Configurar Elasticsearch integrações

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Configurar uma integração para fluxo contínuo de dados de log de Elasticsearchpara seu instância para processamento por Análise de logs de integridade.

    Antes de Iniciar

    Nota:
    Análise de logs de integridade. Elasticsearchversões 5,4 e superiores. Para obter informações avançadas sobre streaming de dados de log de Elasticsearchpara sua instância, consulte Fluxo de logs usando a entrada de dados do Elasticsearch - Guia avançado [KB1080162] artigo no Now Supportbase de conhecimento.
    • Certifique-se de que Análise de logs de integridadea aplicação está instalada e provisionada em sua instância. Para obter mais informações, consulte Instalar Análise de logs de integridade(HLA).
    • Certifique-se de que uma instância de serviço esteja disponível.
    • Certifique-se de que Análise de logs de integridadeO mecanismo de IA está em funcionamento.
    • Certifique-se de que um MID Server Está instalado e configurado com a capacidade de ingestão de log habilitada.

      Configuração do MID Server com a capacidade de ingestão de log habilitada.

      Importante:
      Análise de logs de integridade Não é compatível com IPv6. Para trabalhar com a aplicação, configure o. MID ServerPara IPv4.
    • . MID ServerO endereço IP é exposto por conversão de endereço de rede (NAT), um balanceador de carga ou um dispositivo semelhante, ele deve ter um endereço IP público. Em MID Serverpropriedades, adicione uma propriedade chamada mid.public_ipCom o endereço IP público como o valor. Para obter mais informações, consulte Crie uma propriedade do MID Server .

    Função necessária: evt_mgmt_admin

    Procedimento

    1. Navegar até Espaços > Espaço de operações de serviços.
    2. No painel esquerdo, selecione o ícone do Launchpad de integrações ( Ícone do Launchpad de integração)
    3. Em Procurar integrações , insira Elasticsearchno campo de pesquisa.
    4. Selecione Elasticsearchbloco de integração.
      Nota:
      Se você iniciou o processo de integração sem atender a todos os pré-requisitos listados na seção Antes de começar, uma mensagem será exibida. Você tem a opção de cancelar a integração e concluir os requisitos ausentes ou continuar no modo de rascunho e preenchê-los mais tarde. Observe que você só pode ativar uma integração quando todos os pré-requisitos forem atendidos. E configurados as integrações do avd que não foram ativadas estão disponíveis no Integrações instaladas na Integrations Launchpad, em Aguardando sua ação .
    5. Selecione Forneça detalhes .
      . Forneça detalhes é exibido. Esta tela requer que você forneça detalhes essenciais para a nova integração, incluindo MID Serverou cluster do qual extrair as mensagens de log e a instância de serviço à qual os dados devem ser vinculados.
    6. No formulário, preencha os campos.
      Para obter uma descrição dos campos, consulte Elasticsearch integração campos de configuração.
    7. Opcional: Selecione Avançado para definir campos de configuração avançada.
      Para obter uma descrição dos campos, consulte Elasticsearch integração campos de configuração.
    8. Selecione Avançar.
      . Definir recuperação de dados é exibida. Esta tela requer que você especifique quais dados de log devem ser recuperados do dispositivo, o método de extração e como transmitir os dados para a instância.
    9. No formulário, preencha os campos.
      Para obter uma descrição dos campos, consulte Elasticsearch integração campos de configuração.
    10. Selecione Teste e salve .
      O sistema salva o novo integração para o banco de dados e testa a porta configurada, retornando sucesso ou um erro. Se um erro for retornado, faça ajustes na configuração de acordo com as sugestões na tela e selecione Teste e salve novamente. Quando o teste for bem-sucedido, você poderá ativar o. integração .
    11. Selecione Ativar.
      . integração está ativado. . Visão geral é exibida.

    Resultado

    Dados de log inicia a transmissão para seu ServiceNowinstância. . lado a lado para integração está disponível em Integrações instaladas na Integrations Launchpad.

    Os usuários com a função evt_mgmt_user podem usar Gestão de eventospara monitorar os logs e exibir os alertas que Análise de logs de integridadegera a partir deles.

    O que Fazer Depois

    Revise o status e as origens do fluxo de dados de log de . integração em Visão geral . Aproveite as informações exibidas para refinar como HLAlê os dados de log ajustando seu integração configuração. Para obter mais informações, consulte Revise o status e as origens do fluxo de dados do log de r n integração.
    Nota:
    Em Visão geral Você pode ir diretamente para as páginas Mapeamento de entrada de dados, Estruturas de tipo de origem e origens de log com contexto desta integração selecionando o ícone do menu Exibir ( Ícone do menu Exibir.) e escolhendo a opção relevante. O menu também permite que você acesse diretamente o Visualizador de logs, que mostra os logs brutos integração ingere.