Fonctionnement de la sonde Syslog

La sonde syslog est lancée par un ServiceNow script include (appelé Syslog) qui peut être invoqué à partir d’une Business Rule, d’un événement ou d’une activité Orchestration, et est lancée par un MID Server. Un serveur syslog ou tout serveur pouvant recevoir des messages à l’aide du protocole syslog doit être installé sur la machine destinataire (cible). En règle générale, un serveur de journaux dédié dans le réseau est configuré pour recevoir tous les messages syslog internes. Voici quelques produits qui acceptent les messages syslog :

• ArcSight (en anglais)
• Splunk
• Logique de connexion
• syslog-ng

Exemple

ACME Corporation souhaite envoyer un message de journal de son ServiceNow instance à un serveur syslog ArcSight à l’intérieur de son pare-feu d’entreprise chaque fois que la connexion d’un utilisateur échoue. L’administrateur système utilise l’événement login.failed pour déclencher une règle métier qui appelle le script include Syslog chaque fois qu’une connexion échoue. Le MID Server d’Acme vérifie s’il y a du travail dans la file d’attente ECC et sélectionne la sonde syslog, qui contient l’entrée de journal. Le MID Server envoie ensuite le message de journal au serveur ArcSight, qui collecte les messages de journal de toutes les machines du réseau interne.

Exemple de code

L’exemple de code suivant, inclus dans un événement ou une règle métier, appelle directement le script include Syslog et envoie un message syslog à un serveur syslog désigné :

var sl = new Syslog('FQDN of your syslog server', 'mid.server.Eclipse', 16);
sl.log('This is a sample log message', 6);

Ce code effectue les opérations suivantes :

• Envoie le message du journal à l’installation 16
• Définit la priorité sur 6 (informationnel)
• Envoie le message à votre serveur syslog
• Lance la sonde via le MID Server nommé « Eclipse »