Análise de logs de integridade preferências de configuração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Configurações usadas com frequência para Análise de logs de integridadepropriedades e configuração geral.

    Configurações de MID Server

    • . MID Servera capacidade de ingestão de log deve estar habilitada.
      Nota:
      Habilitando Todas as capacidades em MID Serverinclui habilitar a capacidade de ingestão de log.
    • Use dedicado MID Serverspara ingestão de log sempre que possível.
    • Para habilitar MID Serverspara executar vários produtos, Análise de logs de integridadeDeve ter pelo menos a configuração de memória da Java Virtual Machine (JVM) para o produto padrão de cada MID Serverconfiguração de thread.
    O preferencial MID Serverconfigurações para Análise de logs de integridade:
      • CPUs: 8
      • RAM: 32 GB
      • Largura de banda de rede: Até 10 Gbps
      • Largura de banda do EBS: Até 4 750 Mbps
      • Tamanho máximo do heap Java para MID Server: 8 192 MB
      Com as especificações acima, a taxa de transferência esperada de ingestão de log em uma instância de Washington DC é a seguinte:
      • Para uma mensagem de log de 300 bytes: 20 000
      • Para uma mensagem de log de 1,1 KB: 12 300
      • Para uma mensagem de log de 2 KB: 7 970
      Os requisitos mínimos para fluxos de logs para Análise de logs de integridade:
      • CPUs: 4
      • RAM: 16 GB
      • Tamanho do heap Java para MID Server: 8 GB

      Para obter informações gerais, consulte: Requisitos de sistema do MID Server .

    • Para aumentar a taxa de transferência de ingestão de log, você pode aumentar o ulimit ou a largura de banda da rede ou diminuir o tamanho dos logs que estão sendo transmitidos. A configuração ulimit pode ser definida em um indivíduo MID Server. No entanto, a correlação entre o ulimit e o rendimento não pode ser modificada.

      A tabela a seguir lista as configurações de ulimit para arquivos abertos relacionados à taxa de transferência de rede no MID Server. Ele mostra o tamanho dos logs que estão sendo transmitidos do MID ServerPara o agente e a taxa de fluxo de gRPC equivalente à taxa de transferência.

      Tabela 1. Configurações de ulimit em relação à taxa de transferência
      Tipo de fila Tamanho da linha de log Taxa de gRPC
      Na fila de memória 300 bytes 18,000
      Na fila de memória 1.1 KB 13,000
      Na fila de memória 2 KB 10.000
      Fila baseada em disco 300 bytes 11,000
      Fila baseada em disco 1,1 KB 5 000
      Fila baseada em disco 2 KB 3 000

      A partir da versão de agosto de 2024 , você pode aprimorar MID ServerComunicação com a instância da ServiceNow usando o cliente gRPC do Lightning, que pode aumentar as velocidades de streaming de log para Análise de logs de integridadeaté seis vezes. O cliente gRPC do Lightning requer configuração manual para ser ativado. Para obter mais informações, consulte Cliente gRPC do Lightning – Habilitando a nova arquitetura de streaming DO MID gRPC [KB1648419] artigo no Now SupportBase de conhecimento.

    • Por padrão, o número de entradas de dados por MID Serverestá limitado a 10. Você pode configurar essa limitação para um indivíduo MID Serverou para todos MID Servers.
    • No modo FIPS e não FIPS, MID Serverscom Análise de logs de integridadeA capacidade deve ser executada no Java Runtime Environment (JRE) 11 ou superior.
      Nota:
      Para oferecer suporte ao BC-FIPS versão 2,0, Análise de logs de integridadeÉ necessário um upgrade para a versão 34,0.37, dezembro de 2024.

    Configurações de retenção de origem de log

    Por padrão, a retenção de log por origem é definida como três dias. Esta configuração não pode ser modificada.

    Ao usar Análise de logs de integridadeVersão 22.0.12 - dezembro de 2021 e posterior, disponível em ServiceNow Store , você pode modificar a política de retenção de log por origem ou para várias origens juntas. Para obter mais informações, consulte Modifique o período de retenção da origem do log.