データ入力構成の変更

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:4分

    • 既存のデータ入力構成に新たなパスを追加したり、データ入力の MID サーバー の宛先やポートを変更したりすることで、ヘルスログアナリティクス のデータ入力の構成を変更します。

    始める前に

    必要なロール:evt_mgmt_admin

    手順

    1. 次のように移動する。 All (すべて) > ヘルスログアナリティクス > データ入力 > データ入力.
    2. データ入力テーブルからレコードを開きます。
    3. データ入力の構成を変更します。
      説明
      名前 データ入力の名前。
      説明 データ入力の説明。
      ポート
      MID サーバー のポート。
      注:
      ポートが別のプロセスで占有されていてはなりません。選択したポートが組織のセキュリティチームによって開かれていることを確認してください。
      MID ログのストリーミング先の MID サーバー
      注:
      • ベーシック認証をサポートする、ログ取り込み機能を備えた MID サーバー のみを選択できます。mTLS をサポートする MID サーバー は表示されません。
      • 1 つの MID サーバー にログをストリーミングするデータ入力のデフォルトの最大数は 10 です。この数値は、MID サーバーのプロパティで変更できます。
      表 : 1. 設定
      説明
      パス ログのストリーミング元の完全パス。ワイルドカードを使用できます。
      注:
      この列は、Winlogbeat を使用する Windows システムでは利用できません。
      サービス インスタンス ログデータのバインド先のサービスインスタンス。
      注:
      関連するサービスインスタンスが存在しない場合、 作成: サービスインスタンス CI を追加します。新しいサービスインスタンスのステータスを [運用] に設定します。
      コンポーネント 例外の検出と関連付けに使用されるログのコンテキストとしてのデバイスタイプまたはスタックレイヤー。例:Tomcat。

      コンポーネントは通常、CMDB 内の CI を表します。多くの場合、複数のコンポーネントが 1 つの サービス インスタンスにクラスター化されます。
      ソースタイプ ヘルスログアナリティクス による特定のアプリケーションの処理方法とログデータの解析方法を定義するソースタイプ。例:Tomcat Catalina。

      各データ入力には、そのログ形式の多様性に応じて複数のソースタイプを設定できます。サービスインスタンスとコンポーネントには、任意の数のソースタイプを設定できます。
      Filebeat のみを使用する Linux/Windows システムで複数行のメッセージを処理する場合:
      一致 一致する行を Filebeat でイベントに結合する方法 (after または before) を指定します。
      否定 (Negate) ログ行で識別されたパターンを否定するかどうかを指定するブール値。デフォルト値は false です。
      正規表現 一致を検出するための正規表現。
      注:
      Rsyslog 構成ファイルに変更を加えて、エージェントにアプリケーションログのほかにシステムログをシッピングさせることができます。詳細については、Now Support ナレッジベースの「Rsyslog を使用したシステムログシッピング (Shipping system logs using Rsyslog) [KB0954507]」の記事を参照してください。
    4. [更新] を選択します。
    5. Rsyslog または Beats エージェントのみを使用するデータ入力の場合は、サーバー側の構成ファイルを再ビルドしてエンドポイントデバイスにインストールします。
      1. [構成ファイルを再ビルド (Rebuild configuration file)] を選択します。

        ヘルスログアナリティクス で構成ファイルが再ビルドされ、[添付ファイルを管理] セクションに保存されます。使用するエージェントに応じて、再ビルドされたファイルは rsyslog.ymlfilebeat.yml、または winlogbeat.yml のいずれかとして保存されます。

        以前の構成ファイルの名前は、ファイルを再ビルドした日時のサフィックスがファイル名に自動的に追加されて変更されます。

      2. データ入力タイプに従って、再ビルドされた構成ファイルをエンドポイントにインストールします。
        データ入力タイプ アクション
        Rsyslog
        1. ファイルをダウンロードして、エンドポイントデバイスの /etc/rsyslog.d/rsyslog.conf ディレクトリにインストールします。
        2. rsyslogd -N1 コマンドを実行して構成を検証します。
        3. 出力を確認します。エラーがある場合は、/var/log/messages システムログファイルでエラーメッセージを確認し、エラーを修正してください。
        4. sudo systemctl restart rsyslog コマンドを実行して Rsyslog を再起動します。
        Linux
        1. ファイルをダウンロードして、エンドポイントデバイスの /etc/filebeat/ ディレクトリにインストールします。
        2. sudo service filebeat restart コマンドを実行して、エージェントサービスを再開します。
        注:
        生成された構成では、最後の変更から 6 時間を超えているファイルは無視されます。必要に応じて、構成ファイルのこの設定を変更できます。
        Beats (Filebeat または Winlogbeat) を使用する Windows
        1. ファイルをダウンロードして、エンドポイントデバイスの C:\Program Files\ ディレクトリにインストールします。
        2. PowerShell で適切なコマンドを実行して、エージェントサービスを再開します。
          • Filebeat:PS > Restart-Service filebeat
          • Winlogbeat:PS > Restart-Service winlogbeat
        注:
        生成された構成では、最後の変更から 6 時間を超えているファイルは無視されます。必要に応じて、構成ファイルのこの設定を変更できます。