Configurer manuellement les entrées de Analyse de l'intégrité des journaux données

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • Configurez manuellement vos Analyse de l'intégrité des journaux entrées de Analyse de l'intégrité des journaux données. La configuration des entrées de données est une étape essentielle dans la configuration de l’application Analyse de l'intégrité des journaux .

    Avant de commencer

    Remarque :
    Envisagez d’utiliser la configuration guidée des Analyse de l'intégrité des journaux entrées de données, qui garantit que vous disposez de la configuration minimale requise pour le processus d’entrée de données. Pour plus d'informations, consultez Configurer les entrées de données à l’aide de Configuration Analyse de l'intégrité des journaux guidée.
    • Vérifiez qu’un Serveur MID est installé et configuré avec l’aptitude d’ingestion de journal activée. Pour plus d'informations, consultez MID Server system requirements.

      Configuration du Serveur MID avec l’aptitude d’ingestion de journaux activée.

      Important :
      Analyse de l'intégrité des journaux ne prend pas en charge IPv6. Pour utiliser l'application, configurez le Serveur MID sur IPv4.
    • À moins que les Serveur MID clients externes ne se trouvent sur le même réseau, ils Serveur MID doivent avoir une adresse IP publique. Cela est nécessaire lorsque son adresse IP est exposée via la traduction d’adresses réseau (NAT), un équilibreur de charge ou un appareil similaire. L’adresse IP publique permet aux clients externes, tels que les Filebeat agents situés en dehors de son réseau, d’atteindre le Serveur MID. Les adresses IP privées ne sont pas routables sur Internet. Sans adresse IP publique, les clients externes ne peuvent pas se connecter au Serveur MID même s’ils sont configurés avec son adresse. Dans les propriétés Serveur MID, ajoutez une propriété nommée mid.public_ip avec l'adresse IP publique comme valeur. Pour plus d'informations, voir Créer une propriété de MID Server. Si les clients et les Serveur MID clients externes se trouvent sur le même réseau, les connexions peuvent être établies à l’aide de l’adresse IP privée.
    • Pour expédier vos journaux chiffrés à l’aide de SSL TLS, consultez l’article Streaming Data With Rsyslog & Filebeat Using SSL [KB0866319] dans la base de Now Support connaissances.

    Rôle requis : evt_mgmt_admin. Pour l’entrée de données des ServiceNow journaux système : admin.

    Procédure

    1. Configurez une entrée de données manuellement en effectuant la procédure pertinente décrite dans la documentation du produit.
      Tableau 1. Entrées de données
      Entrée de données Description
      Agent Client Collector L’entrée de données diffuse des messages de journal à votre instance à l’aide ServiceNow du ServiceNow Agent Client Collector fichier .

      Cette entrée de données est prise en charge pour une utilisation avec l’application Agent Client Collector Analyse de journaux , disponible dans le ServiceNow Store.
      Amazon CloudWatch L'entrée de données diffuse les données de journal de Amazon CloudWatch vers votre instance ServiceNow.
      Amazon S3 Compartiment L'entrée de données diffuse les données de journal des catégories Amazon S3 (Simple Storage Service) vers votre instance ServiceNow.
      Apache Kafka L'entrée de données diffuse les données de journal de Apache Kafka vers votre instance ServiceNow.
      Cribl L’entrée de données permettant de traiter Cribl les messages du Analyse de l'intégrité des journaux journal transmis en continu dans votre ServiceNow instance.
      Edge Delta L’entrée de données permet Analyse de l'intégrité des journaux de traiter les messages de journal Edge Delta transmis en continu dans votre ServiceNow instance.
      Elasticsearch L’entrée de données extrait les données de journal des Elasticsearch index vers votre instance.
      GCP Pub/Sub L’entrée de données reçoit les messages du journal publiés dans une Google Cloud rubrique Pub/Sub et les diffuse à votre ServiceNow instance.
      Microsoft Azure Event Hubs L’entrée de données diffuse les événements depuis Microsoft Azure Event Hubs vers votre ServiceNow instance.
      Microsoft Azure Log Analytics L'entrée de données diffuse les données de journal de Microsoft Azure Log Analytics vers votre instance ServiceNow.
      Serveur MID L’entrée de données collecte les Serveur MID fichiers journaux et les diffuse vers votre instance.
      API REST L'entrée de données diffuse les données de journal vers votre instance ServiceNow au format JSON.
      Rsyslog ou Beats L’entrée de données diffuse les données de journal dans votre instance à l’aide de Rsyslog ou Beats.
      Récupérateur de journaux système ServiceNow L’entrée de données diffuse les données de la ServiceNow table Journal système vers le moteur d’IA Analyse de l'intégrité des journaux .
      Remarque :
      ServiceNow Une seule entrée de données de récupérateur de journaux système peut exister dans le système, et seuls les utilisateurs disposant du rôle administrateur peuvent la créer et la configurer. Cette entrée de données ne s’exécute pas sur un Serveur MID.
      Splunk L’entrée de données diffuse les données de journal dans votre instance à l’aide de Splunk.
      Interrogation Splunk L’entrée de données extrait périodiquement les données du journal à l’aide d’une Splunk requête.
      TCP L’entrée de données envoie des messages de journal bruts à votre instance directement via une embase TCP/SSL.
      UDP L’entrée de données diffuse des messages de journal bruts à votre ServiceNow instance directement via une embase UDP.
      Agent vectoriel L’entrée de données permet Analyse de l'intégrité des journaux de traiter les messages de journal qui sont transmis à votre ServiceNow instance via un agent vectoriel.
      Remarque :
      Le test de la connexion à Serveur MID la fin de la procédure de configuration de l’entrée de données garantit que votre entrée de données est correctement configurée. Vous ne pouvez publier une configuration d’entrée de données que lorsque la connexion entre le Serveur MID et le référentiel de données a été établie.
    2. Identifiez et résolvez les problèmes de diffusion pour confirmer que l’entrée de données est bien celle du journal de diffusion vers Serveur MID toutes les sources.
      Pour plus d'informations, consultez Identifier et résoudre un problème de diffusion de journaux dans Analyse de l'intégrité des journaux.
    3. Facultatif : Modifiez les données de journal brutes avant de Analyse de l'intégrité des journaux les mapper et de les structurer.
      Pour plus d’informations, consultez Modifier vos données de journal brutes avant traitement.
    4. Déterminez la manière dont Analyse de l'intégrité des journaux les données de journal brutes sont diffusées dans votre instance.
      Par défaut, chaque ligne de journal entrante est automatiquement mappée à la balise appropriée. Si les propriétés ne sont pas détectées automatiquement, mappez manuellement les sources d’entrée de données en définissant une fonction JavaScript. Pour plus d’informations, consultez Mapper les données brutes.
    5. Facultatif : Modifiez la structure du type de source pour vous assurer qu’elle Analyse de l'intégrité des journaux extrait et classe toutes les propriétés correctement.
      Pour plus d'informations, consultez Affiner la structure du type de source dans Analyse de l'intégrité des journaux.
    6. Facultatif : Effectuez des tâches de configuration d’entrée de données supplémentaires.
      Pour plus d'informations, consultez Tâches de configuration d’entrées de données supplémentaires dans Analyse de l'intégrité des journaux.