Dateneingaben konfigurieren (Rsyslog, Filebeat oder Winlogbeat)

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 5 Minuten Lesedauer

    • Konfigurieren Sie eine Dateneingabe für das Streaming von Protokollnachrichten an Ihre ServiceNow-Instanz mit einem Rsyslog-, Filebeat- oder Winlogbeat-Agent.Die Konfiguration der Dateneingabe ist ein wichtiger Schritt beim Einrichten der Anwendung Health Log Analytics (HLA).

    Vorbereitungen

    Wichtig:
    Health Log Analytics bietet keine Unterstützung für IPv6. Konfigurieren Sie den MID-Server auf IPv4, um mit der Anwendung zu arbeiten.
    • Stellen Sie sicher, dass ein MID-Server mit aktivierter Protokollerfassungsfunktion installiert und konfiguriert ist.

      MID-Serverkonfiguration mit aktivierter Protokollerfassungsfunktion.

    • Wenn die IP-Adresse MID-Server durch Network Address Translation (NAT), ein Lastenausgleichsmodul oder ein ähnliches Gerät verfügbar gemacht wird, muss sie über eine öffentliche IP-Adresse verfügen. Fügen Sie in den Eigenschaften des MID-Server eine Eigenschaft mit dem Namen mid.public_ip mit der öffentlichen IP-Adresse als Wert hinzu. Weitere Informationen finden Sie unter MID Server-Eigenschaften erstellen.
    • Weitere Informationen zur Übermittlung von Protokollen mit SSL TLS-Verschlüsselung finden Sie im Artikel Streaming Data With Rsyslog & Filebeat Using SSL [KB0866319] (Daten mit Rsyslog & Filebeat über SSL streamen) in der Knowledge Base des Now Support.

    Erforderliche Rolle: evt_mgmt_admin

    Prozedur

    1. Navigieren zu Alle > Health Log Analytics > Dateneingabe > Dateneingaben.
    2. Wählen Sie auf der Seite „Data Inputs“ (Dateneingaben) die Option Neu aus.
    3. Wählen Sie den zu erstellenden Dateneingabetyp aus den in der Tabelle beschriebenen verfügbaren Dateneingabetypen aus.
      Hinweis:
      Der ausgewählte Dateneingabetyp ergänzt die passive Dateneingabe (Listener). Weitere Informationen finden Sie unter Unterstützte Dateneingaben.
      Tabelle : 1. Dateneingabetypen
      Typ Beschreibung
      Rsyslog Streamt Protokollmeldungen von UNIX-basierten Servern an die KI-Engine von ServiceNow mit dem Rsyslog-Agent
      Linux mit Filebeat Streamt Systemprotokollnachrichten und lokale Dateien von Linux-Servern mit dem Filebeat-Agent an die Instanz
      Windows-Anwendungsprotokolle mit Filebeat Streamt lokale Dateien von Microsoft Windows-Geräten mit dem Filebeat-Agent an die ServiceNow-Instanz
      Windows-Betriebssystem mit Winlogbeat Streamt Windows-Event-Protokolle mit dem Winlogbeat-Agent an die ServiceNow-Instanz
    4. Füllen Sie das Formular auf der Registerkarte Erste Schritte aus.

      Feldbeschreibungen finden Sie unter Rsyslog, Filebeat- oder Winlogbeat-Dateneingabe-Konfigurationsfelder.

      Hinweis:
      Wenn Sie eine Dateneingabe für Linux mit Filebeat erstellen, können Sie ein Inhaltspaket aus der Dropdown-Liste Inhaltspaket auswählen. Das Inhaltspaket enthält Standardquelltypen und Zuordnungsskriptvorlagen, mit denen Sie nicht mehr ohne Vorlage erstellen müssen. Weitere Informationen finden Sie unter Health Log Analytics Inhaltspakete für eine schnellere Amortisierungszeit.
    5. Wenn der Agent noch nicht installiert wurde, laden Sie ihn über die Registerkarte Installation herunter, und installieren Sie ihn.
      Hinweis:
      Stellen Sie sicher, dass Sie die neueste Version des Agent ausführen. Frühere Versionen funktionieren, aber mit eingeschränkter Funktionalität.
    6. Weisen Sie auf der Registerkarte Tagging und Bindung einem Anwendungsservice in Configuration Management Database (CMDB) Protokolle zu, damit der Service die Protokolldaten korrelieren und das System Ursachenanalysen durchführen kann.
      1. Konfigurieren Sie für jede Quelle den Pfad und den Anwendungsservice für die zu streamenden Protokolle.
        Hinweis:
        Standardmäßig werden nur die erforderlichen Felder Pfad und Anwendungsservice angezeigt.

        Feldbeschreibungen finden Sie unter Rsyslog, Filebeat- oder Winlogbeat-Dateneingabe-Konfigurationsfelder.

      2. Wenn Sie mehrzeilige Protokolle mit Filebeat versenden möchten, konfigurieren Sie die Eigenschaften, die steuern, wie Filebeat Nachrichten verarbeitet, die sich über mehrere Textzeilen erstrecken.
        Feld Beschreibung
        Match (Übereinstimmung) Gibt an, wie Filebeat übereinstimmende Zeilen zu einem Event kombiniert
        Negieren Definiert, ob das in den Protokollzeilen identifizierte Muster negiert wird
        Regulärer Ausdruck Gibt den regulären Ausdruck an
        Hinweis:
        Health Log Analytics unterstützt derzeit keine mehrzeiligen Eigenschaften für Rsyslog.
      3. Wahlweise: Definieren Sie zusätzliche Protokollpfade, damit die Dateneingabe Protokolltypen aus mehreren Pfaden streamen kann.
        Führen Sie für jeden zusätzlichen Protokollpfad die folgenden Schritte aus:
        1. Fügen Sie eine neue Zeile ein.
        2. Konfigurieren Sie den Protokollpfad.
        3. Wählen Sie einen Anwendungsservice.
        4. (Optional) Wählen Sie eine Komponente und einen Quelltyp aus.
        Hinweis:
        Diese Option ist bei Verwendung von Winlogbeat nicht verfügbar oder erforderlich, da [ Windows die Ereignisprotokolle von Health Log Analytics streamt.
    7. Schließen Sie auf der Registerkarte Fertigstellen die Konfiguration für Ihren Dateneingabetyp ab.
      • Rsyslog:
        1. Laden Sie die Konfigurationsdatei herunter, und installieren Sie sie auf dem Endpunktgerät im Verzeichnis /etc/rsyslog.d/rsyslog.conf.
          Hinweis:
          Wenn Sie Health Log Analytics Anwendung, Version 20.0.11 – Juli 2021, verfügbar im ServiceNow Store verwenden, gehen Sie stattdessen wie folgt vor:
          1. Installieren Sie auf dem Endpunktgerät die Konfigurationsdatei im Verzeichnis /etc/rsyslog.d/.
          2. Erstellen Sie ein Spool-Verzeichnis, indem Sie den Befehl sudo mkdir -p/var/spool/rsyslog ausführen.
        2. Validieren Sie die Konfiguration, indem Sie den Befehl rsyslogd -N1 ausführen und die Ausgabe überprüfen.
        3. Starten Sie Rsyslog neu, indem Sie den Befehl sudo systemctl restart rsyslog ausführen.
        4. Überprüfen Sie die Ausgabe. Wenn die Systemprotokolldatei /var/log/messages Fehler enthält, prüfen und beheben Sie die Fehlermeldungen.
      • Linux mit Filebeat:
        1. Laden Sie die Konfigurationsdatei herunter, und installieren Sie sie auf dem Endpunktgerät im Verzeichnis /etc/filebeat/.
        2. Starten Sie den Agent-Service, indem Sie den Befehl sudo service filebeat start ausführen.
          Hinweis:
          Die generierte Konfiguration ignoriert Dateien, die zuletzt vor mehr als sechs Stunden geändert wurden. Bei Bedarf können Sie diese Einstellung in der Konfiguration ändern.
        3. Starten Sie den Agent-Service neu, indem Sie den entsprechenden Befehl ausführen.
      • Windows mit Beats (Filebeat oder Winlogbeat):
        1. Laden Sie die Konfigurationsdatei herunter, und installieren Sie sie auf dem Endpunktgerät im Verzeichnis C:\Programme\.
        2. Starten Sie den Agent-Service neu, indem Sie den entsprechenden PowerShell-Befehl ausführen.
          • Filebeat: PS > Start-Service filebeat
          • Winlogbeat: PS > Start-Service winlogbeat
          Hinweis:
          Die generierte Konfiguration ignoriert Dateien, die zuletzt vor mehr als sechs Stunden geändert wurden. Bei Bedarf können Sie diese Einstellung in der Konfiguration ändern.
        3. Starten Sie den Agent-Service neu, indem Sie den entsprechenden Befehl ausführen.
    8. Wählen Sie Speichern.
      Health Log Analytics fügt den Dateneingabedatensatz in die Dateneingabentabelle ein.
    9. Stellen Sie sicher, dass die Dateneingabe richtig konfiguriert ist, indem Sie Verbindung testenauswählen.

      Health Log Analytics versucht, den MID-Server mit dem Daten-Repository zu verbinden.

      • Wenn die Verbindung erfolgreich hergestellt wurde, ist die Schaltfläche Verbindung testen deaktiviert und die Schaltfläche Veröffentlichen aktiviert.
      • Wenn die Verbindung fehlgeschlagen ist, wird der Grund für den Fehler im Feld Fehlermeldung angezeigt. Dieses Feld wird nur angezeigt, wenn ein Streaming-Fehler aufgetreten ist.

        Beheben Sie das Problem, wählen Sie Speichern, wenn Sie die Konfiguration geändert haben, und wählen Sie Verbindung testen, um die Verbindung erneut zu testen.

        Hinweis:
        Sie können die Dateneingabekonfiguration nur veröffentlichen, wenn die Verbindung erfolgreich erstellt wurde.
      Hinweis:
      Sie können zur zuletzt veröffentlichten Konfiguration zurückkehren, indem Sie Changes rückgängig machenauswählen. Diese Option ist nur verfügbar, wenn Sie eine zuvor veröffentlichte -Konfiguration ändern.
    10. Wählen Sie Veröffentlichen aus, um die Dateneingabe im MID-Serverzu veröffentlichen.

    Ergebnisse

    Der Konfigurationsprozess für die Dateneingabe ist abgeschlossen. Health Log Analytics fügt den Dateneingabedatensatz der Tabelle „Dateneingaben“ hinzu und hängt die Konfigurationsdatei an den Dateneingabedatensatz an. Die Dateneingabe beginnt mit dem Streaming von Protokolldaten an Ihre ServiceNow -Instanz.

    Nächste Maßnahme

    Stellen Sie sicher, dass die Dateneingabe aus Streaming-Daten besteht.