에서 로그 스트리밍 문제 식별 및 해결 상태 로그 분석

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 2분

    • 로그 스트리밍 문제를 찾아 해결하여 데이터 입력이 로그 데이터를 인스턴스로 적절하게 스트리밍하고 있는지 확인합니다.

    시작하기 전에

    필요한 역할: evt_mgmt_admin

    프로시저

    1. 다음으로 이동 모두 > 상태 로그 분석 > 스트리밍 소스.
      스트리밍 소스 페이지에 모든 데이터 입력과 그로부터 로그를 수신하는 MID 서버가 표시됩니다.
      주:
      • 고급 데이터 입력 구성에서 호스트 이름 조회를 선택하면 스트리밍 소스 페이지에 Rsyslog 또는 Filebeat 전송기를 사용하는 장치의 호스트 이름이 표시됩니다. Elasticsearch 인덱스인 경우 인덱스 이름이 표시됩니다
      • 스트리밍 소스는 데이터 입력 양식에서 관련 목록으로 사용할 수도 있습니다. 관련 목록에는 해당 데이터 입력과 관련된 엔드포인트 장치만 표시됩니다.
      • HLA 엔진이 다운되고 데이터 스트리밍이 중지되면 스트리밍 소스 페이지 상단에 알림이 나타납니다. 이러한 경우 ServiceNow 지원 센터에 문의하십시오.
    2. 데이터 입력 기록을 선택하여 소스의 스트리밍 데이터를 보고 스트리밍 문제와 그 원인을 식별합니다.
      예를 들어 데이터 입력의 엔드포인트 서버에 대해 마지막으로 기록된 이벤트 시간이 어제라면 서버가 다운되거나 구성이 잘못될 수 있습니다. 또한 엔드포인트에 데이터 입력 구성 파일이 설치되어 있지 않다면 스트리밍 문제가 발생할 수 있습니다.
      필터 설명
      상태 소스의 상태입니다. 빨간색 글머리 기호는 이 소스가 지난 한 시간 동안 데이터를 스트리밍하지 않았음을 나타냅니다.
      마지막 이벤트 시간 지난 1분 동안 MID 서버에 도착한 이벤트가 마지막으로 기록된 시간입니다.

      상태 로그 분석는 마지막 이벤트 시간을 계속 업데이트합니다. 마지막 이벤트 시간이 최신이 아닌 경우 데이터가 스트리밍되지 않습니다.
      초당 원시 로그 라인 원시 로그 라인이 지난 1분 동안 MID 서버로 스트리밍된 초당 평균 수입니다.
      주:
      이 값은 전처리되기 전의 원시 로그 라인 수를 나타냅니다.
      초당 전처리 로그 라인 전처리된 로그 라인이 지난 1분 동안 MID 서버로 스트리밍된 초당 평균 수입니다.
      주:
      이 값은 초당 원시 로그 라인 수와 다를 수 있습니다. 예를 들어 전처리 중 로그가 삭제되면 두 값에 차이가 있습니다.
    3. 데이터 스트리밍 문제를 조사하고 해결합니다.
      주:
      Elasticsearch에서 스트리밍 로그 데이터의 권한 관련 문제가 있는 경우 Elasticsearch에서 데이터 스트림에 대한 권한 부여 [KB0967366] 문서를 Now Support 지식베이스에서 참조할 수 있습니다.

    다음에 수행할 작업

    로그가 제대로 스트리밍되고 있다면 원시 로그 데이터 매핑으로 이동합니다.
    주:
    상태 로그 분석가 이 작업을 처리하기 전에 사용자가 수신 원시 로그 데이터 편집을 선택할 수 있습니다. 예를 들어 전처리를 사용하여 로그 일부를 삭제하거나 로그에서 민감한 데이터를 제거할 수 있습니다. 이 작업은 선택 사항입니다.