Rsyslog, Filebeat ou Winlogbeat Champs de configuration des entrées de données

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Description des champs sur les formulaires de configuration d’entrée Rsyslog de données , Filebeat et Winlogbeat.

    Configuration de base

    Tableau 1. Onglet Mise en route
    Champ Description
    Nom de l'entrée de données Nom de la nouvelle entrée de données. Ce champ est obligatoire.
    Description Description de l’entrée de données.
    Serveur MID Vers Serveur MID lequel les journaux sont diffusés.
    Remarque :
    • Vous pouvez sélectionner uniquement des Serveurs MID avec l'aptitude d'ingestion de journaux qui prennent en charge l'authentification de base. Les Serveurs MID qui prennent en charge mTLS ne sont pas répertoriés.
    • Le nombre maximal par défaut d'entrées de données qui diffusent des journaux vers un seul Serveur MID est de 10. Vous pouvez modifier ce nombre dans les propriétés du MID Server.
    Ce champ est obligatoire.
    Port

    Port du Serveur MID.

    Choisissez un port dans la plage suggérée à partir de la baie. Le port ne doit pas être occupé par un autre processus. Assurez-vous que l'équipe de sécurité de votre organisation ouvre le port sélectionné.

    Ce champ est obligatoire.
    Pack de contenu (Linux utilisant Filebeat uniquement) Pack de contenu à utiliser.

    Les packs de contenu contiennent des types de source et des modèles de script de mappage par défaut. Analyse de l'intégrité des journaux Active automatiquement le pack sélectionné et utilise son script de mappage pour mapper les sources d’entrée de données. Pour plus d'informations, consultez Analyse de l'intégrité des journaux Packs de contenu pour un délai de rentabilisation plus rapide.
    Tableau 2. Onglet Mots clés et liaison
    Champ Description
    Chemin d'accès Chemin d’accès complet à partir duquel diffuser les journaux. Vous pouvez utiliser un caractère générique. Ce champ est obligatoire.
    Instance de service Instance de service à laquelle lier les données de journal. Ce champ est obligatoire.
    Remarque :
    S’il n’existe aucune instance de service pertinente, Créer un instance de service et y ajouter des CI. Définissez l’état de la nouvelle instance de service sur Opérationnel.
    Composant Type d’appareil ou couche d’empilement comme contexte pour les journaux utilisé pour la détection et la corrélation des anomalies. Par exemple : Tomcat.

    Les composants représentent généralement les CI dans la CMDB. Plusieurs composants sont souvent regroupés dans une seule instance de service.
    Type de source Le type de source, qui définit la manière dont Analyse de l'intégrité des journaux gère une application spécifique et analyse les données du journal. Par exemple : Tomcat Catalina.

    Chaque entrée de données peut avoir plusieurs types de sources, en fonction de la diversité de ses formats de journal. Les instances de service et les composants peuvent avoir un nombre illimité de types de sources.

    Configuration avancée

    Pour Rsyslog les entrées de données :

    Tableau 3. Formulaire de configuration avancée Rsyslog
    Champ Description Valeurs par défaut
    Utiliser SSL/TLS Option permettant d’utiliser SSL/TLS.
    Rechercher des noms d’hôtes Option permettant d’effectuer une recherche DNS pour résoudre les adresses IP en noms d’hôtes. Faux
    Nombre de threads par Boss Le nombre de threads qui gèrent les connexions. 1
    Nombre de threads de l'agent Le nombre de threads qui gèrent les données entrantes. 4
    Délai d'expiration de lecture en secondes Délai d’expiration en secondes depuis la dernière lecture. À l’expiration du délai d’expiration, le système ferme le canal. 30
    Fuseau horaire par défaut Le fuseau horaire par défaut des événements. Le système utilise cette valeur par défaut lorsque le journal ne spécifie pas de fuseau horaire. GMT
    Taux d'abandon du sous-échantillon Le taux d'événements à abandonner. -1
    Taux de réception de sous-échantillon Le taux d'événements à recevoir. -1
    Longueur maximale en octets La longueur maximale des messages du journal, en octets. 32766
    Codage des caractères Le codage des caractères pour cette entrée de données. UTF-8
    Abandonner si la file d'attente est saturée Option permettant d’ignorer les journaux en cas de chargement sur le Serveur MID.

    Pour les entrées de données qui utilisent des Beats agents :

    Tableau 4. Formulaire de configuration avancée de Beats
    Champ Description Valeur par défaut
    Délai d’inactivité du client (s) Délai de fermeture, en secondes, d’un canal inactif. 15
    Nombre de threads de l'agent Le nombre de threads qui gèrent les données entrantes. 4
    Fuseau horaire par défaut Le fuseau horaire par défaut des événements. Le système utilise cette valeur par défaut lorsque le journal ne spécifie pas de fuseau horaire. GMT
    Taux d'abandon du sous-échantillon Le taux d'événements à abandonner. -1
    Taux de réception de sous-échantillon Le taux d'événements à recevoir. -1
    Longueur maximale en octets Longueur maximale des messages du journal, en octets. 32766
    Codage des caractères Le codage des caractères pour cette entrée de données. UTF-8
    Abandonner si la file d'attente est saturée Option permettant d’ignorer les journaux en cas de chargement sur le Serveur MID. Faux