Definir configurações avançadas para Elasticsearch entradas de dados

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Defina as configurações avançadas das entradas de dados usadas para transmitir dados de log de índices Elasticsearch para sua instância.

    Antes de Iniciar

    Função necessária: evt_mgmt_admin

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode definir parâmetros do sistema para ler dados de log que determinam as ações que o sistema executa nos dados de log que chegam no MID Server. Por exemplo, você pode definir o fuso horário a ser usado se um log não tiver um carimbo de data/hora. Se nenhuma configuração avançada estiver definida, o sistema usará os valores padrão.

    Para obter informações adicionais sobre logs de streaming usando a entrada de dados Elasticsearch, consulte o artigo Logs de fluxo usando entrada de dados do Elasticsearch - Guia avançado [KB1080162] na Base de conhecimento Now Support.

    Procedimento

    1. Navegar até Todos > Análise de logs de integridade > Entrada de dados > Entradas de dados de log.
    2. Abra um registro de entrada de dados Elasticsearch da tabela Entradas de dados.
      A configuração de entrada de dados é exibida.
      Nota:
      O número de origens de log que a entrada de dados criou é mostrado no campo Contagem de origens. Para obter mais informações sobre fontes de entrada de dados, consulte Mapeamento e mapeamento automáticos de dados de log.
      Nota:
      Se o Análise de logs de integridade mecanismo de IA estiver inativo e o fluxo de dados tiver sido interrompido, uma notificação será exibida na parte superior da página de configuração de entrada de dados. Quando isso acontecer, entre em contato com o suporte ServiceNow.
    3. Selecione Avançado e selecione a guia Avançado.
    4. No formulário, preencha os campos.
      Para obter uma descrição dos campos, consulte Elasticsearch campos de configuração de entrada de dados.
    5. Opcional: Na lista relacionada Origens de fluxo, verifique se esta entrada de dados está transmitindo dados de log de todos os dispositivos de endpoint relevantes.
      Para obter mais informações sobre origens de fluxo, consulte Identificar e resolver problemas de streaming de log.
      Nota:
      Se você tiver problemas relacionados a permissões com dados de log de streaming de Elasticsearch, consulte o artigo Concessão de privilégios para fluxos de dados do Elasticsearch [KB0967366] na Base de conhecimento de Now Support.
    6. Selecione Salvar.
      Análise de logs de integridade adiciona o registro de entrada de dados à tabela Entradas de dados.
    7. Certifique-se de que a entrada de dados esteja configurada corretamente selecionando Testar conexão.

      Análise de logs de integridade tenta conectar o MID Server ao repositório de dados.

      Se a entrada de dados estiver configurada para ser executada em um cluster MID Server, o sistema tentará conectar todos os MID Servers contidos no cluster ao repositório. O cluster será aprovado no teste se pelo menos um de seus MID Servers for conectado. Este recurso é compatível com a aplicação Análise de logs de integridade, versão 26.0.17 - fevereiro de 2023 e posterior, disponível na ServiceNow Store.

      • Se a conexão tiver sido estabelecida, o botão Testar conexão será desativado e o botão Publicar será habilitado.
      • Se a conexão falhar, o motivo da falha será exibido no campo Mensagem de erro. Este campo é exibido somente quando ocorre um erro de fluxo.

        Resolva o problema, selecione Salvar se você modificou a configuração e selecione Testar conexão para testar a conexão novamente.

        Nota:
        Você só pode publicar a configuração de entrada de dados quando a conexão é criada com sucesso.
      Nota:
      Você pode reverter para a última configuração publicada selecionando Reverter mudanças. Esta opção está disponível somente quando você está modificando uma configuração que foi publicada anteriormente.
    8. Selecione Publicar para publicar a entrada de dados no MID Server.