Criar uma política de log Agent Client Collector

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 4 min. de leitura

    • Crie uma nova política de log do ACC quando não houver nenhuma política padrão para o IC que você deseja que Agent Client Collector monitore.

    Antes de Iniciar

    • A aplicação Agent Client Collector Análise de logs (ACC-L), disponível na ServiceNow Store, deve ser instalada. Para obter mais informações, consulte Agent Client Collector instalação.
    • O Agent Client Collector vem com o usuário servicenow padrão. Certifique-se de que este usuário tenha acesso de leitura para habilitar Agent Client Collector para exibir todos os caminhos de log configurados. Por exemplo, o usuário Agent Client Collector servicenow que vem instalado com o sistema base não tem permissões para exibir os caminhos para /var/log/ em Linux e C:\Windows\System32 em Windows. Para obter informações sobre como configurar permissões para o usuário servicenow, consulte o artigo Problemas de permissão negada ACC-L [KB1117271] na Base de conhecimento Now Support.

    Função necessária: agent_client_collector_admin

    Procedimento

    1. Navegar até Todos > Análise de logs do ACC > Políticas de log do ACC.
      A página Políticas exibe todas as Análise de logs políticas. Para obter uma lista das políticas que vêm com o sistema de base, consulte Agent Client Collector Análise de logs políticas e verificações padrão.
    2. Clique em Nova.
      Nota:
      Para obter informações gerais sobre como criar uma política do ACC, consulte Criar uma nova política Agent Client Collector.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário de definição de política
      Campo Descrição
      Nome Um nome descritivo para a política.
      Descrição Descrição da política.
      Status da publicação Codificada como Rascunho, o que significa que a política ainda não foi publicada. Não é possível editar esse campo.
      Hierarquia Codificado como Nenhum. Quando uma política secundária é adicionada à política, o valor muda para Primário. As políticas secundárias têm um valor de Child.
    4. Na guia Verificações, associe a política de log à verificação relevante do remetente de log.
      • Para Linux e Windows, exceto para logs de eventos Windows, selecione a definição de verificação log shipper.
      • Somente para logs de eventos Windows, selecione a definição de verificação log shipper for win events.
    5. Na guia ICs monitorados, especifique os ICs aos quais a política se aplica.
      1. Escolha o tipo de IC a ser monitorado.
        • Tipo de IC monitorado por filtro: selecione o tipo de IC monitorado. Você pode restringir os ICs que serão monitorados usando condições de filtro.
        • Tipo de IC monitorado por script: especifique os ICs monitorados usando um script.
        • Tipo de IC monitorado por grupo do CMDB: especifique os ICs monitorados usando consultas de grupo do CMDB.

        Para obter mais informações sobre como escolher tipos de ICs monitorados, consulte Criar uma nova política Agent Client Collector.

      2. Opcional: Monitore somente os ICs associados a um serviço de aplicações selecionando Filtrar ICs monitorados por serviço de aplicações.
        Você pode especificar os serviços de aplicações a serem monitorados usando condições de filtro. Agent Client Collector recuperará somente os logs de ICs associados a esses serviços de aplicações.
    6. Salve a política de log.
      Na lista relacionada Instâncias de verificação, um registro de instância de verificação é criado.
    7. Abra o registro de instância de verificação relevante e selecione Editar na área restrita.
    8. Selecione a lista relacionada Configurações de caminho de log.
    9. Adicione um caminho de log para a instância de verificação.
      Nota:
      Uma verificação deve ter pelo menos um caminho de log configurado para habilitar logs de streaming. Para obter mais informações sobre verificações, consulte Verificações e políticas.
      1. Selecione Novo.
      2. No formulário, preencha os campos.
        Tabela 2. Novo formulário de configuração de caminho
        Campo Descrição
        Caminho O caminho completo de de onde os logs são transmitidos. Você pode usar um curinga. Este campo é obrigatório.
        Componente O tipo de dispositivo ou camada de pilha que fornece um contexto para os logs, usados para detecção e correlação de anomalias. Por exemplo: Tomcat.
        Tipo de origem Define como Análise de logs de integridade lida com um tipo de log específico e analisa os dados do log. Por exemplo: Tomcat Catalina.
      3. Opcional: Para enviar logs de várias linhas usando Filebeat, configure as seguintes propriedades.

        Esses parâmetros controlam como Agent Client Collector Análise de logs (ACC-L) lida com mensagens que abrangem várias linhas de texto.

        Para obter mais informações, consulte Gerenciar mensagens de várias linhas na documentação da Elastic.

        Campo Descrição
        multiline.pattern (regex) A expressão regular a ser correspondida.
        Nota:
        Você deve definir esta propriedade antes de configurar as propriedades multiline.match e multiline.negate.
        Atch multiline.m Como o ACC-L combina linhas correspondentes em uma única linha de log.

        As opções disponíveis são Nenhum, Antese Depois. O padrão é Nenhum.
        multiline.negate Opção para determinar se o padrão identificado nas linhas de log foi negado.

        As opções disponíveis são Nenhum, Verdadeiro e Falso. O padrão é Nenhum.
      4. Opcional: Defina as seguintes propriedades que controlam a configuração Filebeat do YML.
        Campo Descrição
        Campos Campo que permite incluir e excluir informações na saída. Por exemplo, você pode adicionar um campo para filtrar os dados do log.

        Adicione mais linhas de campo selecionando o ícone de adição ao lado do campo Valor: ícone de adição.. Remova uma linha de campo selecionando o ícone de menos: ícone de menos..

        Para obter mais informações, consulte a descrição Campos de entrada de log na documentação da Elastic.
        Opções de Configuração Campo que permite adicionar opções de configuração às linhas de log. Por exemplo, você pode adicionar a codificação a ser usada.
        Nota:
        Defina somente as opções de configuração compatíveis com Filebeat.

        Para obter mais informações, consulte a descrição Opções de configuração de entrada de log na documentação da Elastic.
      5. Selecione OK.
        O caminho do log foi criado.
    10. Selecione Retornar à apólice.
    11. No formulário de política, selecione Publicar.
      O status Publicado da política muda para Publicado.
    12. Opcional: Ative a política selecionando Ativar.

    O que Fazer Depois

    Certifique-se de que a entrada de dados seja de fluxo de dados.