Configurar entradas de dados (Rsyslog, Filebeat ou Winlogbeat)

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 6 min. de leitura

    • Configure uma entrada de dados para transmitir mensagens de log para a instância ServiceNow usando um agente Rsyslog, Filebeat ou Winlogbeat. A configuração de entrada de dados é uma etapa essencial na configuração da aplicação Análise de logs de integridade (HLA).

    Antes de Iniciar

    Importante:
    Análise de logs de integridade não é compatível com IPv6. Para trabalhar com a aplicação, configure o MID Server para IPv4.
    • Certifique-se de que um MID Server esteja instalado e configurado com a capacidade de ingestão de log habilitada.

      Configuração do MID Server com capacidade de ingestão de log habilitada.

    • Se o endereço IP MID Server for exposto pela conversão de endereço de rede (NAT), um balanceador de carga ou um dispositivo semelhante, ele deverá ter um endereço IP público. Nas propriedades MID Server, adicione uma propriedade chamada mid.public_ip com o endereço IP público como o valor. Para obter mais informações, consulte Criar uma propriedade do MID Server.
    • Para obter informações sobre como enviar seus logs criptografados usando SSL TLS, consulte o artigo Streaming de dados com Rsyslog e Filebeat usando SSL [KB0866319] na Base de conhecimento Now Support.

    Função necessária: evt_mgmt_admin

    Procedimento

    1. Navegar até Todos > Análise de logs de integridade > Entrada de dados > Entradas de dados.
    2. Na página Entradas de dados, selecione Novo.
    3. Escolha o tipo de entrada de dados a ser criado a partir dos tipos de entrada de dados disponíveis descritos na tabela.
      Nota:
      O tipo de entrada de dados selecionado complementa a entrada de dados passiva (ouvinte). Para obter mais informações, consulte Entradas de dados compatíveis.
      Tabela 1. Tipos de entrada de dados
      Tipo Descrição
      Rsyslog Transmite mensagens de log de servidores baseados em UNIX para o mecanismo de IA ServiceNow usando o agente Rsyslog.
      Linux usando o Filebeat Transmite mensagens de log do sistema e arquivos locais dos servidores Linux para a instância usando o agente Filebeat.
      Windows Logs da aplicação usando o Filebeat Transmite arquivos locais de dispositivos Microsoft Windows para a instância ServiceNow usando o agente Filebeat.
      Windows SO usando Winlogbeat Transmite logs de eventos Windows para a instância ServiceNow usando o agente Winlogbeat.
    4. Na guia Introdução, preencha o formulário.

      Para obter uma descrição dos campos, consulte RsyslogCampos de configuração de entrada de dados , Filebeat ou Winlogbeat.

      Nota:
      Ao criar uma entrada de dados para Linux usando o Filebeat, você pode selecionar um pacote de conteúdo na lista suspensa Pacote de conteúdo. O pacote de conteúdo contém tipos de origem padrão e modelos de script de mapeamento que economizam o tempo necessário para criá-los do zero. Para obter mais informações, consulte Análise de logs de integridade pacotes de conteúdo para um tempo de retorno mais rápido.
    5. Se o agente ainda não tiver sido instalado, baixe-o e instale-o na guia Instalação.
      Nota:
      Verifique se você está executando a versão mais recente do agente. As versões anteriores funcionarão, mas com funcionalidade limitada.
    6. Na guia Marcação e vinculação, atribua logs a um serviço de aplicativos no Configuration Management Database (CMDB) para permitir que o serviço correlacione os dados de log e permita que o sistema faça a análise de causa raiz.
      1. Para cada origem, configure o caminho e o serviço de aplicações para que os logs sejam transmitidos.
        Nota:
        Por padrão, somente os campos obrigatórios Caminho e Serviço de aplicações são exibidos.

        Para obter uma descrição dos campos, consulte RsyslogCampos de configuração de entrada de dados , Filebeat ou Winlogbeat.

      2. Se você quiser enviar logs de várias linhas usando o Filebeat, configure as propriedades que controlam como o Filebeat lida com mensagens que abrangem várias linhas de texto.
        Campo Descrição
        Correspondência Especifica como o Filebeat combina linhas correspondentes em um evento.
        Rejeitar Define se o padrão identificado nas linhas de log é negado.
        Regex Especifica a expressão regular a ser correspondida.
        Nota:
        Análise de logs de integridade atualmente não é compatível com propriedades de várias linhas para Rsyslog.
      3. Opcional: Defina caminhos de log adicionais para permitir que a entrada de dados transmita tipos de log de vários caminhos.
        Faça o seguinte para cada caminho de log adicional:
        1. Insira uma nova linha.
        2. Configure o caminho do log.
        3. Escolha um serviço de aplicativos.
        4. (Opcional) Escolha um componente e um tipo de origem.
        Nota:
        Esta opção não está disponível ou não é necessária ao usar o Winlogbeat, porque Análise de logs de integridade transmite os Windows logs de eventos.
    7. Na guia Concluir, conclua a configuração do tipo de entrada de dados.
      • Rsyslog:
        1. Baixe o arquivo de configuração e instale-o no dispositivo de endpoint, no diretório /etc/rsyslog.d/rsyslog.conf.
          Nota:
          Se você estiver usando o Análise de logs de integridade aplicação, versão 20.0.11 - julho de 2021, disponível na ServiceNow Store , faça o seguinte:
          1. No dispositivo de endpoint, instale o arquivo de configuração no diretório /etc/rsyslog.d/.
          2. Crie um diretório de spool executando o comando sudo mkdir -p/var/spool/rsyslog.
        2. Valide a configuração executando o comando rsyslogd -N1 e verifique a saída.
        3. Reinicie Rsyslog executando o comando sudo systemctl restart rsyslog.
        4. Verifique a saída. Se ele contiver erros, verifique o arquivo de log do sistema /var/log/messages em busca de mensagens de erro e corrija os erros.
      • Linux usando o Filebeat:
        1. Baixe o arquivo de configuração e instale-o no dispositivo de endpoint, no diretório /etc/filebeat/.
        2. Inicie o serviço do agente executando o comando sudo service filebeat start.
          Nota:
          A configuração gerada ignora os arquivos que foram alterados pela última vez há mais de seis horas. Se necessário, você pode alterar esta definição na configuração.
        3. Reinicie o serviço do agente executando o comando apropriado.
      • Windows usando Beats (Filebeat ou Winlogbeat):
        1. Baixe o arquivo de configuração e instale-o no dispositivo de endpoint, no diretório C:\Arquivos de Programas\.
        2. Inicie o serviço do agente executando o comando apropriado no PowerShell.
          • Filebeat: PS > Filebeat de início de serviço
          • Winlogbeat: PS > Winlogbeat de início de serviço
          Nota:
          A configuração gerada ignora os arquivos que foram alterados pela última vez há mais de seis horas. Se necessário, você pode alterar esta definição na configuração.
        3. Reinicie o serviço do agente executando o comando apropriado.
    8. Selecione Salvar.
      Análise de logs de integridade adiciona o registro de entrada de dados à tabela Entradas de dados.
    9. Certifique-se de que a entrada de dados esteja configurada corretamente selecionando Testar conexão.

      Análise de logs de integridade tenta conectar o MID Server ao repositório de dados.

      • Se a conexão tiver sido estabelecida, o botão Testar conexão será desativado e o botão Publicar será habilitado.
      • Se a conexão falhar, o motivo da falha será exibido no campo Mensagem de erro. Este campo é exibido somente quando ocorre um erro de fluxo.

        Resolva o problema, selecione Salvar se você modificou a configuração e selecione Testar conexão para testar a conexão novamente.

        Nota:
        Você só pode publicar a configuração de entrada de dados quando a conexão é criada com sucesso.
      Nota:
      Você pode reverter para a última configuração publicada selecionando Reverter mudanças. Esta opção está disponível somente quando você está modificando uma configuração que foi publicada anteriormente.
    10. Selecione Publicar para publicar a entrada de dados no MID Server.

    Resultado

    O processo de configuração de entrada de dados está concluído. Análise de logs de integridade adiciona o registro de entrada de dados à tabela Entradas de dados e anexa o arquivo de configuração ao registro de entrada de dados. A entrada de dados começa a transmitir dados de log para sua instância [ ServiceNow.

    Nota:
    Se o Análise de logs de integridade mecanismo de IA estiver inativo e o fluxo de dados tiver sido interrompido, uma notificação será exibida na parte superior da página de configuração de entrada de dados. Quando isso acontecer, entre em contato com o suporte ServiceNow.

    O que Fazer Depois

    Certifique-se de que a entrada de dados seja de fluxo de dados.