Configurer une Splunk intégration TCP pour Analyse de l'intégrité des journaux

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Configurez une intégration pour diffuser les messages de journal vers votre ServiceNow instance via le protocole de transport TCP à l’aide d’un Splunk redirecteur lourd. Analyse de l'intégrité des journaux Traite les données de journal ingérées.

    Avant de commencer

    • Vérifiez qu’un Serveur MID est installé et configuré avec l’aptitude d’ingestion de journal activée. Pour plus d'informations, consultez MID Server system requirements.

      Configuration du Serveur MID avec l’aptitude d’ingestion de journaux activée.

      Important :
      Analyse de l'intégrité des journaux ne prend pas en charge IPv6. Pour utiliser l'application, configurez le Serveur MID sur IPv4.
    • À moins que les Serveur MID clients externes ne se trouvent sur le même réseau, ils Serveur MID doivent avoir une adresse IP publique. Cela est nécessaire lorsque son adresse IP est exposée via la traduction d’adresses réseau (NAT), un équilibreur de charge ou un appareil similaire. L’adresse IP publique permet aux clients externes, tels que les Filebeat agents situés en dehors de son réseau, d’atteindre le Serveur MID. Les adresses IP privées ne sont pas routables sur Internet. Sans adresse IP publique, les clients externes ne peuvent pas se connecter au Serveur MID même s’ils sont configurés avec son adresse. Dans les propriétés Serveur MID, ajoutez une propriété nommée mid.public_ip avec l'adresse IP publique comme valeur. Pour plus d'informations, voir Créer une propriété de MID Server. Si les clients et les Serveur MID clients externes se trouvent sur le même réseau, les connexions peuvent être établies à l’aide de l’adresse IP privée.
    • Pour expédier vos journaux chiffrés à l’aide de SSL TLS, consultez l’article Streaming Data With Rsyslog & Filebeat Using SSL [KB0866319] dans la base de Now Support connaissances.
    • Doit Serveur MID prendre en charge l’authentification de base.
      Remarque :
      mTLS n’est pas pris en charge pour l’ingestion de journaux.
    • Pas plus que le maximum par défaut de 10 intégrations ne diffusera les journaux à une seule Serveur MID. Vous pouvez modifier le nombre maximal en ajoutant la propriété sn.occ.log_ingestion.max_datainputs_per_midServeur MID, puis en modifiant la valeur par défaut.

      Pour savoir combien d’entrées de données diffusent les journaux en même Serveur MID temps, accédez à la table Sources de diffusion et comptez les entrées de données qui sont diffusées vers un fichier spécifique Serveur MID.

    Rôle requis : evt_mgmt_admin

    Pourquoi et quand exécuter cette tâche

    Vous configurez les intégrations via la zone de lancement des intégrations dans Espace de travail pour l'exploitation des services, à laquelle vous accédez à partir du centre de configuration ITOM AIOps. Le centre de configuration AIOps est un espace de travail centralisé permettant de configurer et de gérer les fonctionnalités AIOps à partir d’un seul endroit. Le processus de configuration des intégrations réduit le temps d’implémentation par rapport à la configuration manuelle des entrées de données dans l’interface classique dans Analyse de l'intégrité des journaux. Pour plus d'informations, consultez Lanceur d'intégrations dans Espace de travail pour l'exploitation des services pour ITOM.

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail pour l'exploitation des services.
    2. En bas du volet de navigation, sélectionnez l’icône Centre de configuration ITOM AIOps Icône Centre de configuration AIOps.
      La ITOM page Centre de configuration AIOps s’affiche. Le centre de configuration est un espace de travail centralisé. Utilisez-le pour configurer et gérer les fonctionnalités AIOps à partir d’un seul endroit.
    3. Dans la section Intégrer, sous Intégrations, sélectionnez Ajouter une intégration.
      La zone de lancement des intégrations s’affiche.
    4. Dans l’onglet Parcourir les intégrations , saisissez Splunk dans le champ de recherche.
    5. Sélectionnez la vignette d’intégration Splunk TCP.
      Remarque :
      Si vous démarrez une configuration d’intégration avant de remplir toutes les conditions préalables, un message s’affiche. Vous pouvez annuler la configuration et remplir d’abord les exigences précédentes. Vous pouvez également continuer en mode brouillon et remplir les besoins ultérieurement. Notez que vous ne pouvez pas activer l’intégration tant que vous n’avez pas rempli toutes les conditions préalables.
    6. Renseignez les champs du formulaire Fournir des détails .
      Pour obtenir une description des champs, reportez-vous à la table Fournir des détails dans Splunk Champs de configuration d’intégration TCP.
    7. Facultatif : Sélectionnez Paramètres avancés , puis remplissez les champs de configuration avancée.
      Pour obtenir une description des champs, reportez-vous au tableau Paramètres avancés dans Splunk Champs de configuration d’intégration TCP.
    8. Sélectionnez Suivant.
    9. Suivez la procédure sur l’écran d’instructions de configuration pour installer l’intégration dans la console tierce.
      Remarque :
      La procédure varie en fonction de vos configurations.
    10. Effectuez l'une des actions suivantes :
      • Si vous avez rempli toutes les conditions préalables avant de commencer la configuration, sélectionnez Activer.

        Lorsque l’intégration est activée avec succès, l’onglet Vue d’ensemble s’affiche. Lanceur d'intégrations Le , la vignette d’intégration est disponible dans l’onglet Intégrations installées.

      • Si vous n’avez pas rempli toutes les conditions préalables, sélectionnez Enregistrer le brouillon.

        Le système enregistre l’intégration sous forme de brouillon dans le Lanceur d'intégrations. Il s’affiche dans l’onglet Intégrations installées , sous En attente de votre action. Vous pouvez remplir les conditions préalables et activer l’intégration ultérieurement. Pour plus d'informations, consultez Activer une intégration de brouillon dans Analyse de l'intégrité des journaux.

    Que faire ensuite

    Dans l’onglet Vue d’ensemble , procédez comme suit :