Definir configurações avançadas para Rsyslog, Splunk Ou entradas de dados TCP em Análise de logs de integridade manualmente

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 2 min. de leitura

    • Defina configurações avançadas para entradas de dados que usam Rsyslog, Splunk Ou agentes TCP.

    Antes de Iniciar

    Função necessária: evt_mgmt_admin

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode definir parâmetros do sistema para ler dados de log que determinam as ações que o sistema executa nos dados de log que chegam ao MID Server. Por exemplo, você pode definir o fuso horário a ser usado se um log não tiver um carimbo de data/hora. Se nenhuma configuração avançada estiver definida, o sistema usará os valores padrão.

    Para obter informações sobre como alterar as configurações que foram definidas quando a entrada de dados foi criada, como adicionar um novo caminho ou alterar as entradas de dados MID Server destino ou porta, consulte Modifique uma configuração de entrada de dados em Análise de logs de integridade.

    Procedimento

    1. Navegar até Tudo > Análise de logs de integridade > Entrada de dados > Entradas de dados.
    2. Abra um Rsyslog, Splunk Ou registro de entrada de dados TCP da tabela Entradas de dados.
      A configuração de entrada de dados é exibida.
      Nota:
      O número de origens de log que a entrada de dados criou é mostrado no Contagem de origens campo. Para obter mais informações sobre fontes de entrada de dados, consulte Mapeamento automático de dados e mapeamento em log em Análise de logs de integridade.
      Nota:
      . HLA o mecanismo está inativo e o fluxo de dados parou, uma notificação é exibida na parte superior da página de configuração da entrada de dados. Quando isso acontecer, entre em contato ServiceNow suporte.
    3. Selecione Avançado .
    4. No formulário, preencha os campos.
      Para obter uma descrição dos campos, consulte Rsyslog, Filebeat ou Winlogbeat.
    5. Opcional: Na lista relacionada Origens de streaming, verifique se esta entrada de dados está transmitindo dados de log de todos os dispositivos de endpoint relevantes.
      Para obter mais informações sobre origens de streaming, consulte Identificar e resolver um problema de fluxo de log em Análise de logs de integridade.
    6. Selecione Save (Salvar).
      Análise de logs de integridade Adiciona o registro de entrada de dados à tabela Entradas de dados.
    7. Selecione se a entrada de dados está configurada corretamente Conexão de teste .

      Análise de logs de integridade tenta conectar o. MID Server para o repositório de dados.

      • Se a conexão foi estabelecida, o. Conexão de teste o botão está desativado e o. Publicar o botão está habilitado.
      • Se a conexão falhar, o motivo da falha será exibido no Mensagem de erro campo. Este campo é exibido somente quando ocorre um erro de fluxo.

        Resolva o problema, selecione Salvar se você modificou a configuração, selecione Conexão de teste para testar a conexão novamente.

        Nota:
        Você só pode publicar a configuração de entrada de dados quando a conexão for criada com sucesso.
      Nota:
      Você pode reverter para a última configuração publicada selecionando Reverter mudanças . Esta opção só está disponível quando você está modificando uma configuração que foi publicada anteriormente.
    8. Selecione Publicar para publicar a entrada de dados no MID Server.