Modifier les données de journal brutes avant le traitement

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • Vous pouvez modifier les données de journal brutes et abandonner ou décomposer les messages de journal avant qu'ils ne soient traités dans le Serveur MID, et donc avant mappage et structuration par Analyse de l'intégrité des journaux. Par exemple, vous pouvez empêcher les données sensibles d'atteindre le système en remplaçant les noms d'utilisateurs et les mots de passe par un astérisque (*).

    Avant de commencer

    Rôle requis : evt_mgmt_admin

    Procédure

    1. Accédez à la Tout > Analyse de l'intégrité des journaux > Entrée de données > Prétraitement d'entrée de données.
    2. Ouvrez un enregistrement.
      Remarque :
      La première fois que le formulaire de prétraitement s'affiche, Analyse de l'intégrité des journaux récupère automatiquement les exemples de journal. Lors des sessions suivantes, récupérez manuellement les échantillons frais en sélectionnant Actualiser les échantillons.
    3. Facultatif : Évitez d'afficher les exemples de journaux qui sont extraits des journaux bruts de votre organisation en sélectionnant Désactiver les exemples de journaux bruts.
      Sélectionnez cette option si vous ne souhaitez pas exposer vos journaux à Analyse de l'intégrité des journaux.
    4. Facultatif : Observez la façon dont la fonction JavaScript actuelle affecte les lignes de journal.
      1. Ajoutez un exemple de message dans le champ Exemple manuel de test.
      2. Sélectionnez Aller.
      3. Observez la façon dont la fonction JavaScript affecte les lignes de journal.
    5. Dans le champ Exemples d'entrées brutes, choisissez un exemple de journal qui affiche l'effet de votre nouvelle fonction JavaScript sur les lignes de journal lorsque vous le testez.
    6. Définissez une fonction JavaScript qui modifie vos données de journal brutes avant mappage et structuration par Analyse de l'intégrité des journaux.
      Remarque :

      (Entrées de données ACC uniquement) Lorsque Agent Client Collectorbascule sur un autre Serveur MID pour fournir une protection de basculement, il doit passer à une entrée de données ACC différente. Par conséquent, toutes les entrées de données ACC doivent avoir la même fonction JavaScript. Analyse de l'intégrité des journaux fournit la dernière fonction JavaScript publiée à toutes les entrées de données ACC existantes et futures, afin de remplacer le script précédent. Cette fonctionnalité est prise en charge dans l'application Analyse de l'intégrité des journaux, Version 22.0.12 - December 2021 et versions ultérieures, disponible dans le ServiceNow Store.Pour plus d'informations sur la protection contre le basculement dans Agent Client Collector Log Analytics (ACC-L), consultez Agent Client Collector Log Analytics.

      1. Dans la console JavaScript, vous pouvez modifier la fonction JavaScript par défaut fournie, modifier une fonction JavaScript personnalisée existante ou bien en définir une nouvelle.
        Remarque :
        En plus de la fonction JavaScript par défaut pour le prétraitement des données, Analyse de l'intégrité des journaux fournit un modèle de fonction JavaScript nommé Scrubbing. Cette fonction JavaScript supprime les informations personnellement identifiables telles que les adresses e-mail, les numéros de sécurité sociale et les mots de passe des données de journal brutes. Le modèle peut servir de point de départ pour votre code de script personnalisé. Cette fonctionnalité est prise en charge dans l'application Analyse de l'intégrité des journaux, Version 20.0.11 - July 2021, disponible dans le ServiceNow Store.
        Remarque :
        (Entrées de données ACC uniquement) Assurez-vous que votre fonction JavaScript peut être utilisée pour gérer les données diffusées par toutes les entrées de données ACC.
        Les fonctions JavaScript pour le prétraitement des données de journal brut utilisent les objets suivants :
        • Signature : processus de fonction (exemple, métadonnées)
          Objet Description
          sample Exemple de journal actuel.
          metadata Objet contenant le flux d'événements.

          Pour accéder au flux d'événements, appelez la fonction metadata.eventStream. Étant donné que le flux d'événements est un objet, vous pouvez accéder à chacune de ses propriétés en appelant les fonctions metadata.eventStream.origin ou metadata.eventStream.LocalPort.

          La liste des propriétés de flux d'événements disponibles est disponible dans l'onglet Flux d'événements : accès via les métadonnées.
        • Renvoi du type et de la structure
          Remarque :
          La fonction JavaScript renvoie une carte de deux entrées. Ne modifiez pas cette structure de renvoi.
          Objet Description
          modificationInput Message de journal actuel après que la fonction JavaScript a modifié le message d'origine. Si la valeur est null, le message du journal d'origine est utilisé.
          splitEvents Tableau de messages de journal après que la fonction JavaScript a divisé le message d'origine.
        • Pour ignorer un message de journal, appelez return drop().
      2. Testez la fonction JavaScript en sélectionnant Test et en affichant le résultat sur votre exemple de journal dans les listes connexes.
        Onglet Description
        Résultat Résultat de l'exécution de la fonction JavaScript sur votre exemple de journal.
        Flux d'événements : accès via les métadonnées Paires clé-valeur qui présentent les métadonnées du flux d'événements.
        Échecs Exemples de journal sur lesquels la fonction JavaScript n'a pas réussi à s'exécuter.
        Remarque :
        Si votre nouvelle fonction JavaScript ne se comporte pas comme prévu, vous pouvez revenir à la dernière publication en sélectionnant le lien connexe Rétablir la fonction JS.
      3. Facultatif : Effectuez les réglages nécessaires, puis testez à nouveau la fonction JavaScript.
    7. Sélectionnez l'option Enregistrer le modèle pour enregistrer la fonction JavaScript.
      Vous pouvez enregistrer la fonction JavaScript en tant que nouveau modèle ou remplacer le modèle actuellement sélectionné.
      • Pour enregistrer la fonction JavaScript en tant que nouveau modèle, saisissez un nouveau nom dans le champ Nom du modèle.
      • Pour remplacer le modèle actuellement sélectionné dans le champ Modèles de fonction JS, laissez le champ Nom du modèle vide.
    8. Sélectionnez Publier pour enregistrer la fonction JavaScript dans la base de données.

    Résultats

    Lorsque la fonction JavaScript est publiée, Analyse de l'intégrité des journaux l'utilise pour prétraiter vos données de journal brutes avant de les mapper et de les structurer.

    Le nouveau script est automatiquement ajouté à la liste des modèles de fonction JS à partir desquels vous pouvez choisir. Cette fonctionnalité est prise en charge dans l'application Analyse de l'intégrité des journaux, Version 20.0.11 - July 2021, disponible dans le ServiceNow Store.

    (Entrées de données ACC uniquement) Analyse de l'intégrité des journaux fournit la fonction JavaScript publiée à toutes les entrées de données ACC existantes et futures. La nouvelle fonction JavaScript remplace le script précédent.

    Que faire ensuite

    Accédez à la page Mappage d'entrée de données en sélectionnant le lien connexe Accéder au mappage. Mappez les données brutes qui sont diffusées dans votre instance pour déterminer comment Analyse de l'intégrité des journaux va les traiter.