Konfigurieren Sie ein Splunk Dateneingabe in Health Log Analytics Manuell

Freigeben Version: Zurich

Aktualisiert 31. Juli 2025

6 Minuten Lesedauer

Richten Sie eine Dateneingabe für das Streaming von Protokollnachrichten an ein ServiceNow Instanz mit Splunk Schwerer Forwarder.

Vorbereitungen

Überprüfen Sie, ob ein MID-Server Wird mit aktivierter Protokollerfassungsfunktion installiert und konfiguriert. Weitere Informationen finden Sie unter MID Server system requirements.

Wichtig:
Health Log Analytics bietet keine Unterstützung für IPv6. Konfigurieren Sie den MID-Server auf IPv4, um mit der Anwendung zu arbeiten.
Wenn MID-Server Die IP-Adresse wird durch Netzwerkadressübersetzung (Network Address Translation, NAT), ein Lastenausgleichsmodul oder ein ähnliches Gerät bereitgestellt MID-Server Muss eine öffentliche IP-Adresse haben, um von externen Clients erreichbar zu sein, z. B. Filebeat Service Desk-Mitarbeiter, die sich außerhalb des Netzwerks befinden. Private IP-Adressen können nicht über das Internet weitergeleitet werden. Ohne eine öffentliche IP können diese externen Clients keine Verbindung mit herstellen MID-Server Auch wenn sie mit der Adresse konfiguriert sind. Fügen Sie in den Eigenschaften des MID-Server eine Eigenschaft mit dem Namen mid.public_ip mit der öffentlichen IP-Adresse als Wert hinzu. Weitere Informationen finden Sie unter MID Server-Eigenschaften erstellen.
Hinweis:
Wenn MID-Server Und externe Clients befinden sich im selben Netzwerk, eine öffentliche IP ist nicht erforderlich, und Verbindungen können über die private IP-Adresse hergestellt werden.
Informationen zum Versand Ihrer mit SSL TLS verschlüsselten Protokolle finden Sie unter Streaming von Daten mit rsyslog und Filebeat unter Verwendung von SSL [KB0866319] artikel in Now Support Knowledge Base.

Konfigurieren Sie Splunk, um Protokolle mit Syslog an Ihre ServiceNow-Instanz weiterzuleiten.
Die Konfiguration dieser Dateneingabe setzt das Vorhandensein einer Umgebungsvariablen namens $ SPLUNK_HOME voraus. In Unix-ähnlichen Umgebungen verweist diese Variable normalerweise auf /opt/splunk.
Hinweis:
Die Windows Die Umgebung verwendet dieselbe Verzeichnisstruktur, jedoch mit umgekehrten Schrägstrichen (\).

Erforderliche Rolle: evt_mgmt_admin

Warum und wann dieser Vorgang ausgeführt wird

Dieses Setupverfahren dient zum Streamen von Protokollen an Ihre Instanz mit einem Splunk Heavy Forwarder. Wenn Sie keinen schweren Forwarder verwenden können, können Sie einen verwenden Splunk Stattdessen Universal Forwarder. Weitere Informationen finden Sie im Artikel Splunk Universal Forwarder as a Shipping method [KB0961378] (Splunk Universal Forwarder als Versandmethode) in der Knowledge Base des Now Support.

Startet in Yokohama Familien-Release, können Sie neu verwenden Splunk Dateneingaben zum Erfassen von Daten im vorverarbeiteten Protokollweiterleitungsformat („gekocht“), das Splunk Verwendet standardmäßig. Im Modus „warm“ Splunk Weiterleitung bettet Konfigurationsdetails wie Host, Quelltyp, Quelle und andere Einstellungen in die Protokolldaten ein. Daten werden in erfasst HLA In diesem Format Verifizieren S, dass jede Protokollzeile alle relevanten kontextbezogenen Informationen enthält. Wenn Sie die Option „gekochte Daten“ in verwenden HLA, Es ist nicht erforderlich, den zu bearbeiten Eigenschaften.Konf. Und Transforms.conf Dateien während Splunk Dateneingabekonfiguration.

Hinweis:

Alle Splunk-Konfigurationsdateien befinden sich im Ordner $SPLUNK_HOME/etc/system/local/. Wenn eine Konfigurationsdatei, die Sie ändern müssen, nicht vorhanden ist, erstellen Sie sie und speichern Sie sie in diesem Ordner.

Hinweis:

Ein ausgefallener MID-Server kann eine Blockade in Ihrer Splunk-Pipeline verursachen. Eine volle Verarbeitungswarteschlange wirkt sich nicht auf die Pipeline aus.

Prozedur

Navigieren zu Alle > Health Log Analytics > Dateneingabe > Dateneingabenan.
Wählen Sie auf der Seite „Data Inputs“ (Dateneingaben) die Option Neu aus.
Wählen Sie aus Splunk Dateneingabe Zum Streamen von Protokollen über einen Splunk Schwerer Forwarder oder Universal-Forwarder .
Füllen Sie die Formularfelder auf der Registerkarte Erste Schritte aus.
Feldbeschreibungen finden Sie unter Splunk Dateneingabekonfigurationsfelder.
Fügen Sie auf der Registerkarte Outputs.conf der Datei outputs.conf die folgenden Absätze hinzu, damit der Versender Protokolldaten über das ausgewählte Transportprotokoll und den ausgewählten Port weiterleitet, und wählen Sie dann Weiter aus.

Hinweis:
Wenn Sie bereits Ausgaben konfiguriert haben, führen Sie diese Zeilen mit Ihrer vorhandenen Konfiguration zusammen.
- Weiterleitung über TCP:
  Hinweis:
  Verwenden Sie den ersten Absatz nur, wenn Sie noch keinen tcpout-Absatz konfiguriert haben. Der zweite Absatz ist für die Weiterleitung an Health Log Analytics über TCP erforderlich.
```
[tcpout]
indexAndForward = 1
defaultGroup = nothing

[tcpout:health_log_analytics]
server = ip-172-31-17-121.us-east-2.compute.internal:5000
sendCookedData = false
compressed = false
```
- Weiterleitung über UDP:
  Hinweis:
  Verwenden Sie den ersten Absatz nur, wenn Sie noch keinen syslog-Absatz konfiguriert haben. Der zweite Absatz ist für die Weiterleitung an Health Log Analytics über UDP erforderlich.
```
[syslog]defaultGroup = nothing

[syslog:health_log_analytics]
server = ip-172-31-17-121.us-east-2.compute.internal:5000
```
Bearbeiten Sie auf der Registerkarte Props.conf die Datei props.conf und wählen Sie Weiter aus.

Hinweis:
Wenn Sie ausgewählt haben Gearbeitete Daten Verwenden Option auf Erste Schritte Registerkarte, muss nicht bearbeitet werden Eigenschaften.Konf. Datei.
1. Ändern Sie vorhandene Strophe, oder fügen Sie Strophe hinzu, um Quelltypen, Serviceinstanzen und Hosts für die Weiterleitung an zu markieren Health Log Analytics.
  Hinweis:
  Um optimale Ergebnisse zu erzielen, markieren Sie nur Quelltypen zur Weiterleitung.
  Verwenden Sie beim Hinzufügen von Absätzen folgende Namenformate:
  
  Quelltypen: [<source type>]. Beispiel: [syslog]
  
  Quellen (nicht empfohlen): [source::<source>]. Beispiel: [source::myApp]
  
  Hosts (nicht empfohlen): [host::<host>]. Beispiel: [host::10.9.8.7]
2. Fügen Sie am Ende jedes Absatzes, den Sie entweder über TCP oder UDP an Health Log Analytics weiterleiten möchten, die folgende Zeile hinzu.
  - Weiterleitung über TCP:
    TRANSFORMS-cloned_data = clone_for_hla_store_sourcetype, clone_for_hla
  - Weiterleitung über UDP:
    TRANSFORMS-cloned_data = clone_for_hla_store_sourcetype, clone_for_hla_udp
    Diese Zeile wendet die Transformation CLONE_SOURCETYPE auf die Daten an, um zu verhindern, dass die für die Health Log Analytics-Verarbeitung erforderliche Bearbeitung Ihre vorhandene Datenpipeline beeinträchtigt. Um beispielsweise alle Protokolle vom Quelltyp „syslog“ an Health Log Analytics zu senden, gehen Sie wie folgt vor:
    [syslog] #existing configuration goes here TRANSFORMS-cloned_data = clone_for_hla_store_sourcetype, clone_for_hla_udp
3. Fügen Sie den folgenden Absatz hinzu, um alle relevanten Transformationen anzuwenden, die für die Health Log Analytics-Verarbeitung erforderlich sind:
  Hinweis:
  Mit Splunk können Sie vertrauliche Daten im geklonten Quelltyp für das ausgewählte Protokoll anonymisieren. Weitere Informationen finden Sie im Abschnitt „Anonymize data“ (Daten anonymisieren) in der Splunk-Dokumentation.
  - Weiterleitung über TCP:
    
    [send_to_hla_tcp] TRANSFORMS-health_log_analytics = health_log_analytics_add_sourcetype, health_log_analytics_add_host, health_log_analytics_add_source, health_log_analytics_add_syslog5424, health_log_analytics_add_index, health_log_analytics_add_syslogHost, health_log_analytics_add_time
  - Weiterleitung über UDP:
    
    [send_to_hla_udp] TRANSFORMS-health_log_analytics = health_log_analytics_add_sourcetype, health_log_analytics_add_host, health_log_analytics_add_source, health_log_analytics_add_syslog5424, health_log_analytics_add_index, health_log_analytics_add_syslogHost, health_log_analytics_add_time

Fügen Sie auf der Registerkarte Transforms.conf der Datei transforms.conf die folgenden Absätze hinzu und wählen Sie anschließend Weiter aus.

Hinweis:

Wenn Sie ausgewählt haben Gearbeitete Daten Verwenden Option auf Erste Schritte Registerkarte, muss nicht bearbeitet werden Transforms.conf Datei.

Der dritte Absatz klont die Protokolle zur weiteren Bearbeitung, ohne sich auf die vorhandene Indizierung auszuwirken. Die verbleibenden Absätze fügen die Informationen hinzu, die für die korrekte Verarbeitung von Health Log Analytics erforderlich sind.

Hinweis:

Sie können sensible Daten verschleiern, indem Sie hier eine Transformation hinzufügen und dann den Absatz des geklonten Quelltyps in der Datei props.conf ändern.

[accepted_keys]
#Custom field for preserving sourcetype
hla_sourcetype_preservation=_hla_sourcetype

#Store sourcetype in a custom field, since CLONE_SOURCETYPE overwrites it
[clone_for_hla_store_sourcetype]
SOURCE_KEY = MetaData:Sourcetype
REGEX = ^sourcetype::(.+)$
FORMAT = hla_sourcetype::$1
DEST_KEY = _hla_sourcetype

[clone_for_hla]
REGEX=.
DEST_KEY = _TCP_ROUTING
FORMAT = health_log_analytics
CLONE_SOURCETYPE=send_to_hla_tcp

#Only used in case of UDP forwarding
[clone_for_hla_udp]
REGEX=.
DEST_KEY = _SYSLOG_ROUTING
FORMAT = health_log_analytics
CLONE_SOURCETYPE=send_to_hla_udp

#Add metadata to the log message, since metadata is lost when forwarding externally
[health_log_analytics_add_sourcetype]
SOURCE_KEY = _hla_sourcetype
REGEX = ^hla_sourcetype::(.+)$
FORMAT = sourcetype="$1"] $0
DEST_KEY = _raw

[health_log_analytics_add_host]
SOURCE_KEY = MetaData:Host
REGEX = ^host::(.+)$
FORMAT = host="$1" $0
DEST_KEY = _raw

[health_log_analytics_add_source]
SOURCE_KEY = MetaData:Source
REGEX = ^source::(.+)$
FORMAT = source="$1" $0
DEST_KEY = _raw

[health_log_analytics_add_syslog5424]
REGEX=.
FORMAT = - - [sdid@1234 $0
DEST_KEY = _raw

[health_log_analytics_add_index]
SOURCE_KEY = _MetaData:Index
REGEX = ^(.+)$
FORMAT = $1 $0
DEST_KEY = _raw

[health_log_analytics_add_syslogHost]
SOURCE_KEY = MetaData:Host
REGEX = ^host::(.+)$
FORMAT = $1 $0
DEST_KEY = _raw

[health_log_analytics_add_time]
SOURCE_KEY = _time
REGEX = ^(.+)$
FORMAT = <182>1 $1 $0
DEST_KEY = _raw

Starten Sie auf der Registerkarte Finish.conf Splunk neu, indem Sie den Befehl $SPLUNK_HOME/bin/splunk restart splunkd ausführen.
Wählen Sie Speichern.
Health Log Analytics fügt den Dateneingabedatensatz in die Dateneingabentabelle ein.
Überprüfen Sie, ob die Dateneingabe korrekt konfiguriert ist, indem Sie auswählen Verbindung testen .

Health Log Analytics Versucht, eine Verbindung mit herzustellen MID-Server Zum Daten-Repository.
- Wenn die Verbindung hergestellt wurde, wird Verbindung testen Die Schaltfläche ist deaktiviert, und die Veröffentlichen Schaltfläche ist aktiviert.
- Wenn die Verbindung fehlgeschlagen ist, wird der Grund für den Fehler in angezeigt Fehlermeldung Feld. Dieses Feld wird nur angezeigt, wenn ein Streaming-Fehler aufgetreten ist.
  Beheben Sie das Problem, wählen Sie aus Speichern Wenn Sie die Konfiguration geändert haben, und wählen Sie dann aus Verbindung testen Um die Verbindung erneut zu testen.
  
  Hinweis:
  Sie können die Dateneingabekonfiguration nur veröffentlichen, wenn die Verbindung erfolgreich erstellt wurde.
Hinweis:
Sie können zur zuletzt veröffentlichten Konfiguration zurückkehren, indem Sie auswählen Änderungen Rückgängig Machen . Diese Option ist nur verfügbar, wenn Sie eine zuvor veröffentlichte Konfiguration ändern.
Wählen Sie Aus Veröffentlichen Um die Dateneingabe in zu veröffentlichen MID-Server.

Ergebnisse

Der Konfigurationsprozess für die Dateneingabe ist abgeschlossen. Health Log Analytics Fügt den Dateneingabedatensatz zu hinzu Dateneingaben Tabelle und hängt die Konfigurationsdatei an den Dateneingabedatensatz an. Die Dateneingabe beginnt mit dem Streamen von Protokolldaten an Ihren ServiceNow Instanz mit Splunk Absender.

Nächste Maßnahme

Stellen Sie sicher, dass die Dateneingabe aus Streaming-Daten besteht.