Richten Sie ein Splunk Poller-Integration für Health Log Analytics

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer

    • Richten Sie eine Integration ein, die regelmäßig Protokolldaten aus abruft Splunk An Ihren ServiceNow Instanz zur Verarbeitung von Health Log Analytics.

    Vorbereitungen

    • Überprüfen Sie, ob ein MID-Server Wird mit aktivierter Protokollerfassungsfunktion installiert und konfiguriert. Weitere Informationen finden Sie unter MID Server system requirements.

      MID-Server-Konfiguration mit aktivierter Protokollerfassungsfunktion.

      Wichtig:
      Health Log Analytics bietet keine Unterstützung für IPv6. Konfigurieren Sie den MID-Server auf IPv4, um mit der Anwendung zu arbeiten.
    • Wenn MID-Server Die IP-Adresse wird durch Netzwerkadressübersetzung (Network Address Translation, NAT), ein Lastenausgleichsmodul oder ein ähnliches Gerät bereitgestellt MID-Server Muss eine öffentliche IP-Adresse haben, um von externen Clients erreichbar zu sein, z. B. Filebeat Service Desk-Mitarbeiter, die sich außerhalb des Netzwerks befinden. Private IP-Adressen können nicht über das Internet weitergeleitet werden. Ohne eine öffentliche IP können diese externen Clients keine Verbindung mit herstellen MID-Server Auch wenn sie mit der Adresse konfiguriert sind. Fügen Sie in den Eigenschaften des MID-Server eine Eigenschaft mit dem Namen mid.public_ip mit der öffentlichen IP-Adresse als Wert hinzu. Weitere Informationen finden Sie unter MID Server-Eigenschaften erstellen.
      Hinweis:
      Wenn MID-Server Und externe Clients befinden sich im selben Netzwerk, eine öffentliche IP ist nicht erforderlich, und Verbindungen können über die private IP-Adresse hergestellt werden.
    • Informationen zum Versand Ihrer mit SSL TLS verschlüsselten Protokolle finden Sie unter Streaming von Daten mit rsyslog und Filebeat unter Verwendung von SSL [KB0866319] artikel in Now Support Knowledge Base.
    • Die MID-Server Muss die Standardauthentifizierung unterstützen.
      Hinweis:
      MTLs werden für die Protokollerfassung nicht unterstützt.
    • Nicht mehr als das Standardmaximum von 10 Integrationen streamt Protokolle an eine einzelne MID-Server. Sie können die maximale Anzahl ändern, indem Sie die Eigenschaft hinzufügen sn.occ.log_ingestion.max_datainput_per_MID Zu MID-Server Und dann ändern Sie den Standardwert.

      Um herauszufinden, wie viele Dateneingaben Protokolle an denselben streamen MID-Server, Navigieren Sie zu Streaming-Quellen Tabelle und zählen Sie die Dateneingaben, die zu einem bestimmten gestreamt werden MID-Server.

    • Überlegen Sie, ob die Protokolldaten zu einem einzelnen abgerufen werden sollen MID-Server Oder zu MID-Server Cluster.

      In MID-Server Cluster, mehrere MID Servers Sind für den Failover-Schutz gruppiert. Die aktive Integration wird für eine einzelne ausgeführt MID-Server Im Cluster. Wenn ja MID-Server Schlägt fehl, verschiebt das System seine Aufgaben zur nächsten verfügbaren MID-Server Im Cluster in einer konfigurierten Reihenfolge.

      Wenn Sie einen verwenden möchten MID-Server Cluster, überprüfen Sie Folgendes:

      • Die MID-Server Cluster enthält nur MID Servers Die die Standardauthentifizierung unterstützen.
      • Die Protokollerfassung ist für jeden aktiviert MID-Server Im Cluster.
        Hinweis:
        Wenn die Protokollerfassung für den aktiven nicht aktiviert ist MID-Server, Health Log Analytics Aktiviert es automatisch.
      • Nicht mehr als das Standardmaximum von 10 Integrationen streamt Protokolle an eine einzelne MID-Server.

        Ein Cluster besteht die Kapazitätsvalidierung, wenn er mindestens einen enthält MID-Server Mit weniger als 10 Integrationen, auch wenn dies der Fall ist MID-Server Ist ausgefallen.

    Erforderliche Rolle: evt_mgmt_admin

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Service Operations-Arbeitsbereichan.
    2. Wählen Sie im linken Bereich das Symbol Integrations Launchpad: Symbol für Integrations-Launchpad.
    3. In Integrationen durchsuchen Registerkarte eingeben Splunk-Poller Im Suchfeld.
    4. Wählen Sie aus Splunk Kachel für Poller-Integration.
      Hinweis:
      Wenn Sie ein Integrationssetup starten, bevor Sie alle Voraussetzungen erfüllen, wird eine Meldung angezeigt. Sie können entweder das Setup abbrechen und zuerst die vorherigen Anforderungen abschließen oder im Entwurfsmodus fortfahren und sie später abschließen. Beachten Sie, dass Sie die Integration erst aktivieren können, wenn alle Voraussetzungen erfüllt sind.
    5. Auf der Geben Sie Details an Füllen Sie die Felder aus.
      Eine Beschreibung der Felder finden Sie unter Geben Sie Details an Tabelle in Splunk Konfigurationsfelder der Poller-Integration.
    6. Wählen Sie Weiter.
    7. Auf der Legen Sie die Datenabrufmethode fest Füllen Sie die Felder aus.
      Eine Beschreibung der Felder finden Sie unter Legen Sie die Datenabrufmethode fest Tabelle in Splunk Konfigurationsfelder der Poller-Integration.
    8. Wählen Sie Aus Erweiterte Einstellungen Und füllen Sie die Felder für die erweiterte Konfiguration aus.
      Feldbeschreibungen finden Sie unter Splunk Konfigurationsfelder der Poller-Integration.
    9. Führen Sie einen der folgenden Schritte aus:
      • Wenn Sie alle Voraussetzungen vor dem Starten der Konfiguration abgeschlossen haben, wählen Sie aus Aktivieren .

        Wählen Sie im Popup-Bildschirm aus Testen und speichern Um die Integration in der Datenbank zu speichern und die Konnektivität zu testen. Wenn ein Fehler zurückgegeben wird, passen Sie die Konfiguration wie in der Fehlermeldung vorgeschlagen an, und versuchen Sie dann erneut, die Integration zu aktivieren.

        Sobald der Test erfolgreich ist, werden die Integration und die aktiviert Übersicht Registerkarte wird angezeigt. Auf der Integrations Launchpad, Die Integrationskachel ist in verfügbar Installierte Integrationen Registerkarte.

      • Wenn Sie nicht alle vorherigen Anforderungen abgeschlossen haben, wählen Sie aus Entwurf speichern .

        Das System speichert die Integration als Entwurf in Integrations Launchpad Installierte Integrationen Registerkarte, unter Warten auf Ihre Aktion . Sie können die Voraussetzungen abschließen und die Installation später aktivieren. Weitere Informationen finden Sie unter Was als Nächstes zu tun ist Abschnitt.

    Nächste Maßnahme

    Nutzen Sie die Informationen im Übersicht Registerkarte zum Verfeinern der Vorgehensweise HLA Liest die Protokolldaten. Weitere Informationen finden Sie unter Überprüfen Sie die Protokoll-Streaming-Daten, und passen Sie die Integrationseinstellungen in an Health Log Analytics.
    Tipp:
    Verwenden Sie das Menü weitere Optionen ( ), um zu öffnen Dateneingabezuordnung , Quelltypstrukturen , Oder Protokollquellen Seiten mit Kontext aus der Integration. Wenn Ihre Protokolldaten nicht ordnungsgemäß zugeordnet, strukturiert oder bezogen sind, kehren Sie zurück, und passen Sie die Konfiguration an. Wenn Service Operations-Arbeitsbereich Log Analytics Anwendung installiert ist, bietet das Menü „weitere Optionen“ auch direkten Zugriff auf Protokoll-Viewer , Wo Sie von der Integration erfasste Rohprotokollnachrichten überprüfen können.
    Weitere Informationen finden Sie unter:
    Wenn Sie die Integration als Entwurf gespeichert haben, führen Sie die folgenden Schritte aus, um sie später zu aktivieren:
    1. Schließen Sie alle vorherigen Anforderungen ab.
    2. In Integrations Launchpad Installierte Integrationen Registerkarte, unter Warten auf Ihre Aktion , Suchen und wählen Sie die Integrationskachel aus.
    3. Wählen Sie auf dem Konfigurationsbildschirm aus Aktivieren .

      Wählen Sie Aus Testen und speichern Um die Integration in der Datenbank zu speichern und die Konnektivität zu testen. Wenn ein Fehler zurückgegeben wird, passen Sie die Konfiguration wie in der Fehlermeldung vorgeschlagen an, und versuchen Sie dann erneut, die Integration zu aktivieren.

      Sobald der Test erfolgreich ist, werden die Integration und die aktiviert Übersicht Registerkarte wird angezeigt. Die Integrationskachel ist in verfügbar Installierte Integrationen Registerkarte im Integrations Launchpad.