Identifizieren und beheben Sie ein Protokoll-Streaming-Problem in Health Log Analytics

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Suchen und beheben Sie Protokoll-Streaming-Probleme, um sicherzustellen, dass Ihre Dateneingaben Protokolldaten ordnungsgemäß an Ihre Instanz streamen.

    Vorbereitungen

    Erforderliche Rolle: evt_mgmt_admin

    Prozedur

    1. Navigieren zu Alle > Health Log Analytics > Streamingquellenan.
      Auf der Seite „Streaming-Quellen“ werden alle Dateneingaben und angezeigt MID Servers Die Protokolle von ihnen erhalten.
      Hinweis:
      • Wenn in der Konfiguration der erweiterten Dateneingabe die Option Look up hostnames (Nach Hostnamen suchen) ausgewählt ist, wird auf der Seite „Streaming Sources“ (Streaming-Quellen) der Hostname von Geräten angezeigt, die einen Rsyslog- oder Filebeat-Absender verwenden. Für Elasticsearch -Indizes wird der Indexname angezeigt.
      • „Streaming Sources“ (Streaming-Quellen) ist auch als zugehörige Liste im Dateneingabeformular verfügbar. In der zugehörigen Liste werden nur die Endpunktgeräte angezeigt, die für diese Dateneingabe relevant sind.
      • Wenn HLA Engine ist ausgefallen, und das Streaming der Daten wurde beendet. Oben auf der Seite „Streaming-Quellen“ wird eine Benachrichtigung angezeigt. Wenn dies geschieht, wenden Sie sich an ServiceNow Support.
    2. Wählen Sie einen Dateneingabedatensatz aus, um die Streaming-Daten seiner Quellen anzuzeigen und Streaming-Probleme und ihre mögliche Ursache zu identifizieren.
      Wenn beispielsweise die letzte aufgezeichnete Event-Zeit für den Endpunktserver einer Dateneingabe gestern war, ist dieser Server möglicherweise ausgefallen oder falsch konfiguriert. Ein Streaming-Problem kann auch dadurch verursacht werden, dass die Dateneingabe-Konfigurationsdatei nicht auf dem Endpunkt installiert ist.
      Filter Beschreibung
      Status Status der Quelle. Ein rotes Aufzählungszeichen zeigt an, dass diese Quelle in der letzten Stunde keine Daten gestreamt hat.
      Last event time (Zeit des letzten Events) Die letzte aufgezeichnete Zeit, zu der auf dem MID-Server ein Event im letzten Ein-Minuten-Intervall eingetroffen ist.

      Health Log Analytics aktualisiert kontinuierlich die Zeit des letzten Events. Wenn die Zeit des letzten Events nicht aktuell ist, werden keine Daten gestreamt.
      Raw log lines/sec (Protokollzeilen im Rohzutand/Sek.) Die durchschnittliche Anzahl der Protokollzeilen im Rohzutand, die im letzten Ein-Minuten-Intervall pro Sekunde an den MID-Server gestreamt wurden.
      Hinweis:
      Dieser Wert stellt die Anzahl der Protokollzeilen im Rohzutand vor der Vorverarbeitung dar.
      Preprocessed log lines/sec (Vorverarbeitete Protokollzeilen/Sek.) Die durchschnittliche Anzahl der vorbearbeiteten Protokollzeilen, die im letzten Ein-Minuten-Intervall pro Sekunde an MID-Server gestreamt wurden.
      Hinweis:
      Dieser Wert kann sich von der Anzahl der Protokollzeilen im Rohzutand pro Sekunde unterscheiden. Beispielsweise kann der Unterschied darauf zurückzuführen sein, dass Protokolle während der Vorverarbeitung gelöscht wurden.
    3. Untersuchen und lösen Sie alle Probleme beim Datenstreaming.
      Hinweis:
      Wenn Sie Probleme mit Berechtigungen beim Streaming von Protokolldaten von Elasticsearch haben, lesen Sie den Artikel Granting privileges for data streams from Elasticsearch [KB0967366] (Berechtigungen für Datenströme von Elasticsearch erteilen) in der Now Support-Knowledge Base.

    Nächste Maßnahme

    Wenn die Protokolle ordnungsgemäß gestreamt werden, fahren Sie mit der Zuordnung Ihrer Protokolldaten im Rohzustand fort.
    Hinweis:
    Sie können eingehende Protokolldaten im Rohzustand bearbeiten, bevor Health Log Analytics sie verarbeitet. Mit der Vorverarbeitung können Sie beispielsweise Protokollteile verwerfen oder vertrauliche Daten aus Ihren Protokollen entfernen. Diese Aufgabe ist optional.