Elasticsearch 데이터 입력 구성 필드

취리히 IT 운영 관리

Release: zurich
ft:locale: ko-KR
ft:publication_title: 취리히 IT 운영 관리
ft:clusterId: itom
bundleId: itom
workflow: Technology

Elasticsearch 데이터 입력 구성 필드

릴리스 버전: Zurich

업데이트 날짜 2025년 07월 31일

소요 시간: 9분

Elasticsearch 데이터 입력 구성 양식의 필드에 대한 설명입니다.

기본 구성


필드	설명
이름	새 데이터 입력의 이름입니다. 이 필드는 필수입니다.
설명	데이터 입력에 대한 설명입니다.
다음에서 실행	특정 MID 서버 또는 MID 서버 클러스터를 사용할지 여부를 결정하는 옵션입니다. 이 기능은 ServiceNow Store에서 제공되는 상태 로그 분석 애플리케이션(버전 26.0.17 - 2023년 2월 이후)에서 지원됩니다.
MID	(다음에서 실행 필드가 특정 MID 서버로 설정된 경우에만) Elasticsearch 인덱스에서 로그 데이터가 스트리밍되는 MID 서버 주: 기본 인증을 지원하는 MID 서버만 선택할 수 있습니다. mTLS를 지원하는 MID 서버는 목록에 표시되지 않습니다. 단일 MID 서버에 로그를 스트리밍하는 최대 데이터 입력 수의 기본값은 10입니다. MID 서버 속성에서 이 수를 수정할 수 있습니다. 선택한 MID 서버에 대해 로그 수집이 활성화되지 않은 경우 상태 로그 분석가 로그 수집을 자동으로 활성화합니다. 이 필드는 필수입니다.
MID 서버 클러스터	(다음에서 실행 필드가 특정 MID 서버 클러스터로 설정된 경우에만) 로그 데이터를 끌어오는 대상인 MID 서버 클러스터입니다. 데이터 입력은 MID 서버가 실패할 때까지 클러스터의 단일 MID 서버에서 실행됩니다. 그런 다음 시스템은 구성된 순서에 따라 모든 데이터 입력 작업을 클러스터에서 사용 가능한 다음 MID 서버로 이전합니다. 이 기능은 ServiceNow Store에서 제공되는 상태 로그 분석 애플리케이션(버전 26.0.17 - 2023년 2월 이후)에서 지원됩니다. 주: 상태 로그 분석는 페일오버 MID 서버 클러스터만 지원합니다. 이러한 클러스터에서는 페일오버 보호를 위해 여러 개의 MID 서버가 함께 그룹화됩니다. 데이터 입력 양식에서 클러스터를 선택할 때 MID 서버 클러스터 목록에는 페일오버 클러스터만 표시됩니다. MID 서버 클러스터에는 기본 인증을 지원하는 MID 서버만 포함되어야 합니다. mTLS는 로그 수집에 지원되지 않습니다. 클러스터의 MID 서버별로 로그 수집을 활성화해야 합니다. 활성 MID 서버에 대해 로그 수집이 활성화되지 않은 경우 상태 로그 분석가 로그 수집을 자동으로 활성화합니다. Elasticsearch가 클라이언트 인증서 또는 CA 인증서 인증을 사용하는 경우 클러스터에 있는 모든 MID 서버에 적절한 인증서가 있어야 합니다. 단일 MID 서버에 로그를 스트리밍하는 최대 데이터 입력 수의 기본값은 10입니다. 클러스터에 데이터 입력이 10개 미만인 MID 서버가 하나 이상 있는 경우 MID 서버가 다운된 경우에도 클러스터는 용량 확인을 통과합니다. MID 서버 클러스터에 대한 자세한 내용은 MID 서버 클러스터 구성을 참조하십시오. 이 필드는 필수입니다.
서비스 인스턴스	로그 데이터를 바인딩할 서비스 인스턴스입니다. 이 필드는 필수입니다. 주: 관련 서비스 인스턴스가 없는 경우 생성 서비스 인스턴스 을 클릭하고 CI를 추가합니다. 새 서비스 인스턴스의 상태를 운영으로 설정하십시오.

다음 필드에는 읽기 전용 정보가 표시됩니다.


필드	설명
상태	데이터 입력의 상태입니다.
전송	로그 데이터를 스트리밍하는 데 사용하는 프로토콜입니다. 이 데이터 입력이 Elastic을 사용하여 로그 데이터를 인스턴스로 스트리밍합니다.
소스 수	이 데이터 입력이 생성한 로그 소스의 수입니다.
사용 중지 시간	데이터 입력이 중지되거나 실패한 시간입니다.
마지막 로그 시간	데이터 입력에서 로그가 마지막으로 스트리밍된 시간입니다.

표 1. 전송 탭
필드	설명
서버 URL	클러스터에 접근하는 데 사용되는 URL입니다. 이 필드는 필수입니다.
경로당 최대 연결 수	노드당 열리는 최대 연결 수입니다. 기본값: 2.
최대 스크롤 슬라이스	Elasticsearch에서 관련 인덱스로 구성된 샤드의 개수입니다. 이 숫자는 각 폴링 요청에서 실행할 병렬 쿼리의 수를 Elastic에 알려줍니다.
프록시 호스트	요청을 전송하는 HTTP 프록시의 호스트 이름입니다.
프록시 포트	요청을 전송하는 HTTP 프록시의 포트 이름입니다.
인증 방법	데이터 입력을 Elasticsearch로 인증하는 데 사용되는 인증 방법입니다. 옵션은 기본 인증, API 키 또는 클라이언트 인증서입니다. 주: 필요한 인증 방법을 선택하면 해당 자격 증명 필드가 양식에 표시됩니다.
기본 인증 자격 증명	Elasticsearch 검색 엔진에 연결하는 데 사용되는 사용자 이름 및 암호입니다. 주: 이 필드 또는 AWS 자격 증명 필드를 채웁니다.
AWS 자격 증명	AWS 호스팅 Elasticsearch 검색 엔진에 연결하는 데 사용하는 AWS 자격 증명입니다. 주: 이 필드 또는 기본 인증 자격 증명 필드를 채웁니다.
AWS 영역	Elasticsearch 클러스터가 실행되는 AWS 영역입니다.
API 키 자격 증명	Elasticsearch 검색 엔진에 연결하는 데 사용되는 API 키입니다.
클라이언트 인증서	Elasticsearch 검색 엔진에 연결하는 데 사용되는 클라이언트 인증서입니다.
MID 인증서 정책 검사 사용	MID 인증서 정책 검사를 활성화하는 옵션입니다. SSL TLS를 사용하여 암호화된 로그를 배송하려면 이 옵션을 선택합니다. 그런 다음 다음으로 이동합니다. 모두 > MID 서버 > MID 보안 정책 을 클릭하고 MID 인증서 정책 검사를 테이블에 추가합니다. 자세한 내용은 MID 서버 인증서 검사 정책을 참조하십시오.

표 2. 쿼리 설정 탭
필드	설명	예
시작/끝	읽을 데이터의 시작 날짜/시간부터 마지막 날짜/시간입니다. 시작: 이 날짜 이전의 데이터는 읽지 않습니다. 주: 이 값을 과거 날짜로 설정하면 읽어야 할 데이터 양이 많아 정체가 발생할 수 있습니다. 끝: 이 날짜 이후의 데이터는 읽지 않습니다. 실시간 데이터를 얻으려면 이 날짜를 먼 미래로 설정하십시오.	시작: 1970-01-01 15:59:59 끝: 2300-01-01 15:59:59
클러스터 간 검색 사용	Elasticsearch 클러스터 간에 데이터를 검색하기 위한 옵션입니다. 이 확인란을 선택하면 검색할 클러스터 필드가 표시됩니다. 주: 고급 구성 양식의 최소 권한 사용 확인란 및 현재 타임스탬프 읽기 지연(초) 필드의 설정은 여러 클러스터 간에 데이터가 수집되는 방식에 영향을 줍니다.
검색할 클러스터	검색할 Elasticsearch 클러스터입니다. 이 필드는 클러스터 간 검색 사용 확인란이 선택된 경우에만 표시됩니다. 다음 중 하나를 수행합니다. 이 필드를 비워 두거나 ''를 입력하여 Elasticsearch에 정의된 모든 원격 클러스터를 검색합니다. 쉼표로 구분된 목록에서 검색할 클러스터를 지정합니다. 주: 로컬 클러스터도 검색하려면 시작 또는 끝 부분에 쉼표를 추가하거나 목록에 쉼표 두 개를 연속해서 추가합니다. 예: 'east,,west' 또는 ',east,west' 또는 ','	east,west,south
인덱스 접두사	읽으려는 Elasticsearch 인덱스의 접두사입니다. 데이터 입력은 이 접두사가 있는 인덱스만 읽습니다. 이 필드는 필수입니다.	only-read-these-indices-*
최소 권한 사용	구성된 프리픽스가 있는 Elasticsearch 인덱스에서 직접 로그 데이터를 읽는 옵션입니다. 이 옵션을 선택하면 데이터 입력이 구성된 프리픽스가 있는 Elasticsearch 인덱스에서 직접 로그 데이터를 읽습니다. 이 작업을 수행하려면 읽기 권한만 필요합니다. 주: 이 확인란을 선택하고 클러스터 간 검색을 사용하는 경우 모든 클러스터에서 데이터가 동시에 수집됩니다. 옵션을 지우면 데이터 입력이 프리픽스로 모든 인덱스를 가져오고 필터링한 후 필터링된 인덱스에서 로그 데이터를 읽습니다. 이 작업을 수행하려면 추가 권한이 필요합니다. 주: 클러스터 간 검색을 사용할 때 이 확인란을 선택 취소하면 클러스터에서 데이터를 수집하는 방식이 달라집니다. 자세한 내용은 Now Support 지식베이스의 상태 로그 분석에서 Elasticsearch 데이터 입력에 대한 클러스터 간 검색 활성화 및 사용 [KB1556079] 문서를 참조하십시오. Elasticsearch 데이터 입력을 사용하는 로그 스트리밍에 대한 자세한 내용은 Now Support 지식베이스의 Elasticsearch 데이터 입력을 사용하여 로그 스트리밍 - 고급 가이드 [KB1080162] 문서를 참조하십시오.
문서 타임스탬프 필드	읽기 인덱스에 저장된 문서의 타임스탬프 필드입니다. 이 필드는 필수입니다.
타임스탬프 필드 형식	문서의 타임스탬프 필드의 형식입니다. 지정된 형식이 없으면 기본 Unix epoch 시간 형식(밀리초 단위)이 사용됩니다. 예: 1684168407(2023년 5월 15일 오후 4:33:27)	yyyy-MM-dd'T'HH:mm:ss.SSSSSSS'Z'
용어 필터	필터링할 용어의 JSON 맵입니다. 주: 텍스트 필드에 용어 쿼리를 사용하지 않도록 하십시오. 대상 필드가 텍스트와 키워드 둘 다로 매핑된 경우 fieldname.keyword를 사용하여 키워드를 참조하십시오.	{"severity": ["error", "warning"]}
쿼리당 최대 문서	단일 쿼리에서 가져오는 최대 문서 수입니다.
슬라이스 스크롤링 타이브레이커	데이터를 슬라이싱하는 데 사용하는 값입니다. 각 데이터 슬라이스는 병렬로 스크롤됩니다. 기본값: _id
검색 후 타이브레이커	타임스탬프로 로그 항목을 정렬할 때 타이브레이커로 사용할 문서당 고유 값입니다.
검색 후 API 사용	슬라이스 스크롤링과 검색 후 API 사용 간을 전환하는 옵션입니다. 주: 기록 데이터를 읽을 때는 슬라이스 스크롤링 API를 사용하고, 실시간 데이터를 읽을 때는 검색 후 API를 사용하는 것이 좋습니다.
인덱스 시간 서픽스 형식	[logstash-]YYYY.MM.DD 같은, 시간 기반 인덱스 이름을 사용할 때 쓰는 시간 서픽스 형식입니다. 별칭을 사용하면 이 필드를 비워 두십시오.	uuu. MM.dd

고급 구성

표 3. 고급 구성 양식
필드	설명
데이터 읽기 시간 제한(밀리초)	Elasticsearch 클러스터 시간 제한을 요청하기 전에 적용되는 지속 시간(밀리초)입니다.
인덱스 검색 간격(초)	MID 서버가 데이터를 읽을 새 인덱스에 대한 Elasticsearch 클러스터를 요청하는 간격(초)입니다.
스크롤 컨텍스트 시간(밀리초)	스크롤 API를 사용하여 Elasticsearch의 데이터를 읽을 때 생성된 스크롤의 수명입니다. 자세한 내용은 Elasticsearch 스크롤 API 설명서를 참조하십시오.
이벤트 프로세서 작업자	Elasticsearch에서 가져온 이벤트를 처리하기 위해 병렬로 사용하는 CPU 코어의 최대 개수입니다. 높게 설정할수록 데이터 입력 처리량이 증가하지만 CPU 사용량도 많아집니다.
작업자 큐 크기	처리를 위해 큐에 넣을 최대 배치 수입니다. 높게 설정할수록 데이터 입력 처리량이 증가하지만 RAM 사용량도 많아집니다.
기본 시간대	이벤트 날짜 및 시간에 특정 시간대 정보가 없는 경우의 기본 시간대입니다.
하위 샘플 삭제 비율	함께 배치하는 이벤트의 개수로, 그 중 하나를 삭제하게 됩니다. 이 설정은 가져온 이벤트 수를 줄이는 데 사용됩니다.
하위 샘플 수신 비율	함께 배치하는 이벤트의 개수로, 그 중 하나만 제외하고 모두 삭제하게 됩니다. 이 설정은 수신 이벤트 수를 줄이는 데 사용됩니다.
문자 인코딩	이 데이터 입력에 대한 문자 인코딩입니다.
대기 간격(초)	쿼리에서 데이터가 반환되지 않은 경우 다시 쿼리하기까지 대기하는 시간 간격(초)입니다.
최대 길이(byte)	로그 메시지의 최대 길이(byte)입니다.
현재 타임스탬프 읽기 지연(초)	현재 시간 전에 지연된 데이터를 포함하도록 쿼리할 시간(초)입니다. 구성된 시간(초)은 마지막 타임스탬프를 읽기 위해 현재 시간에서 차감됩니다. 주: 이 값이 0이고 여러 클러스터에서 동시에 데이터가 수집되는 경우 클러스터 중 하나에서 지연 후 전송된 데이터가 쿼리에 포함되지 않을 수 있습니다.