Configurer manuellement les entrées de Analyse de l'intégrité des journaux données

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 5 minutes de lecture

    • Configurez manuellement vos Analyse de l'intégrité des journaux entrées de Analyse de l'intégrité des journaux données. La configuration des entrées de données est une étape essentielle dans la configuration de l’application Analyse de l'intégrité des journaux .

    Avant de commencer

    Remarque :
    Envisagez d’utiliser la Analyse de l'intégrité des journaux configuration guidée de l’entrée de données, qui garantit que vous disposez de la configuration minimale requise pour le processus d’entrée de données. Pour plus d'informations, consultez Configurer les entrées de données à l’aide de Configuration Analyse de l'intégrité des journaux guidée.
    • Vérifiez qu’un Serveur MID est installé et configuré avec l’aptitude d’ingestion de journal activée. Pour plus d'informations, consultez MID Server system requirements.

      Configuration du Serveur MID avec l’aptitude d’ingestion de journaux activée.

      Important :
      Analyse de l'intégrité des journaux ne prend pas en charge IPv6. Pour utiliser l'application, configurez le Serveur MID sur IPv4.
    • Lorsque l’adresse IP est exposée via la traduction d’adresses Serveur MID réseau (NAT), un équilibreur de charge ou un appareil similaire, elle doit disposer d’une Serveur MID adresse IP publique pour être accessible par des clients externes, tels que Filebeat des agents, situés en dehors de son réseau. Les adresses IP privées ne sont pas routables sur Internet, donc sans adresse IP publique, ces clients externes ne peuvent pas se connecter même Serveur MID s’ils sont configurés avec son adresse. Dans les propriétés Serveur MID, ajoutez une propriété nommée mid.public_ip avec l'adresse IP publique comme valeur. Pour plus d'informations, voir Créer une propriété de MID Server.
      Remarque :
      Si les clients externes se trouvent sur le même réseau, une adresse IP publique n’est Serveur MID pas nécessaire et les connexions peuvent être établies à l’aide de l’adresse IP privée.
    • Pour expédier vos journaux chiffrés à l’aide de SSL TLS, consultez l’article Streaming Data With Rsyslog & Filebeat Using SSL [KB0866319] dans la base de Now Support connaissances.

    Rôle requis : evt_mgmt_admin. Pour l’entrée de données des ServiceNow journaux système : admin.

    Procédure

    1. Configurez une entrée de données manuellement en effectuant la procédure pertinente décrite dans la documentation du produit.
      Tableau 1. Entrées de données
      Entrée de données Description
      Rsyslog ou Beats L'entrée de données diffuse les données de journal dans votre instance à l'aide de Rsyslog ou Beats.
      Splunk L'entrée de données diffuse les données de journal dans votre instance à l'aide de Splunk.
      Interrogation Splunk L’entrée de données extrait périodiquement les données du journal à l’aide d’une Splunk requête.
      Elasticsearch L'entrée de données extrait les données de journal des index Elasticsearch vers votre instance.
      TCP L'entrée de données envoie des messages de journal bruts à votre instance directement via un socket TCP/SSL.
      UDP L’entrée de données diffuse des messages de journal bruts à votre ServiceNow instance directement via une embase UDP.
      GCP Pub/Sub L’entrée de données reçoit les messages du journal publiés dans une Google Cloud rubrique Pub/Sub et les diffuse à votre ServiceNow instance.
      Serveur MID L'entrée de données collecte les fichiers journaux Serveur MID et les diffuse à votre instance.
      Amazon CloudWatch L'entrée de données diffuse les données de journal de Amazon CloudWatch vers votre instance ServiceNow.
      Amazon S3 Compartiment L'entrée de données diffuse les données de journal des catégories Amazon S3 (Simple Storage Service) vers votre instance ServiceNow.
      Microsoft Azure Log Analytics L'entrée de données diffuse les données de journal de Microsoft Azure Log Analytics vers votre instance ServiceNow.
      Microsoft Azure Event Hubs L'entrée de données diffuse les événements de Microsoft Azure Event Hubs vers votre instance ServiceNow.
      Apache Kafka L'entrée de données diffuse les données de journal de Apache Kafka vers votre instance ServiceNow.
      API REST L'entrée de données diffuse les données de journal vers votre instance ServiceNow au format JSON.
      Récupérateur de journaux système ServiceNow L’entrée de données diffuse les données de la ServiceNow table Journal système vers le moteur d’IA Analyse de l'intégrité des journaux .
      Remarque :
      ServiceNow Une seule entrée de données de récupérateur de journaux système peut exister dans le système, et seuls les utilisateurs disposant du rôle administrateur peuvent la créer et la configurer. Cette entrée de données ne s’exécute pas sur un Serveur MID.
      Cribl Entrée de données permettant de traiter les messages du journal Cribl transmis en Analyse de l'intégrité des journaux continu dans votre ServiceNow instance.
      Edge Delta L’entrée de données permet Analyse de l'intégrité des journaux de traiter les messages de journal Edge Delta transmis en continu dans votre ServiceNow instance.
      Agent vectoriel L’entrée de données permet Analyse de l'intégrité des journaux de traiter les messages de journal qui sont transmis à votre ServiceNow instance via un agent vectoriel.
      Agent Client Collector L'entrée de données diffuse les messages de journal vers votre instance ServiceNow à l'aide du ServiceNow Agent Client Collector.

      Cette entrée de données est prise en charge pour une utilisation avec l'application Agent Client Collector Log Analytics, disponible dans le ServiceNow Store.
      Remarque :
      La sélection de Test de la connexion à la fin de la procédure garantit que votre entrée de données est correctement configurée. Vous ne pouvez publier une configuration d’entrée de données que lorsque la connexion entre le Serveur MID et le référentiel de données a été établie.
    2. Identifiez et résolvez les problèmes de diffusion pour vous assurer que l’entrée de données diffuse les données du journal depuis Serveur MID toutes les sources.
      Pour plus d'informations, consultez Identifier et résoudre un problème de diffusion de journaux dans Analyse de l'intégrité des journaux.
    3. Facultatif : Modifiez les données de journal brutes avant Analyse de l'intégrité des journaux de les mapper et de les structurer.
      Pour plus d’informations, consultez Modifier vos données de journal brutes avant le traitement.
    4. Déterminez la façon dont Analyse de l'intégrité des journaux les données de journal brutes qui sont diffusées dans votre instance.
      Par défaut, chaque ligne de journal entrant est automatiquement mappée sur la balise correcte. Si les propriétés ne sont pas détectées automatiquement, mappez manuellement les sources d'entrée de données en définissant une fonction JavaScript. Pour plus d’informations, consultez Mapper les données brutes.
    5. Facultatif : Modifiez la structure du type de source pour vous assurer qu’elle Analyse de l'intégrité des journaux extrait et classe toutes les propriétés correctement.
      Pour plus d'informations, consultez Affiner la structure du type de source dans Analyse de l'intégrité des journaux.
    6. Facultatif : Effectuez des tâches de configuration d’entrée de données supplémentaires.
      Pour plus d'informations, consultez Tâches de configuration d’entrées de données supplémentaires dans Analyse de l'intégrité des journaux.