Crie um Agent Client Collectorpolítica de log

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura
  • Crie uma nova política de log do ACC quando não existir uma política padrão para o IC desejado Agent Client Collectorpara monitorar.

    Antes de Iniciar

    • . Agent Client Collector Análise de logs(ACC-L), disponível no ServiceNow Store , deve estar instalado. Para obter mais informações, consulte Agent Client Collector instalação.
    • . Agent Client Collectorvem com o padrão servicenowusuário. Certifique-se de que este usuário tenha acesso de leitura para habilitar Agent Client Collectorpara exibir todos os caminhos de log configurados. Por exemplo, o. Agent Client Collector servicenowo usuário que vem instalado com o sistema base não tem permissões para exibir os caminhos para /var/log/ em Linuxe. Windows/System32 em Windows. Para obter informações sobre como configurar permissões para servicenowusuário, consulte Problemas de permissão negada do ACC-L [KB1117271] artigo no Now SupportBase de conhecimento.

    Função necessária: agent_client_collector_admin

    Procedimento

    1. Navegar até Tudo > Análise de log do ACC > Políticas de log do ACC.
      . Políticas a página exibe tudo Análise de logspolíticas. Para obter uma lista das políticas que vêm com o sistema base, consulte Agent Client Collector Análise de logs verificações e políticas padrão.
    2. Clique em Nova.
      Nota:
      Para obter informações gerais sobre como criar uma política de ACC, consulte Crie um novo Agent Client Collectorpolítica.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário de definição de política
      Campo Descrição
      Nome Um nome descritivo da política.
      Descrição Descrição da política.
      Status da publicação Codificado como Rascunho , o que significa que a política ainda não foi publicada. Não é possível editar este campo.
      Hierarquia Codificado como Nenhum . Quando uma política secundária é adicionada à política, o valor muda para Primário . As políticas secundárias têm um valor de Secundário .
    4. Em Verificações associe a política de log à verificação do expedidor de log relevante.
      • Para Linuxe. Windows, exceto Windowslogs de eventos, selecione log shipperverifique a definição.
      • Para Windowssomente logs de eventos, selecione log shipper for win eventsverifique a definição.
    5. Em ICs monitorados Especifique os ICs aos quais a política se aplica.
      1. Escolha o tipo de IC a ser monitorado.
        • Tipo de IC monitorado por filtro : Selecione o tipo de IC monitorado. Você pode restringir os ICs que serão monitorados usando condições de filtro.
        • Tipo de IC monitorado por script : Especifique os ICs monitorados usando um script.
        • Tipo de IC monitorado por grupo do CMDB : Especifique os ICs monitorados usando consultas de grupo do CMDB.

        Para obter mais informações sobre como escolher tipos de IC monitorados, consulte Crie um novo Agent Client Collectorpolítica.

      2. Opcional: Para monitorar somente ICs associados a um Serviço de aplicações, selecione Filtrar ICs monitorados por serviço de aplicações .
        Você pode especificar os Serviços de aplicações a serem monitorados usando condições de filtro. Agent Client CollectorRecuperará somente os logs de ICs associados a esses Serviços de aplicações.
    6. Salve a política de log.
      Na lista relacionada Verificar instâncias, um registro de instância de verificação é criado.
    7. Abra o registro da instância de verificação relevante e selecione Edite na área restrita .
    8. Selecione a lista relacionada Configurações de caminho de log.
    9. Adicione um caminho de log para a instância de verificação.
      Nota:
      Uma verificação deve ter pelo menos um caminho de log configurado para habilitar logs de streaming. Para obter mais informações sobre verificações, consulte Verificações e políticas.
      1. Selecione Novo.
      2. No formulário, preencha os campos.
        Tabela 2. Novo formulário de configuração de caminho
        Campo Descrição
        Caminho O caminho completo de onde os logs são transmitidos . Você pode usar um curinga. Este campo é obrigatório.
        Componente O tipo de dispositivo ou camada de pilha que fornece um contexto para os logs, usado para detecção e correlação de anomalias. Por exemplo: Tomcat.
        Tipo de Origem Define como Análise de logs de integridadeprocessa um tipo de log específico e analisa os dados de log. Por exemplo: Tomcat catalina.
      3. Opcional: Para enviar logs de várias linhas usando Filebeat, configure as seguintes propriedades.

        Esses parâmetros controlam como Agent Client Collector Análise de logs(ACC-L) lida com mensagens que abrangem várias linhas de texto.

        Para obter mais informações, consulte Gerencie mensagens de várias linhas Na documentação elástica.

        Campo Descrição
        padrão.multiline (regex) A expressão regular a ser correspondida.
        Nota:
        Você deve definir esta propriedade antes de configurar o. correspondência.multiline e. várias linhas.negar propriedades.
        multiline.m correspondência Como o ACC-L combina linhas correspondentes em uma única linha de log.

        As opções disponíveis são Nenhum, Antes e Depois. O padrão é Nenhum.

        multiline.n egate Opção para determinar se o padrão identificado nas linhas de log é negado.

        As opções disponíveis são Nenhum, Verdadeiro e Falso. O padrão é Nenhum.

      4. Opcional: Defina as seguintes propriedades que controlam o. FilebeatConfiguração de yml.
        Campo Descrição
        Campos Campo que permite incluir e excluir informações na saída. Por exemplo, você pode adicionar um campo para filtrar os dados de log.

        Adicione mais linhas de campo selecionando o ícone de mais ao lado do campo de valor: Ícone de mais.. Selecione o ícone de menos para remover uma linha de campo: Ícone de menos..

        Para obter mais informações, consulte a entrada de log Campos Descrição na documentação do Elastic.

        Opções de Configuração Campo que permite adicionar opções de configuração às linhas de log. Por exemplo, você pode adicionar a codificação a ser usada.
        Nota:
        Defina somente opções de configuração compatíveis com Filebeat.

        Para obter mais informações, consulte a entrada de log Opções de configuração Descrição na documentação do Elastic.

      5. Selecione OK.
        O caminho do log foi criado.
    10. Selecione Retornar à política .
    11. No formulário de política, selecione Publicar .
      O status de Publicação da política muda para Publicado .
    12. Opcional: Selecione a política Ativar .

    O que Fazer Depois

    Certifique-se de que a entrada de dados esteja transmitindo dados .