Créer une politique de Agent Client Collector journal

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Créez une nouvelle politique de journal ACC lorsqu’aucune politique par défaut n’existe pour le CI que vous souhaitez Agent Client Collector surveiller.

    Avant de commencer

    • L’application Agent Client Collector Analyse du journal (ACC-L), disponible dans le ServiceNow Store, doit être installée. Pour plus d'informations, consultez Agent Client Collector L’installation.
    • Le Agent Client Collector est fourni avec l’utilisateur par défaut servicenow . Assurez-vous que cet utilisateur dispose d’un accès en lecture pour activer Agent Client Collector l’affichage de tous les chemins d’accès au journal configurés. Par exemple, l’utilisateur Agent Client Collector servicenow installé avec le système de base n’a pas les autorisations nécessaires pour afficher les chemins d’accès à /var/log/ dans Linux et C :\Windows\System32 dans Windows. Pour plus d’informations sur la configuration des autorisations pour l’utilisateur servicenow , consultez l’article Problèmes d’autorisation refusée ACC-L [KB1117271] dans la Now Support base de connaissances.

    Rôle requis : agent_client_collector_admin

    Procédure

    1. Accédez à la Tous > Analyse de journaux ACC > Politiques de journal ACC.
      La page Politiques affiche toutes les Analyse du journal politiques. Pour obtenir la liste des stratégies associées au système de base, reportez-vous à la section Agent Client Collector Analyse du journal Politiques et vérifications par défaut.
    2. Cliquez sur Nouveau.
      Remarque :
      Pour en savoir plus sur la création d’une politique ACC, reportez-vous à la section Créer une nouvelle Agent Client Collector politique.
    3. Remplissez les champs du formulaire.
      Tableau 1. Formulaire de définition de politique
      Champ Description
      Nom Un nom descriptif pour la politique.
      Description Description de la politique.
      État de publication Codée en dur comme brouillon, ce qui signifie que la politique n’a pas encore été publiée. Vous ne pouvez pas modifier ce champ.
      Hiérarchie Codé en dur comme Aucun. Lorsqu’une politique enfant est ajoutée à la politique, la valeur devient Parent. Les politiques enfants ont la valeur Enfant.
    4. Dans l’onglet Vérifications , associez la politique de journal à la vérification de l’expéditeur de grumes pertinente.
      • Pour Linux et Windows, à l’exception Windows des journaux des événements, sélectionnez la définition de vérification log shipper .
      • Pour Windows les journaux d’événements uniquement, sélectionnez la définition de vérification log shipper for win events .
    5. Sous l’onglet CI surveillés , spécifiez les CI auxquels la politique s’applique.
      1. Choisissez le type de CI à surveiller.
        • Type de CI surveillé par filtre : sélectionnez le type de CI surveillé. Vous pouvez affiner les CI qui seront surveillés à l’aide de conditions de filtre.
        • Type de CI surveillé par script : spécifiez les CI surveillés à l’aide d’un script.
        • Type de CI surveillé par groupe CMDB : spécifiez les CI surveillés à l’aide des requêtes de groupe CMDB.

        Pour plus d’informations sur le choix des types de CI surveillés, reportez-vous à la section Créer une nouvelle Agent Client Collector politique.

      2. Facultatif : Surveillez uniquement les CI associés à un service d’application en sélectionnant l’option Filtrer les CI surveillés par service d’application.
        Vous pouvez spécifier les services d’application à surveiller à l’aide de conditions de filtre. Agent Client Collector récupère uniquement les journaux des CI associés à ces services d’application.
    6. Enregistrez la politique de journal.
      Dans la liste connexe Vérifier les instances, un enregistrement d’instance de vérification est créé.
    7. Ouvrez l’enregistrement d’instance de vérification pertinent, puis sélectionnez Modifier dans Sandbox.
    8. Sélectionnez la liste connexe Configurations du chemin d’accès au journal.
    9. Ajoutez un chemin d’accès au journal pour l’instance de vérification.
      Remarque :
      Une vérification doit avoir au moins un chemin d’accès au journal configuré pour activer les journaux de diffusion. Pour plus d’informations sur les contrôles, reportez-vous à .Vérifications et politiques
      1. Sélectionnez Nouveau.
      2. Remplissez les champs du formulaire.
        Tableau 2. Formulaire de configuration du nouveau chemin d’accès
        Champ Description
        Chemin d'accès Chemin d’accès complet à partir duquel les journaux sont diffusés. Vous pouvez utiliser un caractère générique. Ce champ est obligatoire.
        Composant Type d’appareil ou couche de pile qui fournit un contexte pour les journaux, utilisé pour la détection et la corrélation des anomalies. Par exemple : Tomcat.
        Type de source Définit la manière dont Analyse de l'intégrité des journaux gère un type de journal spécifique et analyse les données du journal. Par exemple : Tomcat Catalina.
      3. Facultatif : Pour l’expédition de journaux multilignes à l’aide Filebeat de , configurez les propriétés suivantes.

        Ces paramètres contrôlent la façon dont Agent Client Collector Analyse du journal (ACC-L) gère les messages qui s’étendent sur plusieurs lignes de texte.

        Pour plus d’informations, consultez Gérer les messages multilignes dans la documentation Elastic.

        Champ Description
        Multiline.Pattern (RegEx) L’expression régulière à faire correspondre.
        Remarque :
        Vous devez définir cette propriété avant de pouvoir configurer les propriétés multiline.match et multiline.negate .
        ATCH multiligne.m Comment ACC-L combine les lignes correspondantes en une seule ligne logarithmique.

        Les options disponibles sont Aucun, Avant et Après. La valeur par défaut est Aucun.
        multiline.negate Option permettant de déterminer si le motif identifié dans les lignes du journal est annulé.

        Les options disponibles sont Aucun, Vrai et Faux. La valeur par défaut est Aucun.
      4. Facultatif : Définissez les propriétés suivantes qui contrôlent la Filebeat configuration YML.
        Champ Description
        Champs Champ qui vous permet d’inclure et d’exclure des informations dans la sortie. Par exemple, vous pouvez ajouter un champ pour filtrer les données du journal.

        Ajoutez d’autres lignes de champ en sélectionnant l’icône plus en regard du champ Valeur : icône Plus.. Supprimez une ligne de champ en sélectionnant l’icône moins : Icône moins..

        Pour plus d’informations, consultez la description des champs d’entrée de journal dans la documentation Elastic.
        Options de configuration Champ vous permettant d’ajouter des options de configuration aux lignes de journal. Par exemple, vous pouvez ajouter le codage à utiliser.
        Remarque :
        Définissez uniquement les options de configuration prises en charge par Filebeat.

        Pour plus d’informations, consultez la description des options de configuration de l’entrée Journal dans la documentation d’Elastic.
      5. Sélectionnez OK.
        Le chemin d’accès au journal est créé.
    10. Sélectionnez Revenir à la politique.
    11. Sur le formulaire de politique, sélectionnez Publier.
      L’état Publication de la politique passe à Publié.
    12. Facultatif : Activez la politique en sélectionnant Activer.

    Que faire ensuite

    Assurez-vous que l’entrée de données est des données en continu.