Rsyslog、Filebeat、または Winlogbeat データ入力の構成

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:9分
  • Rsyslog、Filebeat、または Winlogbeat エージェントを使用してログメッセージを ServiceNow インスタンスにストリーミングできるように、データ入力を構成します。

    始める前に

    • MID サーバーがインストールされ、ログ取り込み機能を有効にして設定されていることを確認します。詳細については、「MID Server system requirements」を参照してください。

      ログ取り込み機能が有効になっている MID サーバー構成。

      重要:
      ヘルスログアナリティクス は IPv6 をサポートしていません。アプリケーションを操作するには、MID サーバーを IPv4 に設定します。
    • MID サーバークライアントと外部クライアントが同じネットワーク上にある場合を除き、MID サーバーにはパブリック IP アドレスが必要です。これは、ネットワークアドレス変換 (NAT)、ロードバランサー、または同様のデバイスを介して IP が公開される場合に必要です。パブリック IP アドレスを使用すると、ネットワーク外に Filebeat エージェントなどの外部クライアントが MID サーバーに到達できます。プライベート IP アドレスは、インターネット経由でルーティングできません。パブリック IP がないと、外部クライアントは、そのアドレスが設定されていても、その MID サーバー に接続できません。MID サーバー プロパティで、パブリック IP アドレスを値として指定する mid.public_ip というプロパティを追加します。詳細については、「MID サーバープロパティの作成」を参照してください。MID サーバークライアントと外部クライアントが同じネットワーク上にある場合は、プライベート IP アドレスを使用して接続できます。
    • SSL TLS を使用して暗号化されたログを送信する方法については、Now Support ナレッジベースの記事「Rsyslog と Filebeat による SSL [KB0866319] を使用したデータのストリーミング」を参照してください。

    必要なロール:evt_mgmt_admin

    手順

    1. 移動先 すべて > ヘルスログアナリティクス > データ入力 > データ入力.
    2. [データ入力 (Data Inputs)] ページで、[新規] を選択します。
    3. 次の表に記載された使用可能なデータ入力タイプから、作成するデータ入力タイプを選択します。
      注:
      選択したデータ入力タイプは、受動的データ入力 (リスナー) を補完します。詳細については、「サポートされているデータ入力」を参照してください。
      表 : 1. データ入力タイプ
      タイプ 説明
      Rsyslog Rsyslog エージェントを使用して、ログメッセージを UNIX ベースのサーバーから ServiceNow AI エンジンにストリーミングします。
      Filebeat を使用する Linux ( Linux using Filebeat) Filebeat エージェントを使用して、システムログメッセージとローカルファイルを Linux サーバーからインスタンスにストリーミングします。
      Filebeat を使用する Windows アプリケーションログ (Windows Application Logs using Filebeat) Filebeat エージェントを使用して、ローカルファイルを Microsoft Windows デバイスから ServiceNow インスタンスにストリーミングします。
      Winlogbeat を使用する Windows OS (Windows OS using Winlogbeat) Winlogbeat エージェントを使用して、Windows イベントログを ServiceNow インスタンスにストリーミングします。
    4. [はじめに (Getting Started)] タブで、フォームに入力します。

      フィールドの説明については、「Rsyslog、Filebeat、または Winlogbeat のデータ入力構成のフィールド」を参照してください。

      注:
      Filebeat を使用して Linux のデータ入力を作成する場合は、[コンテンツパック] ドロップダウンからコンテンツパックを選択できます。コンテンツパックにはデフォルトのソースタイプとマッピングスクリプトテンプレートが含まれていて、それらを最初から作成する時間を節約できます。詳細については、「価値実現までの時間を短縮するための ヘルスログアナリティクス コンテンツパック」を参照してください。
    5. エージェントがまだインストールされていない場合は、[インストール] タブでエージェントをダウンロードしてインストールします。
      注:
      エージェントの最新バージョンを実行していることを確認してください。以前のバージョンでも機能しますが、機能が制限されます。
    6. [タグ付けとバインディング (Tagging and Binding)] タブで、構成管理データベース (CMDB) のサービスインスタンスにログをアサインし、そのサービスがログデータ間の関連性を示すことができるようにして、システムで根本原因分析を行えるようにします。
      1. ソースごとに、ストリーミングするログのパスとサービスインスタンスを構成します。
        注:
        デフォルトでは、必須フィールド [パス][サービスインスタンス] のみが表示されます。

        フィールドの説明については、「Rsyslog、Filebeat、または Winlogbeat のデータ入力構成のフィールド」を参照してください。

      2. Filebeat を使用して複数のログを送出する場合は、複数行にわたるテキストメッセージを Filebeat で処理する方法を指定するプロパティを設定します。
        フィールド 説明
        一致 一致する行を Filebeat がイベントに結合する方法を指定します。
        否定 (Negate) ログの行で識別されたパターンを否定するかどうかを指定します。
        正規表現 一致を検出するための正規表現を指定します。
        注:
        ヘルスログアナリティクス は現在、Rsyslog に対して複数のプロパティをサポートしていません。
      3. オプション: 追加のログパスを定義して、データ入力が複数のパスからログタイプをストリーミングできるようにします。
        追加のログパスごとに、次を実行します。
        1. 新しい行を挿入します。
        2. ログパスを構成します。
        3. サービスインスタンスを選択します。
        4. (オプション) コンポーネントとソースタイプを選択します。
        注:
        Winlogbeat を使用する場合は、ヘルスログアナリティクスWindows イベントログをストリーミングするので、このオプションは使用できず、また使用する必要もありません。
    7. [完了] タブで、データ入力タイプの構成を完了します。
      • Rsyslog:
        1. 構成ファイルをダウンロードして、エンドポイントデバイスの /etc/rsyslog.d/rsyslog.conf ディレクトリにインストールします。
          注:
          ヘルスログアナリティクス アプリケーション (バージョン 20.0.11 - July 2021、ServiceNow Storeから入手可能)を使用している場合は、代わりに次の手順を実行します。
          1. エンドポイントデバイスで、構成ファイルを /etc/rsyslog.d/ ディレクトリにインストールします。
          2. sudo mkdir -p/var/spool/rsyslog コマンドを実行して、スプールディレクトリを作成します。
        2. 構成検証のため、rsyslogd -N1 コマンドを実行して出力を確認します。
        3. sudo systemctl restart rsyslog コマンドを実行して Rsyslog を再起動します。
        4. 出力を確認します。エラーがある場合は、/var/log/messages システムログファイルでエラーメッセージを確認し、エラーを修正してください。
      • Filebeat を使用する Linux
        1. 構成ファイルをダウンロードして、エンドポイントデバイスの /etc/filebeat/ ディレクトリにインストールします。
        2. sudo service filebeat start コマンドを実行して、エージェントサービスを開始します。
          注:
          生成された構成では、最後の変更から 6 時間を超えているファイルは無視されます。必要に応じて、構成内でこの設定を変更できます。
        3. 適切なコマンドを実行して、エージェントサービスを再起動します。
      • Beats (Filebeat または Winlogbeat) を使用する Windows
        1. 構成ファイルをダウンロードして、エンドポイントデバイスの C:\Program Files\ ディレクトリにインストールします。
        2. PowerShell で適切なコマンドを実行して、エージェントサービスを開始します。
          • Filebeat:PS > Start-Service filebeat
          • Winlogbeat:PS > Start-Service winlogbeat
          注:
          生成された構成では、最後の変更から 6 時間を超えているファイルは無視されます。必要に応じて、構成内でこの設定を変更できます。
        3. 適切なコマンドを実行して、エージェントサービスを再起動します。
    8. [保存] を選択します。
      ヘルスログアナリティクス でデータ入力レコードがデータ入力テーブルに追加されます。
    9. [テスト接続] を選択して、データ入力が正しく構成されていることを確認します。

      ヘルスログアナリティクスMID サーバー をデータリポジトリに接続しようとします。

      • 接続が確立された場合、[テスト接続] ボタンがオフになり、[公開 (Publish)] ボタンが有効になります。
      • 接続に失敗した場合は、失敗の理由が [エラーメッセージ] フィールドに表示されます。このフィールドは、ストリーミングエラーが発生した場合にのみ表示されます。

        問題を解決し、構成を変更した場合は [保存] を選択し、[テスト接続] を選択して接続を再度テストします。

        注:
        接続が正常に作成された場合にのみ、データ入力構成を公開できます。
      注:
      [変更を元に戻す] を選択すると、最後に公開された構成に戻すことができます。このオプションは、以前に公開された構成を変更する場合にのみ使用できます。
    10. データ入力を MID サーバー に公開するには、[公開 (Publish)] を選択します。

    タスクの結果

    データ入力構成プロセスが完了しました。ヘルスログアナリティクスは、データ入力レコードを [データ入力] テーブルに追加し、構成ファイルをデータ入力レコードに添付します。データ入力により、ServiceNow インスタンスへのログデータストリーミングが開始されます。

    注:
    新しいFilebeatデータ入力用にヘルスログアナリティクス生成される構成ファイルは、Filebeatバージョン 7.14 以降と互換性があります。Elasticsearch が現在サポートしている最小Filebeatバージョンは 7.17 で、サポート終了 (EOL) に近づいています。

    HLA の既存の Filebeat データ入力構成ファイルは、8.x までのFilebeatバージョンと互換性があります。バージョン 9.0 以降 Filebeat 、ログ入力からファイルストリーム入力に移行するか、新しい構成ファイルを生成します。移行プロセスの詳細については、次を参照してください Filebeat ドキュメント.

    次のタスク

    データ入力がストリーミングデータであることを確認します。