Configurer manuellement les entrées de données

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Vous pouvez configurer manuellement Analyse de l'intégrité des journaux vos entrées de données au lieu d’utiliser la configuration guidée d’entrée de données.

    Avant de commencer

    Important :
    Analyse de l'intégrité des journaux ne prend pas en charge IPv6. Pour utiliser l'application, configurez le Serveur MID sur IPv4.
    • Vous devez avoir installé et configuré Serveur MID un système avec l’option d’ingestion de journaux activée.

      Configuration du MID Server avec l’aptitude d’ingestion de journaux activée.

    • Si l’adresse IP est exposée par la traduction d’adresse Serveur MID réseau (NAT), un équilibreur de charge ou un appareil similaire, elle doit avoir une adresse IP publique. Dans les propriétés Serveur MID, ajoutez une propriété nommée mid.public_ip avec l'adresse IP publique comme valeur. Pour plus d'informations, voir Créer une propriété de MID Server.
    • Pour plus d'informations sur l'expédition de vos journaux chiffrés à l'aide de SSL/TLS, consultez l'article Streaming Data With Rsyslog & Filebeat Using SSL [KB0866319] dans la base de connaissances Now Support.
    Remarque :
    L’utilisation de la configuration guidée d’entrée de données garantit que vous avez la configuration minimale requise pour le processus d’entrée de données. Pour plus d'informations, consultez Configurer des entrées de données à l’aide de la configuration guidée.

    Rôle requis : evt_mgmt_admin

    Procédure

    1. Configurez une entrée de données en suivant la procédure dans la documentation du produit concernée.
      Tableau 1. Entrées de données
      Entrée de données Description
      Rsyslog ou Beats L'entrée de données diffuse les données de journal dans votre instance à l'aide de Rsyslog ou Beats.
      Splunk L'entrée de données diffuse les données de journal dans votre instance à l'aide de Splunk.
      Elasticsearch L'entrée de données extrait les données de journal des index Elasticsearch vers votre instance.
      TCP L'entrée de données envoie des messages de journal bruts à votre instance directement via un socket TCP/SSL.
      UDP L’entrée de données diffuse des messages de journal bruts vers votre ServiceNow instance directement via un socket UDP.
      GCP Pub/Sub L’entrée de données reçoit des messages de journal publiés dans une Google Cloud rubrique Pub/Sub et les diffuse à votre ServiceNow instance.
      Serveur MID L'entrée de données collecte les fichiers journaux Serveur MID et les diffuse à votre instance.
      Amazon CloudWatch L'entrée de données diffuse les données de journal de Amazon CloudWatch vers votre instance ServiceNow.
      Amazon S3 L'entrée de données diffuse les données de journal des catégories Amazon S3 (Simple Storage Service) vers votre instance ServiceNow.
      Microsoft Azure Log Analytics L'entrée de données diffuse les données de journal de Microsoft Azure Log Analytics vers votre instance ServiceNow.
      Microsoft Azure Event Hubs L'entrée de données diffuse les événements de Microsoft Azure Event Hubs vers votre instance ServiceNow.
      Apache Kafka L'entrée de données diffuse les données de journal de Apache Kafka vers votre instance ServiceNow.
      API REST L'entrée de données diffuse les données de journal vers votre instance ServiceNow au format JSON.
      Agent Client Collector L'entrée de données diffuse les messages de journal vers votre instance ServiceNow à l'aide du ServiceNow Agent Client Collector.

      Cette entrée de données est prise en charge pour une utilisation avec l'application Agent Client Collector Log Analytics, disponible dans le ServiceNow Store.
      Remarque :
      Si vous sélectionnez Tester la connexion à la fin de la procédure, vous vous assurez que votre entrée de données est correctement configurée. Vous pouvez uniquement publier une configuration d’entrée de données lorsque la connexion entre le référentiel et Serveur MID le référentiel de données a été établie.
    2. Identifiez et traitez les problèmes de diffusion pour vous assurer que l’entrée de données diffuse des données de journal vers Serveur MID toutes les sources.
      Pour plus d'informations, consultez Identifier et résoudre les problèmes de diffusion de journaux.
    3. Déterminez comment Analyse de l'intégrité des journaux gère les données de journal brutes diffusées dans votre instance.
      Par défaut, chaque ligne de journal entrant est automatiquement mappée sur la balise correcte. Si les propriétés ne sont pas détectées automatiquement, mappez manuellement les sources d'entrée de données en définissant une fonction JavaScript. Pour plus d’informations, consultez Mapper les données brutes.
    4. Facultatif : Modifiez les données de journal brutes avant Analyse de l'intégrité des journaux de les mapper et de les structurer.
      Pour plus d’informations, consultez Modifier vos données de journal brutes avant le traitement.
    5. Facultatif : Affinez la structure du type de source pour vous assurer que Analyse de l'intégrité des journaux toutes les propriétés sont extraites et classifiées correctement.
      Pour plus d'informations, consultez Affiner la structure du type de source.