Configurer manuellement les entrées de Analyse de l'intégrité des journaux données

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Configurezvos entrées de données manuellementAnalyse de l'intégrité des journaux. La configuration de l’entrée de données est une étape essentielle dans la configuration de l’application Analyse de l'intégrité des journaux .

    Avant de commencer

    Remarque :
    Envisagez d’utiliser la configuration guidée pour l’entrée de Analyse de l'intégrité des journaux données, qui garantit que vous disposez de la configuration minimale requise pour le processus d’entrée de données. Pour plus d'informations, consultez Configurer les entrées de données à l’aide Analyse de l'intégrité des journaux de la configuration guidée.
    Important :
    Analyse de l'intégrité des journaux ne prend pas en charge IPv6. Pour utiliser l'application, configurez le Serveur MID sur IPv4.
    • Assurez-vous qu’un serveur MID est installé et configuré avec l’aptitude d’ingestion de journal activée.

      Configuration du serveur MID avec l’aptitude d’ingestion de journaux activée.

    • Si l’adresse IP est exposée par la traduction d’adresses Serveur MID réseau (NAT), un équilibreur de charge ou un appareil similaire, elle doit avoir une adresse IP publique. Dans les propriétés Serveur MID, ajoutez une propriété nommée mid.public_ip avec l'adresse IP publique comme valeur. Pour plus d'informations, voir Créer une propriété de MID Server.
    • Pour plus d'informations sur l'expédition de vos journaux chiffrés à l'aide de SSL/TLS, consultez l'article Streaming Data With Rsyslog & Filebeat Using SSL [KB0866319] dans la base de connaissances Now Support.

    Rôle requis : evt_mgmt_admin. Pour l’entrée de données Syslog Glide : admin.

    Procédure

    1. Configurez une entrée de données en exécutant la procédure décrite dans la documentation du produit concerné.
      Tableau 1. Entrées de données
      Entrée de données Description
      Rsyslog ou Beats L'entrée de données diffuse les données de journal dans votre instance à l'aide de Rsyslog ou Beats.
      Splunk L'entrée de données diffuse les données de journal dans votre instance à l'aide de Splunk.
      Elasticsearch L'entrée de données extrait les données de journal des index Elasticsearch vers votre instance.
      TCP L'entrée de données envoie des messages de journal bruts à votre instance directement via un socket TCP/SSL.
      UDP L’entrée de données transmet les messages de journal bruts à votre ServiceNow instance directement via un socket UDP.
      GCP Pub/Sub L’entrée de données reçoit les messages du journal qui sont publiés dans une Google Cloud rubrique Pub/Sub et les diffuse sur votre ServiceNow instance.
      Serveur MID L'entrée de données collecte les fichiers journaux Serveur MID et les diffuse à votre instance.
      Amazon CloudWatch L'entrée de données diffuse les données de journal de Amazon CloudWatch vers votre instance ServiceNow.
      Amazon S3 L'entrée de données diffuse les données de journal des catégories Amazon S3 (Simple Storage Service) vers votre instance ServiceNow.
      Microsoft Azure Log Analytics L'entrée de données diffuse les données de journal de Microsoft Azure Log Analytics vers votre instance ServiceNow.
      Microsoft Azure Event Hubs L'entrée de données diffuse les événements de Microsoft Azure Event Hubs vers votre instance ServiceNow.
      Apache Kafka L'entrée de données diffuse les données de journal de Apache Kafka vers votre instance ServiceNow.
      API REST L'entrée de données diffuse les données de journal vers votre instance ServiceNow au format JSON.
      Journal système Glide L’entrée de données transmet les données de journal de la table Journal système (Glide Syslog) au moteur d’IA Analyse de l'intégrité des journaux (Occultus).
      Remarque :
      Une seule entrée de données Glide Syslog peut exister dans le système, et seuls les utilisateurs disposant du rôle administrateur peuvent la créer et la configurer. Cette entrée de données ne s’exécute pas sur un serveur MID.
      Agent Client Collector L'entrée de données diffuse les messages de journal vers votre instance ServiceNow à l'aide du ServiceNow Agent Client Collector.

      Cette entrée de données est prise en charge pour une utilisation avec l'application Agent Client Collector Log Analytics, disponible dans le ServiceNow Store.
      Remarque :
      Si vous sélectionnez Tester la connexion à la fin de la procédure, vous vous assurez que votre entrée de données est correctement configurée. Vous ne pouvez publier une configuration d’entrée de données que lorsque la connexion entre le référentiel de Serveur MID données et le référentiel de données a été établie.
    2. Identifiez et résolvez les problèmes de diffusion pour vous assurer que l’entrée de données est une diffusion des données du journal vers Serveur MID toutes les sources.
      Pour plus d'informations, consultez Identifier et résoudre les problèmes de diffusion de journaux.
    3. Déterminez comment Analyse de l'intégrité des journaux gère les données de journal brutes qui sont diffusées dans votre instance.
      Par défaut, chaque ligne de journal entrant est automatiquement mappée sur la balise correcte. Si les propriétés ne sont pas détectées automatiquement, mappez manuellement les sources d'entrée de données en définissant une fonction JavaScript. Pour plus d’informations, consultez Mapper les données brutes.
    4. Facultatif : Modifiez les données de journal brutes avant Analyse de l'intégrité des journaux de les mapper et de les structurer.
      Pour plus d’informations, consultez Modifier vos données de journal brutes avant de les traiter.
    5. Facultatif : Affinez la structure du type de source pour vous assurer qu’elle Analyse de l'intégrité des journaux extrait et classe correctement toutes les propriétés.
      Pour plus d'informations, consultez Affiner la structure du type de source.