Fonctionnement de la sonde Syslog

La sonde syslog est lancée par un ServiceNow include de script (appelé Syslog) qui peut être invoqué à partir d’une règle métier, d’un événement ou d’une activité d’orchestration et est lancée par un MID Server. Un serveur syslog ou tout serveur pouvant recevoir des messages à l’aide du protocole syslog doit être installé sur la machine destinataire (cible). En règle générale, un serveur de journal dédié dans le réseau est configuré pour recevoir tous les messages syslog internes. Voici quelques produits qui acceptent les messages syslog :

• ArcSight
• Splunk
• LogLogic
• syslog-ng

Exemple

L’entreprise Acme souhaite envoyer un message de journal de son ServiceNow instance à un serveur ArcSight syslog à l’intérieur de son pare-feu d’entreprise chaque fois qu’une connexion utilisateur échoue. L’administrateur système utilise l’événement login.failed pour déclencher une règle métier qui invoque le script include Syslog chaque fois qu’une connexion échoue. Le serveur MID d’Acme vérifie le travail dans la file d’attente ECC et récupère la sonde syslog, qui contient l’entrée de journal. Le MID Server envoie ensuite le message de journal au serveur ArcSight, qui rassemble les messages de journal de toutes les machines du réseau interne.

Exemple de code

L’exemple de code suivant, inclus dans un événement ou une règle métier, appelle directement le script include Syslog et envoie un message syslog à un serveur syslog désigné :

var sl = new Syslog('FQDN of your syslog server', 'mid.server.Eclipse', 16);
sl.log('This is a sample log message', 6);

Ce code effectue les opérations suivantes :

• Envoie le message de journal à l’installation 16
• Définit la priorité sur 6 (informationnel)
• Envoie le message à votre serveur syslog
• Lance la sonde via le MID Server nommé « Eclipse »