Identificar e resolver problemas de streaming de log

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Identifique e resolva problemas de streaming de log para garantir que as entradas de dados que você configurou para Análise de logs de integridade estejam transmitindo dados corretamente para sua instância ServiceNow.

    Antes de Iniciar

    Função necessária: evt_mgmt_admin

    Procedimento

    1. Navegar até Todos > Análise de logs de integridade > Origens do fluxo.
      A página Origens de fluxo mostra todas as entradas de dados e os MID Servers que estão recebendo logs deles.
      Nota:
      • Quando Pesquisar nomes de host é selecionado na configuração de entrada de dados avançada, a página Origens de fluxo mostra o nome do host de dispositivos que usam um remetente Rsyslog ou Filebeat. Para índices Elasticsearch, ele exibe o nome do índice.
      • Origens de fluxo também estão disponíveis como uma lista relacionada no formulário de entrada de dados. A lista relacionada exibe somente os dispositivos de endpoint relevantes para essa entrada de dados.
      • Se o Análise de logs de integridade mecanismo de IA estiver inativo e o fluxo de dados tiver sido interrompido, uma notificação será exibida na parte superior da página Origens de fluxo. Quando isso acontecer, entre em contato com o suporte ServiceNow.
    2. Selecione um registro de entrada de dados para exibir os dados de streaming de suas origens e identificar problemas de streaming e sua possível causa.
      Por exemplo, se a hora do último evento registrado para um servidor de endpoint de entrada de dados for ontem, esse servidor poderá estar inativo ou configurado incorretamente. Um problema de fluxo também pode ser causado pelo arquivo de configuração de entrada de dados que não está instalado no endpoint.
      Filtro Descrição
      Status O status da origem. Um marcador vermelho indica que esta origem não transmitiu dados na última hora.
      Hora do último evento A última vez registrada em que um evento chegou a MID Server no último intervalo de um minuto.

      Análise de logs de integridade atualiza continuamente a hora do último evento. Se a hora do último evento não estiver atualizada, os dados não serão transmitidos.
      Linhas de log bruto/segundo O número médio de linhas de log brutas que foram transmitidas para MID Server por segundo no último intervalo de um minuto.
      Nota:
      Este valor representa o número de linhas de log brutas antes do pré-processamento.
      Linhas de log pré-processadas/segundo O número médio de linhas de log pré-processadas que foram transmitidas para MID Server por segundo no último intervalo de um minuto.
      Nota:
      Este valor pode ser diferente do número de linhas de log brutas por segundo. Por exemplo, a diferença pode ser resultado de logs descartados durante o pré-processamento.
    3. Investigue e resolva quaisquer problemas de fluxo de dados.
      Nota:
      Se você tiver problemas relacionados a permissões com dados de log de streaming de Elasticsearch, consulte o artigo Concessão de privilégios para fluxos de dados do Elasticsearch [KB0967366] na Base de conhecimento de Now Support.

    O que Fazer Depois

    Quando os logs estiverem sendo transmitidos corretamente, prossiga para mapear os dados de log brutos.
    Nota:
    Você pode optar por editar os dados de log brutos de entrada antes que Análise de logs de integridade os processe. Por exemplo, o pré-processamento permite descartar partes de log ou remover dados confidenciais de seus logs. Esta tarefa é opcional.