Configurar Rsyslog, Filebeat ou Winlogbeat

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 5 min. de leitura

    • Configure uma entrada de dados para transmitir mensagens de log para seu ServiceNowinstância que usa um Rsyslog, Filebeat ou agente Winlogbeat.

    Antes de Iniciar

    • Certifique-se de que um MID Server Está instalado e configurado com a capacidade de ingestão de log habilitada.

      Configuração do MID Server com a capacidade de ingestão de log habilitada.

      Importante:
      Análise de logs de integridade Não é compatível com IPv6. Para trabalhar com a aplicação, configure o. MID ServerPara IPv4.
    • . MID ServerO endereço IP é exposto por conversão de endereço de rede (NAT), um balanceador de carga ou um dispositivo semelhante, ele deve ter um endereço IP público. Em MID Serverpropriedades, adicione uma propriedade chamada mid.public_ipCom o endereço IP público como o valor. Para obter mais informações, consulte Crie uma propriedade do MID Server .
    • Para obter informações sobre como enviar seus logs criptografados usando SSL TLS, consulte Streaming de dados com rsyslog e Filebeat usando SSL [KB0866319] artigo no Now SupportBase de conhecimento.

    Função necessária: evt_mgmt_admin

    Procedimento

    1. Navegar até Tudo > Análise de logs de integridade > Entrada de dados > Entradas de dados.
    2. Na página Entradas de dados, selecione Novo .
    3. Escolha o tipo de entrada de dados a ser criado a partir dos tipos de entrada de dados disponíveis descritos na tabela.
      Nota:
      O tipo de entrada de dados selecionado complementa a entrada de dados passiva (ouvinte). Para obter mais informações, consulte Entradas de dados compatíveis .
      Tabela 1. Tipos de entrada de dados
      Tipo Descrição
      Rsyslog Transmite mensagens de log de servidores baseados em UNIX para o. ServiceNowMecanismo de IA usando Rsyslogagente.
      Linux usando Filebeat Transmite mensagens de log do sistema e arquivos locais de LinuxPara a instância usando o agente Filebeat.
      Windows Logs de aplicações usando Filebeat Transmite arquivos locais de Microsoft Windowsdispositivos para ServiceNowInstância que usa o agente Filebeat.
      Windows SO usando Winlogbeat Fluxos Windowslogs de eventos para ServiceNowInstância que usa o agente Winlogbeat.
    4. Em Introdução preencha o formulário.

      Para obter uma descrição dos campos, consulte Rsyslog, Filebeat ou Winlogbeat.

      Nota:
      Ao criar uma entrada de dados para Linux usando Filebeat, você pode selecionar um pacote de conteúdo no Pacote de conteúdo menu suspenso. O pacote de conteúdo contém tipos de origem padrão e modelos de script de mapeamento que economizam o tempo necessário para criá-los do zero. Para obter mais informações, consulte Análise de logs de integridade pacotes de conteúdo para um tempo de retorno mais rápido.
    5. Se o agente ainda não tiver sido instalado, baixe-o e instale-o no Instalação .
      Nota:
      Certifique-se de que você esteja executando a versão mais recente do agente. As versões anteriores funcionarão, mas com funcionalidade limitada.
    6. Em Marcação e vinculação atribua logs a uma instância de serviço no Configuration Management Database (CMDB)para habilitar o serviço para correlacionar os dados de log e permitir que o sistema faça a análise de causa raiz.
      1. Para cada origem, configure o caminho e a instância de serviço para os logs a serem transmitidos.
        Nota:
        Por padrão, somente os campos obrigatórios Caminho e. Serviço instância aparecer.

        Para obter uma descrição dos campos, consulte Rsyslog, Filebeat ou Winlogbeat.

      2. Se você quiser enviar logs de várias linhas usando o Filebeat, configure as propriedades que controlam como o Filebeat manipula mensagens que abrangem várias linhas de texto.
        Campo Descrição
        Correspondência Especifica como o Filebeat combina linhas correspondentes em um evento.
        Rejeitar Define se o padrão identificado nas linhas de log é negado.
        Regex Especifica a expressão regular a ser correspondida.
        Nota:
        Análise de logs de integridadeno momento, não oferece suporte a propriedades multilinha para Rsyslog.
      3. Opcional: Defina caminhos de log adicionais para habilitar a entrada de dados para transmitir tipos de log de vários caminhos.
        Faça o seguinte para cada caminho de log adicional:
        1. Insira uma nova linha.
        2. Configure o caminho do log.
        3. Escolha uma instância de serviço.
        4. (Opcional) Escolha um componente e um tipo de origem.
        Nota:
        Esta opção não está disponível ou é necessária ao usar o Winlogbeat, porque Análise de logs de integridadetransmite o. Windowslogs de eventos.
    7. Em Concluir conclua a configuração do seu tipo de entrada de dados.
      • Rsyslog:
        1. Baixe o arquivo de configuração e instale-o no dispositivo de endpoint, no /etc/rsyslog.d/rsyslog.conf diretório.
          Nota:
          Se você estiver usando o. Análise de logs de integridadeVersão 20.0.11 - julho de 2021, disponível em ServiceNow Store , em vez disso, faça o seguinte:
          1. No dispositivo de endpoint, instale o arquivo de configuração no /etc/rsyslog.d/ diretório.
          2. Crie um diretório de spool executando o. sudo mkdir -p/var/spool/rsyslog comando.
        2. Valide a configuração executando o. Rsyslogd -N1 e verifique a saída.
        3. Reiniciar Rsyslogexecutando o. sudo systemctl restart rsyslog comando.
        4. Verifique a saída. Se ele contiver erros, verifique /var/log/messages arquivo de log do sistema para mensagens de erro e corrija os erros.
      • Linux Usando Filebeat:
        1. Baixe o arquivo de configuração e instale-o no dispositivo de endpoint, no /etc/filebeat/ diretório.
        2. Inicie o serviço do agente executando o. início do filebeat do serviço sudo comando.
          Nota:
          A configuração gerada ignora os arquivos que foram alterados pela última vez há mais de seis horas. Se necessário, você pode alterar esta configuração na configuração.
        3. Reinicie o serviço do agente executando o comando apropriado.
      • Windowsusando Beats(Filebeat ou Winlogbeat):
        1. Baixe o arquivo de configuração e instale-o no dispositivo de endpoint, no C:/Arquivos de programas diretório.
        2. Inicie o serviço do agente executando o comando apropriado no PowerShell.
          • Filebeat: PS > Iniciar-serviço de filebeat
          • Winlogbeat: PS > Iniciar-Serviço winlogbeat
          Nota:
          A configuração gerada ignora os arquivos que foram alterados pela última vez há mais de seis horas. Se necessário, você pode alterar esta configuração na configuração.
        3. Reinicie o serviço do agente executando o comando apropriado.
    8. Selecione Salvar.
      Análise de logs de integridade Adiciona o registro de entrada de dados à tabela Entradas de dados.
    9. Certifique-se de que a entrada de dados esteja configurada corretamente selecionando Conexão de teste .

      Análise de logs de integridadetenta conectar o. MID Serverpara o repositório de dados.

      • Se a conexão foi estabelecida, o. Conexão de teste o botão está desligado e o. Publicar o botão está habilitado.
      • Se a conexão falhar, o motivo da falha será exibido no Mensagem de erro campo. Este campo é exibido somente quando ocorre um erro de fluxo.

        Resolva o problema, selecione Salvar se você modificou a configuração e selecione Conexão de teste para testar a conexão novamente.

        Nota:
        Você só pode publicar a configuração de entrada de dados quando a conexão for criada com sucesso.
      Nota:
      Você pode reverter para a última configuração publicada selecionando Reverter mudanças . Esta opção só está disponível quando você está modificando uma configuração que foi publicada anteriormente.
    10. Selecione Publicar para publicar a entrada de dados no MID Server.

    Resultado

    O processo de configuração de entrada de dados está concluído. Análise de logs de integridadeadiciona o registro de entrada de dados ao Entradas de dados e anexa o arquivo de configuração ao registro de entrada de dados. A entrada de dados inicia o fluxo de log dados para seu ServiceNowinstância .

    O que Fazer Depois

    Certifique-se de que a entrada de dados esteja transmitindo dados.