Créer une politique de journal Agent Client Collector

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Créez une nouvelle politique de journal ACC lorsqu'aucune politique par défaut n'existe pour le CI que Agent Client Collector doit surveiller.

    Avant de commencer

    • L'application Agent Client Collector Analyse du journal (ACC-L), disponible via le ServiceNow Store, doit être installée. Pour plus d'informations, consultez Installation d'Agent Client Collector.
    • Agent Client Collector est livré avec l'utilisateur servicenow par défaut. Assurez-vous que cet utilisateur dispose d'un accès en lecture pour activer Agent Client Collector, afin d'afficher tous les chemins d'accès aux journaux configurés. Par exemple, l'utilisateur Agent Client Collector servicenow qui est installé avec le système de base n'a pas les autorisations nécessaires pour afficher les chemins d'accès à /var/log/ dans Linux, ni le chemin d'accès à C:\Windows\System32 dans Windows. Pour en savoir plus sur la configuration des autorisations pour l'utilisateur servicenow, consultez l'article ACC-L Permission Denied issues [KB1117271] dans la base de connaissances de Now Support.

    Rôle requis : agent_client_collector_admin

    Procédure

    1. Accédez à la Tout > Analyse des journaux ACC > Politiques de journal ACC.
      La page Politiques affiche toutes les politiques Analyse du journal. Pour obtenir une liste des politiques fournies avec le système de base, consultez la rubrique Agent Client Collector Analyse du journal Politiques et vérifications par défaut.
    2. Cliquez sur Nouveau.
      Remarque :
      pour obtenir des informations générales sur la création d'une politique ACC, consultez la rubrique Créer une nouvelle politique Agent Client Collector.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire de définition de la politique
      Champ Description
      Nom Nom descriptif de la politique.
      Description Description de la politique.
      État de publication Codé en dur avec la valeur Brouillon, ce qui signifie que la politique n'a pas encore été publiée. Vous ne pouvez pas modifier ce champ.
      Hiérarchie Codé en dur avec la valeur Aucun. Lorsqu'une politique enfant est ajoutée à la politique, la valeur passe à Parent. Les politiques enfants ont une valeur Enfant.
    4. Dans l'onglet Vérifications, associez la politique de journal à la vérification de l'expéditeur de journaux pertinente.
      • Pour Linux et Windows, à l'exception des journaux d'événements Windows, sélectionnez la définition de vérification log shipper.
      • Pour les journaux d'événements Windows uniquement, sélectionnez la définition de vérification log shipper for win events.
    5. Dans l'onglet CI surveillés, spécifiez les CI auxquels la politique s'applique.
      1. Choisissez le type de CI à surveiller.
        • Type de CI surveillé par filtre : sélectionnez le type de CI surveillé. Vous pouvez affiner les CI qui seront surveillés à l'aide de conditions de filtre.
        • Type de CI surveillé par script : spécifiez les CI surveillés à l'aide d'un script.
        • Type de CI surveillé par groupe CMDB : spécifiez les CI surveillés à l'aide de requêtes de groupe CMDB.

        Pour en savoir plus sur le choix des types de CI surveillés, consultez la rubrique Créer une nouvelle politique Agent Client Collector.

      2. Facultatif : Surveillez uniquement les CI associés à un service d'application en sélectionnant Filtrer les CI surveillés par service d'application.
        Vous pouvez spécifier les services d'application à surveiller à l'aide de conditions de filtre. Agent Client Collector récupère uniquement les journaux des CI associés à ces services d'application.
    6. Enregistrez la politique de journal.
      Dans la liste connexe Instances de vérification, un enregistrement d'instance de vérification est créé.
    7. Ouvrez l'enregistrement d'instance de vérification approprié, puis sélectionnez Modifier dans le bac à sable.
    8. Sélectionnez la liste connexe Configurations du chemin d'accès au journal.
    9. Ajoutez un chemin d'accès au journal pour l'instance de vérification.
      Remarque :
      une vérification doit disposer au moins d'un chemin d'accès au journal configuré pour activer la diffusion des journaux. Pour en savoir plus sur les vérifications, consultez la rubrique Vérifications et politiques.
      1. Sélectionnez Nouveau.
      2. Renseignez les champs du formulaire.
        Tableau 2. Formulaire Configuration du nouveau chemin d'accès
        Champ Description
        Path Chemin d'accès complet à partir duquel les journaux sont diffusés. Vous pouvez utiliser un caractère générique. Ce champ est obligatoire.
        Composant Type d'appareil ou couche de pile qui fournit un contexte pour les journaux, utilisé pour la détection et la corrélation d'anomalie. Par exemple : Tomcat.
        Type de source Définit la façon dont Analyse de l'intégrité des journaux gère un type de journal spécifique et analyse les données du journal. Par exemple : Tomcat Catalina.
      3. Facultatif : Pour l'expédition des journaux multilignes à l'aide de Filebeat, configurez les propriétés suivantes.

        Ces paramètres contrôlent la façon dont Agent Client Collector Analyse du journal (ACC-L) gère les messages disposant de plusieurs lignes de texte.

        Pour plus d’informations, consultez Gérer les messages multilignes dans la documentation Elastic.

        Champ Description
        multiline.pattern (regex) Expression régulière à faire correspondre.
        Remarque :
        vous devez définir cette propriété avant de pouvoir configurer les propriétés multiline.match et multiline.negate.
        multiline.match Façon dont ACC-L combine les lignes correspondantes dans une ligne de journal unique.

        Les options disponibles sont Aucun, Avant et Après. La valeur par défaut est Aucun.
        multiline.negate Option permettant de déterminer si le modèle identifié dans les lignes du journal est annulé.

        Les options disponibles sont Aucun, Vrai et Faux. La valeur par défaut est Aucun.
      4. Facultatif : Définissez les propriétés suivantes qui contrôlent la configuration Filebeat YML.
        Champ Description
        Champs Champ qui vous permet d'inclure et d'exclure des informations dans la sortie. Par exemple, vous pouvez ajouter un champ pour filtrer les données du journal.

        Ajoutez d'autres lignes de champ en sélectionnant l'icône Plus en regard du champ Valeur : icône Plus.. Supprimez une ligne de champ en sélectionnant l'icône moins : icône Moins..

        Pour en savoir plus, consultez la description des champs d'entrée de journal dans la documentation Elastic.
        Options de configuration Champ qui vous permet d'ajouter des options de configuration aux lignes de journal. Par exemple, vous pouvez ajouter le codage à utiliser.
        Remarque :
        Définissez uniquement les options de configuration prises en charge par Filebeat.

        Pour en savoir plus, consultez la description des options de configuration de l'entrée de journal dans la documentation Elastic.
      5. Sélectionnez OK.
        Le chemin d'accès au journal est créé.
    10. Sélectionnez Revenir à la politique.
    11. Sur le formulaire Politique, sélectionnez Publier.
      La politique passe à l'état Publié.
    12. Facultatif : Activez la politique en sélectionnant Activer.

    Que faire ensuite

    Assurez-vous que l'entrée de données contient des données de diffusion.