Identifier et résoudre un problème de diffusion de journaux dans Analyse de l'intégrité des journaux

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Recherchez et résolvez les problèmes de diffusion de journaux pour vérifier que vos entrées de données transmettent correctement les données de journal à votre instance.

    Avant de commencer

    Rôle requis : evt_mgmt_admin

    Procédure

    1. Accédez à la Tous > Analyse de l'intégrité des journaux > Sources de diffusion.
      La page Sources de diffusion affiche toutes les entrées de données et celles qui reçoivent des Serveurs MID journaux de leur part.
      Remarque :
      • Lorsque Rechercher des noms d’hôtes est sélectionné dans la configuration avancée de l’entrée de données, la page Sources de diffusion affiche le nom d’hôte des appareils qui utilisent un Rsyslog expéditeur ou un expéditeur Filebeat. Pour Elasticsearch les indices, affiche le nom de l’index.
      • Sources de diffusion est également disponible en tant que liste connexe sur le formulaire d’entrée de données. La liste connexe affiche uniquement les appareils de point de terminaison pertinents pour cette entrée de données.
      • Si le moteur est en panne et que les données ont cessé d’être HLA diffusées, une notification s’affiche en haut de la page Sources de diffusion. Lorsque cela se produit, contactez l’assistance ServiceNow .
    2. Sélectionnez un enregistrement d’entrée de données pour afficher les données en continu de ses sources et identifier les problèmes de diffusion et leur cause possible.
      Par exemple, si la dernière heure d’événement enregistrée pour le serveur de point de terminaison d’une entrée de données est hier, ce serveur est peut-être en panne ou mal configuré. Un problème de diffusion peut également être dû au fait que le fichier de configuration d’entrée de données n’est pas installé sur le point de terminaison.
      Filtre Description
      Statut L’état de la source. Une puce rouge indique que cette source n’a pas diffusé de données au cours de la dernière heure.
      Heure du dernier événement La dernière fois enregistrée à laquelle un événement est arrivé dans le Serveur MID dernier intervalle d’une minute.

      Analyse de l'intégrité des journaux Met à jour en permanence l’heure du dernier événement. Si l’heure du dernier événement n’est pas à jour, les données ne sont pas diffusées.
      Lignes de journal brutes/seconde Nombre moyen de lignes de journal brutes qui ont été diffusées par Serveur MID seconde dans le dernier intervalle d’une minute.
      Remarque :
      Cette valeur représente le nombre de lignes de journal brutes avant le prétraitement.
      Lignes de journal prétraitées/seconde Nombre moyen de lignes de journal prétraitées diffusées au Serveur MID par seconde au cours du dernier intervalle d'une minute.
      Remarque :
      Cette valeur peut différer du nombre de lignes de journal brutes par seconde. Par exemple, la différence peut être due au fait que des journaux ont été abandonnés pendant le pré-traitement.
    3. Examinez et résolvez les problèmes de diffusion de données.
      Remarque :
      Si vous rencontrez des problèmes liés aux autorisations avec les données du journal de diffusion de Elasticsearch, reportez-vous à l’article Octroi de privilèges pour les flux de données à partir d’Elasticsearch [KB0967366] dans la Now Support base de connaissances.

    Que faire ensuite

    Lorsque les journaux sont correctement diffusés, procédez au mappage de vos données de journal brutes.
    Remarque :
    Vous pouvez choisir de modifier les données de journal brutes entrantes avant Analyse de l'intégrité des journaux de les traiter. Par exemple, le prétraitement vous permet d’ignorer des parties du journal ou de supprimer des données sensibles de vos journaux. Cette tâche est facultative.