Elasticsearch 統合構成フィールド
ヘルスログアナリティクス用の Elasticsearch 統合構成フォームのフィールドについて説明します。
Elasticsearch統合のセットアップ手順については、「ヘルスログアナリティクス の Elasticsearch統合の設定」を参照してください。
| フィールド | 説明 |
|---|---|
| 統合名 | この統合の一意の名前。例:マイ Elasticsearch 統合。このフィールドは必須です。 注: このフィールドに入力すると、フォームに表示される一般名が、入力した名前と一致するよう自動的に調整されます。 |
| 実行 | 特定の MID サーバー または特定の MID サーバー クラスターを使用するかどうかを決定するオプション。 |
| MID サーバー名 | ( [実行日] が [特定の MID サーバー] に設定されている場合のみ) Elasticsearch インデックスに基づくログデータのプル先の MID サーバー。このフィールドは必須です。 |
| MID サーバークラスター | ( [実行日] が [特定の MID サーバー に設定されている場合のみクラスター) ログデータのプル先の MID サーバー クラスター。このフィールドは必須です。クラスターを選択すると、選択したクラスター内の MID サーバー とそのステータスが表示されます。 統合はクラスター内の単一の MID サーバー で実行され、その MID サーバー が失敗するまで実行されます。次に、構成された順序に従って、クラスター内の次に利用可能な MID サーバー にすべての統合タスクが移動されます。 注:
|
| サービスインスタンス | ログデータのバインド先のサービスインスタンス。このフィールドは必須です。 注:
関連するサービスインスタンスが存在しない場合は、 作成 サービスインスタンス CI を追加します。新しいサービスインスタンスのステータスを [運用 (Operational)] に設定します。 |
| データソース | 統合によって ServiceNow インスタンスにプルされるログデータのソース:Elastic。このフィールドは読み取り専用です。 |
| 説明 | 統合の識別に役立つ簡単な説明を追加するオプション。 |
| フィールド | 説明 |
|---|---|
| サーバー URL | クラスターへのアクセスに使用される URL。このフィールドは必須です。 |
| 認証手法 | Elasticsearchへの統合を認証するために使用される認証方法。デフォルトは [なし] です。 認証方法を選択すると、対応する認証情報フィールドがフォームに表示されます。 注: アドミニストレーターは、次の場所に移動して認証方法を作成できます をクリックし、[ 新規] を選択します。 |
| インデックスプリフィックス | データを読み取る Elasticsearch インデックスの名前の先頭に付加されるプリフィックス。統合 は、構成済みのプリフィックスに一致するインデックスからのみデータを読み取ります。例:network-logs-* は、network-logs-2024.01.01 などのインデックスと一致します。このフィールドは必須です。 この設定により、HLA は関連するインデックスからのみデータを取り込むようになります。 例:only-read-these-indices-* |
| ドキュメントタイムスタンプフィールド | 読み取られたインデックスに格納されている、ドキュメントのタイムスタンプフィールド。このフィールドは必須です。 |
| タイムスタンプフィールド形式 | ドキュメントのタイムスタンプフィールドの形式 形式が指定されていない場合は、デフォルトの Unix エポック時間形式 (ミリ秒) が使用されます。例:1684168407 (2023 年 5 月 15 日 16:33:27) |
| 用語フィルター | フィルターする用語の JSON マップ。 注: テキストフィールドに対しては用語クエリを使用しないでください。ターゲットフィールドがテキストとキーワードの両方としてマッピングされている場合は、fieldname.keyword を使用してキーワードを参照します。 例:{"severity": ["error","warning"]} |
| フィールド | 説明 |
|---|---|
| ルートあたりの最大接続数 | ノードごとに開かれる接続の最大数。 |
| 最大スクロールスライス数 | Elasticsearch の関連インデックスに構成されたシャードの数。 この数は、各ポーリング要求で実行する並列クエリの数を Elastic に伝えます。 |
| プロキシホスト | 要求の送信が経由する HTTP プロキシのホスト名。 |
| プロキシのポート | 要求の送信が経由する HTTP プロキシのポート。 |
| MID 証明書ポリシーチェックを使用 | MID 証明書ポリシーチェックを有効にするオプション。 SSL TLS を使用して暗号化したログを送信する場合は、このオプションを選択します。次に、次の場所に移動します。 をクリックし、MID 証明書ポリシーチェックをテーブルに追加します。詳細については、「MID サーバー証明書チェックポリシー」を参照してください。 |
| クラスター間検索の使用 | Elasticsearchクラスター間でデータを検索するオプション。 このチェックボックスをオンにすると、[検索するクラスター (Clusters to search)] フィールドが表示されます。 注:
[詳細構成] フォームの [最小限の権限を使用 (Use minimal privileges)] チェックボックスと [現在のタイムスタンプの読み取り遅延 (秒) (Delay in reading current timestamp (seconds))] フィールドの設定は、複数のクラスターにわたるデータの収集方法に影響します。 |
| 検索するクラスター | 検索する Elasticsearch クラスター。このフィールドは、[ クラスター間検索を使用 ] チェックボックスがオンになっている場合にのみ表示されます。 次のいずれかの操作を行います。
|
| 最小限の権限を使用 | 構成されたプリフィックスを持つ Elasticsearch インデックスからログデータを直接読み取るオプション。
Elasticsearch 統合を使用したストリーミングログの詳細については、Now Support ナレッジベースの記事「Stream logs using Elasticsearch data input - Advanced guide [KB1080162]」を参照してください。 |
| クエリあたりの最大ドキュメント数 | 1 回のクエリでフェッチされる最大ドキュメント数。 |
| スライススクロールタイブレーカー (Sliced-scrolling tie breaker) | データをスライスするために使用される値。各スライスは並列にスクロールされます。デフォルト:_id |
| サーチアフタータイブレーカー | タイムスタンプでログエントリをソートするときにタイブレーカーとして使用する、ドキュメントごとの一意の値。 |
| サーチアフター API の使用 | スライススクロール API とサーチアフター API の使用を切り替えるオプション。 注: 履歴データの読み取りにはスライススクロール API が適していますが、リアルタイムデータの読み取りにはサーチアフター API が適しています。 |
| インデックス時間サフィックス形式 | 時間ベースのインデックス名を使用する場合の時間サフィックスの形式 ([logstash-]YYYY.MM.DD など)。 エイリアスを使用する場合は、このフィールドを空のままにします。 例:uuuu。MM.dd |
| データ読み取りタイムアウト (ミリ秒) | Elasticsearch クラスターへの要求がタイムアウトするまでの時間 (ミリ秒)。 |
| インデックス検出間隔 (秒) (Index discovery interval (seconds)) | データの読み取り元となる新しいインデックスを MID サーバーが Elasticsearch クラスターに断続的に要求する間隔の秒数。 |
| スクロールコンテキスト時間 (ミリ秒) | スクロール API を使用して Elasticsearch からデータを読み取る際に作成されるスクロールの有効期間。詳細については、Elasticsearch スクロール API のドキュメントを参照してください。 |
| イベントプロセッサワーカー (Event processor workers) | Elasticsearch からフェッチされたイベントを処理するために、同時に使用される CPU コアの最大数。この設定を大きくすると、CPU 使用率が高くなりますが、データ入力スループットは向上します。 |
| ワーカーキューサイズ (Worker queue size) | 処理のためにキューに入れるバッチの最大数。この設定を大きくすると、RAM 使用率が高くなりますが、スループットは向上します。 |
| デフォルトのタイムゾーン (Default time zone) | ログにタイムゾーンが指定されていない場合にシステムで使用されるイベントのタイムゾーン。 このような場合、デフォルトでは GMT が使用されますが、別のタイムゾーンを指定することもできます。 |
| サブサンプルドロップ率 (Sub sample drop ratio) | 一緒にバッチ処理をするイベントの数。その中から 1 つが破棄されます。この設定は、フェッチするイベントの数を減らすために使用されます。 |
| サブサンプル受信率 | 一緒にバッチ処理をするイベントの数。その中から 1 つを除くすべてが破棄されます。この設定は、受信するイベントの数を減らすために使用されます。 |
| 文字エンコード | このデータ入力の文字エンコード。 |
| スリープ間隔 (秒) (Sleep interval (seconds)) | クエリでデータが返されなかった場合に、クエリを再実行するまで待機する間隔 (秒)。 |
| 最大長 (バイト) (Max length in bytes) | ログメッセージの最大長 (バイト)。 |
| 現在のタイムスタンプの読み取り遅延 (秒) | 遅延データを含めるためにクエリを実行する現在時刻までの秒数。設定された秒数は、最後のタイムスタンプを読み取るために現在の時刻から差し引かれます。 注: この値が 0 で、データが複数のクラスターから同時に収集される場合、いずれかのクラスターで遅延して送信されたデータはクエリに含まれない可能性があります。 |
| ポーリング間隔 | システムが新しいログデータをポーリングする頻度。 |