Defina configurações avançadas para Elasticsearchentradas de dados

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Defina configurações avançadas para entradas de dados usadas para transmitir dados de log de Elasticsearchíndices para sua instância.

    Antes de Iniciar

    Função necessária: evt_mgmt_admin

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode definir parâmetros do sistema para ler dados de log que determinam as ações que o sistema executa nos dados de log que chegam ao MID Server. Por exemplo, você pode definir o fuso horário a ser usado se um log não tiver um carimbo de data/hora. Se nenhuma configuração avançada estiver definida, o sistema usará os valores padrão.

    Para obter informações adicionais sobre logs de streaming usando o. Elasticsearchentrada de dados, consulte Logs de fluxo usando a entrada de dados do Elasticsearch - Guia avançado [KB1080162] artigo no Now SupportBase de conhecimento.

    Procedimento

    1. Navegar até Tudo > Análise de logs de integridade > Entrada de dados > Entradas de dados de log.
    2. Abra um ElasticsearchRegistro de entrada de dados da tabela Entradas de dados.
      A configuração de entrada de dados é exibida.
      Nota:
      O número de origens de log que a entrada de dados criou é mostrado no Contagem de origens campo. Para obter mais informações sobre fontes de entrada de dados, consulte Mapeamento e mapeamento automáticos de dados de log.
    3. Selecione Avançado e, em seguida, selecione Avançado .
    4. No formulário, preencha os campos.
      Para obter uma descrição dos campos, consulte .
    5. Opcional: Na lista relacionada Origens de streaming, verifique se esta entrada de dados está transmitindo dados de log de todos os dispositivos de endpoint relevantes.
      Para obter mais informações sobre origens de streaming, consulte Identificar e resolver problemas de fluxo de log.
      Nota:
      Se você enfrentar problemas relacionados a permissões com streaming de dados de log de Elasticsearch, consulte Concessão de privilégios para fluxos de dados do Elasticsearch [KB0967366] artigo no Now SupportBase de conhecimento.
    6. Selecione Salvar.
      Análise de logs de integridade Adiciona o registro de entrada de dados à tabela Entradas de dados.
    7. Certifique-se de que a entrada de dados esteja configurada corretamente selecionando Conexão de teste .

      Análise de logs de integridadetenta conectar o. MID Serverpara o repositório de dados.

      Se a entrada de dados estiver configurada para ser executada em um MID Servercluster, o sistema tenta conectar todos os MID Serverscontido no cluster para o repositório. O cluster passa no teste se pelo menos um dos seus MID Serversconecta-se. Este recurso é compatível com Análise de logs de integridadeVersão 26.0.17 - fevereiro de 2023 e posterior, disponível em ServiceNow Store .

      • Se a conexão foi estabelecida, o. Conexão de teste o botão está desligado e o. Publicar o botão está habilitado.
      • Se a conexão falhar, o motivo da falha será exibido no Mensagem de erro campo. Este campo é exibido somente quando ocorre um erro de fluxo.

        Resolva o problema, selecione Salvar se você modificou a configuração e selecione Conexão de teste para testar a conexão novamente.

        Nota:
        Você só pode publicar a configuração de entrada de dados quando a conexão for criada com sucesso.
      Nota:
      Você pode reverter para a última configuração publicada selecionando Reverter mudanças . Esta opção só está disponível quando você está modificando uma configuração que foi publicada anteriormente.
    8. Selecione Publicar para publicar a entrada de dados no MID Server.