Identificar e resolver problemas de streaming de log

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Identifique e resolva problemas de streaming de log para garantir que as entradas de dados estejam transmitindo dados corretamente.

    Antes de Iniciar

    Função necessária: evt_mgmt_admin

    Procedimento

    1. Navegar até Todos > Análise de logs de integridade > Origens do fluxo.
      A página Origens de streaming mostra todas as entradas de dados e os MID Servers que recebem logs delas.
      Nota:
      • Quando Pesquisar nomes de host estiver selecionado na configuração de entrada de dados avançada, a página Origens de streaming mostrará o nome do host dos dispositivos que usam um Rsyslog ou um remetente Filebeat. Para índices Elasticsearch, exibe o nome do índice.
      • Origens de streaming também está disponível como uma lista relacionada no formulário de entrada de dados. A lista relacionada exibe somente os dispositivos de endpoint que são relevantes para essa entrada de dados.
      • Se o Análise de logs de integridade mecanismo de IA estiver inativo e os dados pararem de ser transmitidos, uma notificação será exibida na parte superior da página Origens de streaming. Quando isso acontecer, entre em contato com o suporte do ServiceNow.
    2. Selecione um registro de entrada de dados para exibir os dados de streaming de suas origens e identificar problemas de streaming e sua possível causa.
      Por exemplo, se a última hora do evento registrada para um servidor de endpoint de entrada de dados for ontem, esse servidor poderá estar inativo ou configurado incorretamente. Um problema de streaming também pode ser causado pelo arquivo de configuração de entrada de dados que não está sendo instalado no endpoint.
      Filtro Descrição
      Status O status da origem. Um marcador vermelho indica que esta origem não transmitiu dados na última hora.
      Hora do último evento A última hora registrada em que um evento chegou às MID Server no último intervalo de um minuto.

      Análise de logs de integridade atualiza continuamente a hora do último evento. Se a hora do último evento não estiver atualizada, os dados não serão transmitidos.
      Linhas brutas de log/segundo O número médio de linhas de log brutas que foram transmitidas para MID Server por segundo no último intervalo de um minuto.
      Nota:
      Este valor representa o número de linhas de log brutas antes do pré-processamento.
      Linhas de log pré-processadas/segundo O número médio de linhas de log pré-processadas que foram transmitidas para MID Server por segundo no último intervalo de um minuto.
      Nota:
      Este valor pode ser diferente do número de linhas de log bruto por segundo. Por exemplo, a diferença pode ser resultado de logs descartados durante o pré-processamento.
    3. Investigue e resolva quaisquer problemas de fluxo de dados.
      Nota:
      Se você tiver problemas relacionados a permissões com dados de log de streaming de Elasticsearch, consulte o artigo Conceder privilégios para fluxos de dados do Elasticsearch [KB0967366] na Base de conhecimento Now Support.

    O que Fazer Depois

    Quando os logs estiverem sendo transmitidos corretamente, prossiga para mapear seus dados de log brutos.
    Nota:
    Você pode optar por editar os dados de log brutos recebidos antes que Análise de logs de integridade os processe. Por exemplo, o pré-processamento permite descartar partes do log ou remover dados confidenciais de seus logs. Esta tarefa é opcional.