Rsyslog、Filebeat、または Winlogbeat のデータ入力の構成

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:8分

    • Rsyslog、Filebeat、または Winlogbeat エージェントを使用してログメッセージを ServiceNow インスタンスにストリーミングできるように、データ入力を構成します。

    始める前に

    • MID サーバーがインストールされ、ログ取り込み機能を有効にして設定されていることを確認します。

      ログ取り込み機能が有効になっている MID サーバー構成。

      重要:
      ヘルスログアナリティクス は IPv6 をサポートしていません。アプリケーションを操作するには、MID サーバーを IPv4 に設定します。
    • MID サーバー の IP アドレスがネットワークアドレス変換 (NAT)、ロードバランサー、または同様のデバイスで公開される場合は、パブリック IP アドレスが必要です。MID サーバー プロパティで、パブリック IP アドレスを値として指定する mid.public_ip というプロパティを追加します。詳細については、「MID サーバープロパティの作成」を参照してください。
    • SSL TLS を使用して暗号化されたログの送付の詳細については、Now Support ナレッジベースの「Rsyslog と Filebeat による SSL を利用したデータストリーミング (Streaming Data With Rsyslog & Filebeat Using SSL) [KB0866319]」の記事を参照してください。

    必要なロール:evt_mgmt_admin

    手順

    1. 次のように移動する。 All (すべて) > ヘルスログアナリティクス > データ入力 > データ入力.
    2. [データ入力 (Data Inputs)] ページで、[新規] を選択します。
    3. 次の表に記載された使用可能なデータ入力タイプから、作成するデータ入力タイプを選択します。
      注:
      選択したデータ入力タイプは、受動的データ入力 (リスナー) を補完します。詳細については、「サポートされているデータ入力」を参照してください。
      表 : 1. データ入力タイプ
      タイプ 説明
      Rsyslog Rsyslog エージェントを使用して、ログメッセージを UNIX ベースのサーバーから ServiceNow AI エンジンにストリーミングします。
      Filebeat を使用する Linux ( Linux using Filebeat) Filebeat エージェントを使用して、システムログメッセージとローカルファイルを Linux サーバーからインスタンスにストリーミングします。
      Filebeat を使用する Windows アプリケーションログ (Windows Application Logs using Filebeat) Filebeat エージェントを使用して、ローカルファイルを Microsoft Windows デバイスから ServiceNow インスタンスにストリーミングします。
      Winlogbeat を使用する Windows OS (Windows OS using Winlogbeat) Winlogbeat エージェントを使用して、Windows イベントログを ServiceNow インスタンスにストリーミングします。
    4. [はじめに (Getting Started)] タブで、フォームに入力します。

      フィールドの説明については、「Rsyslog、Filebeat、または Winlogbeat のデータ入力構成のフィールド」を参照してください。

      注:
      Filebeat を使用して Linux のデータ入力を作成する場合は、[コンテンツパック] ドロップダウンからコンテンツパックを選択できます。コンテンツパックにはデフォルトのソースタイプとマッピングスクリプトテンプレートが含まれていて、それらを最初から作成する時間を節約できます。詳細については、「価値実現までの時間を短縮するための ヘルスログアナリティクス コンテンツパック」を参照してください。
    5. エージェントがまだインストールされていない場合は、[インストール] タブでエージェントをダウンロードしてインストールします。
      注:
      エージェントの最新バージョンを実行していることを確認してください。以前のバージョンでも機能しますが、機能が制限されます。
    6. [ タグ付けとバインディング ] タブで、 構成管理データベース (CMDB) 内のサービスインスタンスにログを割り当てて、サービスがログデータを関連付けて、システムが根本原因分析を実行できるようにします。
      1. ソースごとに、ストリーミングするログのパスとサービスインスタンスを構成します。
        注:
        デフォルトでは、必須フィールドの [パス ] と [サービス インスタンス ] のみが表示されます。

        フィールドの説明については、「Rsyslog、Filebeat、または Winlogbeat のデータ入力構成のフィールド」を参照してください。

      2. Filebeat を使用して複数のログを送出する場合は、複数行にわたるテキストメッセージを Filebeat で処理する方法を指定するプロパティを設定します。
        フィールド 説明
        一致 一致する行を Filebeat がイベントに結合する方法を指定します。
        否定 (Negate) ログの行で識別されたパターンを否定するかどうかを指定します。
        正規表現 一致を検出するための正規表現を指定します。
        注:
        ヘルスログアナリティクス は現在、Rsyslog に対して複数のプロパティをサポートしていません。
      3. オプション: 追加のログパスを定義して、データ入力が複数のパスからログタイプをストリーミングできるようにします。
        追加のログパスごとに、次を実行します。
        1. 新しい行を挿入します。
        2. ログパスを構成します。
        3. サービスインスタンスを選択します。
        4. (オプション) コンポーネントとソースタイプを選択します。
        注:
        Winlogbeat を使用する場合は、ヘルスログアナリティクスWindows イベントログをストリーミングするので、このオプションは使用できず、また使用する必要もありません。
    7. [完了] タブで、データ入力タイプの構成を完了します。
      • Rsyslog
        1. 構成ファイルをダウンロードして、エンドポイントデバイスの /etc/rsyslog.d/rsyslog.conf ディレクトリにインストールします。
          注:
          ヘルスログアナリティクス アプリケーション (バージョン 20.0.11 - July 2021、ServiceNow Storeから入手可能)を使用している場合は、代わりに次の手順を実行します。
          1. エンドポイントデバイスで、構成ファイルを /etc/rsyslog.d/ ディレクトリにインストールします。
          2. sudo mkdir -p/var/spool/rsyslog コマンドを実行して、スプールディレクトリを作成します。
        2. 構成検証のため、rsyslogd -N1 コマンドを実行して出力を確認します。
        3. sudo systemctl restart rsyslog コマンドを実行して Rsyslog を再起動します。
        4. 出力を確認します。エラーがある場合は、/var/log/messages システムログファイルでエラーメッセージを確認し、エラーを修正してください。
      • Filebeat を使用する Linux
        1. 構成ファイルをダウンロードして、エンドポイントデバイスの /etc/filebeat/ ディレクトリにインストールします。
        2. sudo service filebeat start コマンドを実行して、エージェントサービスを開始します。
          注:
          生成された構成では、最後の変更から 6 時間を超えているファイルは無視されます。必要に応じて、構成内でこの設定を変更できます。
        3. 適切なコマンドを実行して、エージェントサービスを再起動します。
      • Beats (Filebeat または Winlogbeat) を使用する Windows
        1. 構成ファイルをダウンロードして、エンドポイントデバイスの C:\Program Files\ ディレクトリにインストールします。
        2. PowerShell で適切なコマンドを実行して、エージェントサービスを開始します。
          • Filebeat:PS > Start-Service filebeat
          • Winlogbeat:PS > Start-Service winlogbeat
          注:
          生成された構成では、最後の変更から 6 時間を超えているファイルは無視されます。必要に応じて、構成内でこの設定を変更できます。
        3. 適切なコマンドを実行して、エージェントサービスを再起動します。
    8. [保存] を選択します。
      ヘルスログアナリティクス でデータ入力レコードがデータ入力テーブルに追加されます。
    9. [テスト接続] を選択して、データ入力が正しく構成されていることを確認します。

      ヘルスログアナリティクスMID サーバー をデータリポジトリに接続しようとします。

      • 接続が確立された場合、[テスト接続] ボタンがオフになり、[公開 (Publish)] ボタンが有効になります。
      • 接続に失敗した場合は、失敗の理由が [エラーメッセージ] フィールドに表示されます。このフィールドは、ストリーミングエラーが発生した場合にのみ表示されます。

        問題を解決し、構成を変更した場合は [保存] を選択し、[テスト接続] を選択して接続を再度テストします。

        注:
        接続が正常に作成された場合にのみ、データ入力構成を公開できます。
      注:
      [変更を元に戻す] を選択すると、最後に公開された構成に戻すことができます。このオプションは、以前に公開された構成を変更する場合にのみ使用できます。
    10. データ入力を MID サーバー に公開するには、[公開 (Publish)] を選択します。

    タスクの結果

    データ入力構成プロセスが完了しました。ヘルスログアナリティクスは、データ入力レコードを [データ入力] テーブルに追加し、構成ファイルをデータ入力レコードに添付します。データ入力により、ServiceNow インスタンスへのログデータストリーミングが開始されます。

    注:
    ヘルスログアナリティクス AI エンジンが停止し、データのストリーミングが停止した場合、データ入力設定ページの上部に通知が表示されます。これが発生した場合は、ServiceNow サポートにお問い合わせください。

    次のタスク

    データ入力がストリーミングデータであることを確認します。