Identifier et résoudre les problèmes de diffusion de journaux

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Identifiez et résolvez les problèmes de diffusion des journaux pour vous assurer que les entrées de données que Analyse de l'intégrité des journaux vous avez configurées diffusent correctement les données vers votre ServiceNow instance.

    Avant de commencer

    Rôle requis : evt_mgmt_admin

    Procédure

    1. Accédez à la Tout > Analyse de l'intégrité des journaux > Sources de diffusion.
      La page Sources de diffusion affiche toutes les entrées de données et celles Serveurs MID qui reçoivent des journaux de leur part.
      Remarque :
      • Lorsque Rechercher des noms d'hôtes est sélectionné dans la configuration avancée de l'entrée de données, la page Sources de diffusion affiche le nom d'hôte des appareils qui utilisent un expéditeur Rsyslog ou Filebeat. Pour les index Elasticsearch, elle affiche le nom de l'index.
      • La page Sources de diffusion est également disponible sous forme de liste connexe sur le formulaire d'entrée de données. La liste connexe affiche uniquement les points de terminaison pertinents pour cette entrée de données.
    2. Sélectionnez un enregistrement d'entrée de données pour afficher les données de diffusion de leurs sources, et ainsi identifier les problèmes de diffusion et leur cause possible.
      Par exemple, si l'heure du dernier événement enregistrée pour un serveur de point de terminaison d'une entrée de données est hier, ce serveur peut être en panne ou mal configuré. Un problème de diffusion peut également être causé par le fichier de configuration d'entrée de données qui n'est pas installé sur le point de terminaison.
      Filtre Description
      États État de la source. Une puce rouge indique que cette source n'a pas diffusé de données au cours de la dernière heure.
      Heure du dernier événement Heure enregistrée du dernier événement arrivé au Serveur MID au cours du dernier intervalle d'une minute.

      Analyse de l'intégrité des journaux met à jour en permanence l'heure du dernier événement. Si l'heure du dernier événement n'est pas à jour, les données ne sont pas diffusées.
      Lignes de journal brutes/seconde Nombre moyen de lignes de journal brutes diffusées au Serveur MID par seconde au cours du dernier intervalle d'une minute.
      Remarque :
      Cette valeur représente le nombre de lignes de journal brutes avant le prétraitement.
      Lignes de journaux prétraitées/seconde Nombre moyen de lignes de journal prétraitées diffusées au Serveur MID par seconde au cours du dernier intervalle d'une minute.
      Remarque :
      Cette valeur peut différer du nombre de lignes de journal brutes par seconde. Par exemple, la différence peut être le résultat de l'abandon de journaux pendant le prétraitement.
    3. Examinez et résolvez tous les problèmes de diffusion de données.
      Remarque :
      Si vous rencontrez des problèmes liés aux autorisations avec les données de journal de diffusion à partir de Elasticsearch, consultez l'article Octroi de privilèges pour les flux de données à partir d'Elasticsearch [KB0967366] dans la base de connaissances Now Support.

    Que faire ensuite

    Lorsque les journaux sont correctement diffusés, passez au mappage de vos données de journal brutes.
    Remarque :
    Vous pouvez choisir de modifier les données de journal brut entrantes avant que Analyse de l'intégrité des journaux ne les traite. Par exemple, le prétraitement vous permet d'ignorer les portions de journal ou de supprimer des données sensibles de vos journaux. Cette tâche est facultative.