und Uhrzeit an den Dateinamen angehängt wird. Damit wird angegeben, wann die Datei neu erstellt wurde.

      2. Installieren Sie die neu erstellte Konfigurationsdatei auf dem Endpunkt entsprechend Ihrem Dateneingabetyp.
        Dateneingabetyp Aktion
        Rsyslog
        1. Laden Sie die Datei herunter, und installieren Sie sie auf dem Endpunktgerät im Verzeichnis /etc/rsyslog.d/rsyslog.conf.
        2. Validieren Sie die Konfiguration, indem Sie den Befehl rsyslogd -N1 ausführen.
        3. Überprüfen Sie die Ausgabe. Wenn die Systemprotokolldatei /var/log/messages Fehler enthält, prüfen und beheben Sie die Fehlermeldungen.
        4. Starten Sie Rsyslog neu, indem Sie den Befehl sudo systemctl restart rsyslog ausführen.
        Linux
        1. Laden Sie die Datei herunter, und installieren Sie sie auf dem Endpunktgerät im Verzeichnis /etc/filebeat/.
        2. Starten Sie den Agent-Service neu, indem Sie den Befehl sudo service filebeat restart ausführen.
        Hinweis:
        Die generierte Konfiguration ignoriert Dateien, die zuletzt vor mehr als sechs Stunden geändert wurden. Bei Bedarf können Sie diese Einstellung in der Konfigurationsdatei ändern.
        Windows mit Beats (Filebeat oder Winlogbeat):
        1. Laden Sie die Datei herunter, und installieren Sie sie auf dem Endpunktgerät im Verzeichnis C:\Programme\.
        2. Starten Sie den Agent-Service neu, indem Sie den entsprechenden PowerShell-Befehl ausführen:
          • Filebeat: PS > Restart-Service filebeat
          • Winlogbeat: PS > Restart-Service winlogbeat
        Hinweis:
        Die generierte Konfiguration ignoriert Dateien, die zuletzt vor mehr als sechs Stunden geändert wurden. Bei Bedarf können Sie diese Einstellung in der Konfigurationsdatei ändern.