Fonctionnement de la sonde Syslog

La sonde syslog est lancée par un ServiceNow include de script (appelé Syslog) qui peut être invoqué à partir d’une activité de règles métier, d’événement ou d’orchestration et est lancée par un MID Server. Un serveur syslog ou tout serveur pouvant recevoir des messages à l’aide du protocole syslog doit être installé sur la machine destinataire (cible). En règle générale, un serveur de journal dédié dans le réseau est configuré pour recevoir tous les messages syslog internes. Voici quelques produits qui acceptent les messages syslog :

• ArcSight
• Splunk
• LogLogic
• syslog-ng

Exemple

L’entreprise Acme souhaite envoyer un message de journal de son ServiceNow instance à un serveur syslog ArcSight à l’intérieur de son pare-feu d’entreprise chaque fois qu’une connexion utilisateur échoue. L’administrateur système utilise l’événement login.failed pour déclencher une règle métier qui invoque l’include de script Syslog chaque fois qu’une connexion échoue. Le serveur MID d’Acme vérifie la présence de travail dans la file d’attente ECC et récupère la sonde syslog, qui contient l’entrée de journal. Le serveur MID envoie ensuite le message de journal au serveur ArcSight, qui rassemble les messages de journal de toutes les machines du réseau interne.

Exemple de code

L’exemple de code suivant, inclus dans un événement ou une règle métier, appelle directement l’include de script Syslog et envoie un message syslog à un serveur syslog désigné :

var sl = new Syslog('FQDN of your syslog server', 'mid.server.Eclipse', 16);
sl.log('This is a sample log message', 6);

Ce code effectue les actions suivantes :

• Envoie le message du journal à l’installation 16
• Définit la priorité sur 6 (à titre informatif)
• Envoie le message à votre serveur syslog
• Lance la sonde via le MID Server nommé « Eclipse »