Elasticsearch campos de configuração de integração

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 8 min. de leitura

    • Descrição dos campos no Elasticsearch formulários de configuração de integração para Análise de logs de integridade.

    Para Elasticsearch procedimento de configuração de integração, consulte Configure um Elasticsearch integração para Análise de logs de integridade.

    Tabela 1. Detalhes do provedor
    Campo Descrição
    Nome da integração Nome exclusivo desta integração. Por exemplo: Meu Elasticsearch integração. Este campo é obrigatório.
    Nota:
    Quando você preenche este campo, o nome genérico exibido no formulário é ajustado automaticamente para corresponder ao nome inserido.
    Executar nos(as) Opção para determinar se um específico deve ser usado MID Server ou um específico MID Server cluster.
    Nome do MID Server

    (Somente quando Executar em Está definido como Específico MID Server)

    . MID Server para o qual registrar dados Elasticsearch os índices são extraídos. Este campo é obrigatório.
    Cluster do MID Server

    (Somente quando Executar em Está definido como Específico MID Server Cluster)

    . MID Server cluster para o qual os dados de log são extraídos. Este campo é obrigatório.

    Quando você seleciona um cluster, o. MID Servers no cluster selecionado e seu status são exibidos.

    A integração é executada em um único MID Server no cluster até isso MID Server falhas. Em seguida, o sistema move todas as tarefas de integração para as próximas disponíveis MID Server no cluster de acordo com a ordem configurada.

    Nota:
    • Análise de logs de integridade compatível somente com failover MID Server clusters. Nesses clusters, vários MID Servers são agrupados para proteção de failover. Ao selecionar um cluster no formulário de integração, o MID Server A lista de clusters exibe somente clusters de failover.
    • . MID Server o cluster deve incluir somente MID Servers que oferecem suporte à autenticação básica. MTLS não é compatível com ingestão de log.
    • A ingestão de log deve estar habilitada para cada MID Server no cluster. Se a ingestão de log não estiver habilitada para o ativo MID Server, Análise de logs de integridade habilita automaticamente.
    • Se Elasticsearch Usa autenticação de certificado de cliente ou de certificação de CA, tudo MID Servers no cluster deve ter os certificados apropriados.
    • O número máximo padrão de logs de streaming de integrações para um único MID Serveré 10. Um cluster passa na validação de capacidade se contiver pelo menos um MID Server com menos de 10 integrações em execução, mesmo quando isso é feito MID Server está inativo.
    Instância do serviço A instância de serviço à qual vincular os dados de log. Este campo é obrigatório.
    Nota:
    Se não existir nenhuma instância de serviço relevante, Crie um instância de serviço E adicione ICs a ele. Defina o status da nova instância de serviço como Operacional.
    Fonte de dados A origem dos dados de log que a integração extrai para seu ServiceNow Instância: Elastic. Este campo é somente leitura.
    Descrição Opção para adicionar uma breve descrição da integração para ajudar a identificá-la.
    Tabela 2. Método de recuperação de dados
    Campo Descrição
    URL do servidor O URL usado para acessar o cluster. Este campo é obrigatório.
    Método de autenticação O método de autenticação usado para autenticar a integração com Elasticsearch. O padrão é nenhum.
    Quando você seleciona o método de autenticação, os campos de credenciais correspondentes são exibidos no formulário.
    Nota:
    Como administrador, você pode criar um método de autenticação navegando até Tudo > Análise de logs de integridade > Métodos de autenticação e selecionando Novo .
    Prefixo do índice Prefixo precedido aos nomes do Elasticsearchíndices dos quais você deseja ler os dados. A integração só lê dados de índices que correspondem ao prefixo configurado. Por exemplo: Network-logs-* corresponde a índices como network-logs-2024.01.01. Este campo é obrigatório.

    Essa configuração garante isso HLA ingere somente dados dos índices relevantes.

    Por exemplo: Only-read-these-indexes-*
    Campo de carimbo de data/hora do documento Campo de carimbo de data/hora em documentos armazenados em índices de leitura. Este campo é obrigatório.
    Formato do campo de carimbo de data/hora Formato do campo de carimbo de data/hora nos documentos.

    Se nenhum formato for especificado, será usado o formato de tempo de época padrão do Unix, em milissegundos. Por exemplo: 1684168407 (May 15, 2023 4:33:27 PM)
    Filtros de termo Mapa JSON dos termos a serem filtrados.
    Nota:
    Evite usar o termo consulta para campos de texto. Se o campo de destino estiver mapeado como texto e palavra-chave, referencie a palavra-chave usando fieldname.keyword.

    "Severidade": ["erro", "aviso"]
    Tabela 3. Configurações avançadas
    Campo Descrição
    Máximo de conexões por rota O número máximo de conexões a serem abertas por nó.
    Partes máximas de rolagem O número de fragmentos configurados para o índice relevante em Elasticsearch.

    Esse número informa ao Elastic quantas consultas paralelas executar em cada solicitação de pesquisa.
    Host do proxy Nome do host do proxy HTTP por meio do qual as solicitações são enviadas.
    Porta do proxy Porta do proxy HTTP por meio da qual as solicitações são enviadas.
    Usar verificação de política de certificação MID Opção para habilitar a verificação da política de certificação MID.

    Selecione esta opção se quiser enviar seus logs criptografados usando SSL TLS. Em seguida, navegue até Tudo > MID Server > Política de segurança DO MID E adicione a verificação de política de certificado MID à tabela. Para obter mais informações, consulte Políticas de verificação de certificados do MID Server .
    Usar pesquisa entre clusters Opção para pesquisar dados em Elasticsearch clusters.

    Quando esta caixa de seleção é marcada, o. Clusters a serem pesquisados o campo é exibido.

    Nota:
    Suas configurações no Use privilégios mínimos e Atraso na leitura do carimbo de data/hora atual (segundos) campo no Configuração avançada o formulário afeta como os dados são coletados em vários clusters.
    Clusters para pesquisa . Elasticsearch Clusters a serem pesquisados.Este campo é exibido somente quando Use a pesquisa entre clusters a caixa de seleção está marcada.
    Siga um destes procedimentos:
    • Deixe este campo em branco ou insira "*" para pesquisar todos os clusters remotos definidos em Elasticsearch.
    • Especifique os clusters a serem pesquisados em uma lista separada por vírgulas.
      Nota:
      Para pesquisar também o cluster local, adicione uma vírgula no início ou no final ou adicione duas vírgulas em sucessão à lista. Por exemplo: "East,,west" ou ",east,west" ou "*,"
    Usar privilégios mínimos Opção para ler dados de log diretamente do Elasticsearchíndices com o prefixo configurado.
    • Quando selecionada, a integração lê os dados de log diretamente do Elasticsearchíndices com o prefixo configurado. Para executar esta tarefa, ela só precisa de privilégios de leitura.
      Nota:
      Quando esta caixa de seleção estiver marcada e você estiver usando a pesquisa entre clusters, os dados serão coletados de todos os clusters simultaneamente.
    • Quando desmarcada, a integração busca todos os índices com o prefixo, os filtra e lê os dados de log dos índices filtrados. A execução desta tarefa requer privilégios adicionais.
      Nota:
      Deixar esta caixa de seleção desmarcada ao usar a pesquisa entre clusters afeta como os dados são coletados dos clusters. Para obter mais informações, consulte Como habilitar e usar a pesquisa entre clusters para entradas de dados do Elasticsearch na Análise de log de integridade [KB1556079] artigo no Now Support Base de conhecimento.

    Para obter informações adicionais sobre logs de streaming usando Elasticsearch integração, consulte Logs de fluxo usando a entrada de dados do Elasticsearch - Guia avançado [KB1080162] artigo no Now Support Base de conhecimento.
    Máximo de documentos por consulta Número máximo de documentos que serão obtidos em uma única consulta.
    Tie breaker de rolagem fatiada Valor usado para dividir os dados. Cada fatia é rolada em paralelo. Padrão: _Id
    Desempate pós-pesquisa Valor exclusivo por documento a ser usado como critério de desempate ao classificar entradas de log por carimbo de data/hora.
    Usar a API de pós-pesquisa Opção para alternar entre usar APIs de rolagem fatiada e pesquisa após.
    Nota:
    APIs de rolagem fatiada são preferíveis ao ler dados históricos, enquanto as APIs de pesquisa após são melhores para ler dados em tempo real.
    Formato de sufixo de tempo do índice Formato do sufixo de hora ao usar nomes de índice baseados em tempo, como [logstash-]AAAA.MM.DD.

    Ao usar aliases, deixe este campo em branco.

    Por exemplo: Uuuuu.MM.dd
    Tempo limite de leitura de dados (milissegundos) A duração do tempo, em milissegundos, antes de uma solicitação para Elasticsearch tempo limite do cluster.
    Intervalo de descoberta do índice (segundos) O número de segundos entre as solicitações do MID Server intermitente para Elasticsearch cluster para novos índices dos quais ler dados.
    Tempo do contexto de rolagem (milissegundos) A vida útil da rolagem criada ao usar a API de rolagem para ler dados de Elasticsearch. Para obter mais informações, consulte Elasticsearch Rolar documentação da API .
    Trabalhadores de processador de eventos O número máximo de núcleos de CPU usados em paralelo para processar eventos obtidos de Elasticsearch. Uma configuração mais alta aumenta a taxa de transferência de entrada de dados ao custo de maior uso da CPU.
    Tamanho da fila do trabalhador O número máximo de lotes na fila para processamento. Uma configuração mais alta aumenta o rendimento, ao custo de um maior uso de RAM.
    Fuso horário padrão O fuso horário de eventos que o sistema usará se um log não especificar o fuso horário.

    Por padrão, o sistema usa GMT nesses casos, mas você pode especificar um fuso horário diferente.
    Proporção de soltura de subamostra O número de eventos a serem agrupados, dos quais um será descartado. Esta configuração é usada para reduzir o número de eventos obtidos.
    Taxa de recebimento de subamostra O número de eventos a serem agrupados, dos quais todos, exceto um, serão descartados. Esta configuração é usada para diminuir o número de eventos recebidos.
    Codificação de caracteres A codificação de caracteres para esta entrada de dados.
    Intervalo de espera (segundos) O intervalo, em segundos, para aguardar antes de consultar novamente depois que uma consulta não retornou dados.
    Tamanho máximo em bytes O tamanho máximo, em bytes, das mensagens de log.
    Atraso na leitura do carimbo de data/hora atual (segundos) O número de segundos antes da hora atual de consulta para incluir dados atrasados.O número configurado de segundos é subtraído da hora atual para ler o último carimbo de data/hora.
    Nota:
    Se este valor for 0 e os dados forem coletados de vários clusters simultaneamente, a consulta poderá não incluir dados que foram enviados com atraso em um dos clusters,
    Intervalo de Pesquisa Com que frequência o sistema pesquisa novos dados de log.