Elasticsearch Champs de configuration d’intégration

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 8 minutes de lecture

    • Description des champs sur les formulaires de configuration d’intégration Elasticsearch pour Analyse de l'intégrité des journaux.

    Pour connaître la procédure de configuration de l’intégration Elasticsearch , reportez-vous à la section Configurer une Elasticsearch intégration pour Analyse de l'intégrité des journaux.

    Tableau 1. Fournir des détails
    Champ Description
    Nom de l'intégration Nom unique de cette intégration. Par exemple : Mon Elasticsearch intégration. Ce champ est obligatoire.
    Remarque :
    Lorsque vous remplissez ce champ, le nom générique affiché sur le formulaire s’ajuste automatiquement pour correspondre au nom que vous avez saisi.
    Exécuter sur Option permettant de déterminer s’il faut utiliser une grappe spécifique Serveur MID ou une grappe spécifique Serveur MID .
    Nom du serveur MID

    (Uniquement lorsque l’option Exécuter sur est définie sur Spécifique Serveur MID)

    Vers Serveur MID lequel les données de journal des Elasticsearch index sont extraites. Ce champ est obligatoire.
    Grappe de serveurs MID

    (Uniquement lorsque l’option Exécuter sur est définie sur Spécifique Serveur MID Grappe)

    Grappe Serveur MID vers laquelle les données de journal sont extraites. Ce champ est obligatoire.

    Lorsque vous sélectionnez une grappe, la Serveurs MID grappe sélectionnée et son état s’affichent.

    L’intégration s’exécute sur un seul Serveur MID dans le cluster jusqu’à ce que cela Serveur MID échoue. Le système déplace ensuite toutes les tâches d’intégration vers la prochaine tâche disponible Serveur MID dans la grappe en fonction de l’ordre configuré.

    Remarque :
    • Analyse de l'intégrité des journaux prend en charge uniquement les clusters de basculement Serveur MID . Dans ces clusters, plusieurs Serveurs MID sont regroupés pour la protection contre le basculement. Lors de la sélection d’un cluster dans le formulaire d’intégration, la Serveur MID liste Clusters affiche uniquement les clusters de basculement.
    • La Serveur MID grappe ne doit inclure que Serveurs MID ceux qui prennent en charge l’authentification de base. mTLS n’est pas pris en charge pour l’ingestion de journaux.
    • L’ingestion de journaux doit être activée pour chaque Serveur MID élément de la grappe. Si l’ingestion de journal n’est pas activée pour l’actif Serveur MID, Analyse de l'intégrité des journaux l’active automatiquement.
    • Si Elasticsearch l’authentification par certificat client ou certificat CA est utilisée, tous les Serveurs MID membres de la grappe doivent disposer des certificats appropriés.
    • Le nombre maximal par défaut de journaux de diffusion d’intégrations à un seul Serveur MID est de 10. Une grappe réussit la validation de capacité si elle en contient au moins une Serveur MID avec moins de 10 intégrations en cours d’exécution, même en Serveur MID panne.
    Instance de service Instance de service à laquelle lier les données de journal. Ce champ est obligatoire.
    Remarque :
    S’il n’existe aucune instance de service pertinente, Créer un instance de service et y ajouter des CI. Définissez l’état de la nouvelle instance de service sur Opérationnel.
    Source de données La source des données de journal que l’intégration transmet à votre ServiceNow instance : Elastic. Ce champ est en lecture seule.
    Description Option permettant d’ajouter une brève description de l’intégration pour faciliter son identification.
    Tableau 2. Méthode de récupération de données
    Champ Description
    URL serveur URL utilisée pour accéder à la grappe. Ce champ est obligatoire.
    Méthode d'authentification Méthode d’authentification utilisée pour authentifier l’intégration à Elasticsearch. La valeur par défaut est Aucun.
    Lorsque vous sélectionnez la méthode d’authentification, les champs d’informations d’identification correspondants s’affichent sur le formulaire.
    Remarque :
    En tant qu’administrateur, vous pouvez créer une méthode d’authentification en accédant à Tous > Analyse de l'intégrité des journaux > Méthodes d’authentification et en sélectionnant New (Nouveau).
    Préfixe d'index Préfixe ajouté aux noms des index à partir desquels Elasticsearch vous souhaitez lire les données. L’intégration lit uniquement les données des index qui correspondent au préfixe configuré. Par exemple : network-logs-* correspond à des index tels que network-logs-2024.01.01. Ce champ est obligatoire.

    Ce paramètre garantit que HLA seules les données des indices pertinents sont ingérées.

    Par exemple : only-read-these-indices-*
    Champ d'horodatage de document Champ d'horodatage dans les documents stockés dans les index de lecture. Ce champ est obligatoire.
    Format du champ d'horodatage Format du champ d'horodatage dans les documents.

    Si aucun format n’est spécifié, le format d’heure Epoch Unix par défaut est utilisé, en millisecondes. Par exemple : 1684168407 (15 mai 2023 16:33:27)
    Filtres à terme Carte JSON des termes à filtrer.
    Remarque :
    Évitez d’utiliser le terme requête pour les champs de texte. Si le champ cible est mappé à la fois comme texte et comme mot clé, référencez le mot clé à l’aide de fieldname.keyword.

    Par exemple : {"severity » : ["error », « warning"]}
    Tableau 3. Paramètres avancés
    Champ Description
    Nbre max. de connexions par acheminement Le nombre maximal de connexions à ouvrir par nœud.
    Tranches de défilement maximum Nombre de partitions configurées pour l’index pertinent dans Elasticsearch.

    Ce nombre indique à Elastic le nombre de requêtes parallèles à exécuter dans chaque demande d’interrogation.
    Hôte proxy Nom d’hôte du proxy HTTP par lequel les demandes sont envoyées.
    Port proxy Port du proxy HTTP par lequel les demandes sont envoyées.
    Utiliser la vérification de la politique de certificat MID Option permettant d’activer la vérification de la politique de certificat MID.

    Sélectionnez cette option si vous souhaitez expédier vos journaux chiffrés à l’aide de SSL TLS. Accédez ensuite à Tous > Serveur MID > Politique de sécurité MID et ajoutez la vérification de la politique de certificat MID à la table. Pour plus d’informations, consultez Politiques de vérification des certificats de Serveur MID.
    Utiliser la recherche inter-grappes Option permettant de rechercher des données dans les Elasticsearch grappes.

    Lorsque cette case est cochée, le champ Grappes à rechercher s’affiche .

    Remarque :
    Les paramètres de la case à cocher Utiliser des privilèges minimaux et du champ Retard de lecture de l’horodatage actuel (secondes) du formulaire Configuration avancée affectent la façon dont les données sont collectées sur plusieurs clusters.
    Grappes à rechercher Grappes Elasticsearch à rechercher. Ce champ s’affiche uniquement si la case Utiliser la recherche inter-grappes est cochée.
    Effectuez l'une des actions suivantes :
    • Laissez ce champ vide ou saisissez « * » pour rechercher toutes les grappes distantes définies dans Elasticsearch.
    • Spécifiez les clusters à rechercher dans une liste séparée par des virgules.
      Remarque :
      Pour rechercher également la grappe locale, ajoutez une virgule au début ou à la fin, ou ajoutez deux virgules successivement à la liste. Par exemple : « east,,west » ou « ,east,west » ou « * »,
    Utiliser des privilèges minimaux Option permettant de lire les Elasticsearch données de journal directement à partir des index avec le préfixe configuré.
    • Lorsque cette option est sélectionnée, l’intégration lit les données de journal directement à partir des Elasticsearch index avec le préfixe configuré. Pour effectuer cette tâche, il n’a besoin que de privilèges de lecture.
      Remarque :
      Lorsque cette case est cochée et que vous utilisez la recherche inter-grappes, les données sont collectées simultanément à partir de toutes les grappes.
    • Si cette option est effacée, l’intégration extrait tous les index portant le préfixe, les filtre et lit les données de journal à partir des index filtrés. L’exécution de cette tâche nécessite des privilèges supplémentaires.
      Remarque :
      Si vous laissez cette case décochée lors de l’utilisation de la recherche inter-grappes, la façon dont les données sont collectées à partir des grappes. Pour plus d’informations, consultez l’article Activation et utilisation de la recherche inter-grappes pour les entrées de données Elasticsearch dans Analyse de l’intégrité des journaux [KB1556079] dans la Now Support base de connaissances.

    Pour plus d’informations sur les journaux de diffusion à l’aide de l’intégration Elasticsearch , consultez l’article Flux de journaux à l’aide de l’entrée de données Elasticsearch - Guide avancé [KB1080162] dans la base de Now Support connaissances.
    Nombre maximal de documents par requête Nombre maximum de documents récupérés en une seule requête.
    Départage par l’option sliced-scrolling Valeur utilisée pour découper les données. Chaque tranche est défilée en parallèle. Par défaut : _id
    Départage par l'option search-after Valeur unique par document à utiliser comme départage lors du tri des entrées de journal par horodatage.
    Utiliser l'API search_after Option permettant de basculer entre les API défilement en tranches et rechercher après.
    Remarque :
    Les API à défilement en tranches sont préférables lors de la lecture de données historiques, tandis que les API search-after sont meilleures pour la lecture de données en temps réel.
    Format du suffixe temporel de l'index Format du suffixe temporel lors de l’utilisation de noms d’index basés sur le temps, tels que [logstash-]AAAA. MM.JJ.

    Lorsque vous utilisez des alias, laissez ce champ vide.

    Par exemple : uuuu. MM.dd
    Délai de lecture de données (millisecondes) Durée, en millisecondes, avant l’expiration d’une demande à la Elasticsearch grappe.
    Intervalle de découverte d'index (en secondes) Nombre de secondes entre les demandes intermittentes du serveur MID à la Elasticsearch grappe pour de nouveaux index à partir desquels lire des données.
    Temps de défilement du contexte (millisecondes) Durée de vie du défilement créé lors de l’utilisation de l’API de défilement pour lire les données à partir de Elasticsearch. Pour plus d’informations, consultez la Elasticsearch documentation de l’API scroll.
    Agents des processeurs d'événements Nombre maximal de cœurs de processeur utilisés en parallèle pour traiter les événements extraits de Elasticsearch. Un paramètre plus élevé augmente le débit d’entrée de données au prix d’une utilisation plus élevée du processeur.
    Taille de la file d'attente de l'agent Le nombre maximal de lots à mettre en file d'attente pour traitement. Un paramètre plus élevé augmente le débit, au prix d’une utilisation plus élevée de la RAM.
    Fuseau horaire par défaut Fuseau horaire des événements que le système utilisera si un journal ne spécifie pas le fuseau horaire.

    Par défaut, le système utilise GMT dans de tels cas, mais vous pouvez spécifier un fuseau horaire différent.
    Taux d'abandon du sous-échantillon Nombre d'événements à regrouper par lot, dont un sera ignoré. Ce paramètre permet de réduire le nombre d’événements extraits.
    Taux de réception de sous-échantillon Nombre d'événements à regrouper par lot, dont un sera ignoré. Ce paramètre permet de réduire le nombre d’événements reçus.
    Codage des caractères Le codage des caractères pour cette entrée de données.
    Intervalle de sommeil (en secondes) L'intervalle, en secondes, à attendre avant d'effectuer une nouvelle requête lorsqu'une requête n'a renvoyé aucune donnée.
    Longueur maximale en octets Longueur maximale, en octets, des messages de journal.
    Retard de lecture de l'horodatage actuel (secondes) Le nombre de secondes avant le délai de requête actuel pour inclure des données retardées. Le nombre de secondes configuré est soustrait de l’heure actuelle de lecture du dernier horodatage.
    Remarque :
    Si cette valeur est égale à 0 et que les données sont collectées à partir de plusieurs clusters simultanément, la requête peut ne pas inclure les données qui ont été envoyées avec un délai sur l’un des clusters,
    Intervalle d'interrogation Fréquence à laquelle le système recherche de nouvelles données de journal.