Identificar e resolver um problema de fluxo de log em Análise de logs de integridade

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Encontre e resolva problemas de streaming de log para verificar se suas entradas de dados estão transmitindo dados de log para sua instância corretamente.

    Antes de Iniciar

    Função necessária: evt_mgmt_admin

    Procedimento

    1. Navegar até Tudo > Análise de logs de integridade > Origens do fluxo.
      A página Origens de fluxo mostra todas as entradas de dados e o. MID Servers que estão recebendo logs deles.
      Nota:
      • Quando Pesquisar nomes de host está selecionado em configuração avançada de entrada de dados , A página Origens de fluxo mostra o nome de host dos dispositivos que usam um Rsyslog Ou um expedidor Filebeat. Para Elasticsearchíndices, exibe o nome do índice.
      • Fontes de fluxo também estão disponíveis como uma lista relacionada no formulário de entrada de dados. A lista relacionada exibe somente os dispositivos de endpoint relevantes para essa entrada de dados.
      • . HLA O mecanismo está inativo e os dados pararam de transmitir, uma notificação é exibida na parte superior da página Origens de fluxo. Quando isso acontecer, entre em contato ServiceNow suporte.
    2. Selecione um registro de entrada de dados para exibir os dados de streaming de suas fontes e identificar problemas de fluxo e sua possível causa.
      Por exemplo, se a hora do último evento registrado para o servidor de endpoint de uma entrada de dados for ontem, esse servidor poderá estar inativo ou configurado incorretamente. Um problema de fluxo também pode ser causado pelo arquivo de configuração de entrada de dados não estar instalado no endpoint.
      Filtrar Descrição
      Status O status da origem. Um marcador vermelho indica que esta origem não transmitiu dados na última hora.
      Hora do último evento A última hora registrada em que um evento chegou MID Server no último intervalo de um minuto.

      Análise de logs de integridade atualiza continuamente a hora do último evento. Se a hora do último evento não estiver atualizada, os dados não serão transmitidos.
      Linhas de log brutos/s O número médio de linhas de log brutas que foram transmitidas para MID Server por segundo no último intervalo de um minuto.
      Nota:
      Este valor representa o número de linhas de log brutas antes do pré-processamento.
      Linhas de log pré-processadas/seg O número médio de linhas de log pré-processadas que foram transmitidas para MID Server por segundo no último intervalo de um minuto.
      Nota:
      Este valor pode ser diferente do número de linhas de log brutas por segundo. Por exemplo, a diferença pode ser o resultado de logs serem descartados durante o pré-processamento.
    3. Investigue e resolva quaisquer problemas de fluxo de dados.
      Nota:
      Se você tiver problemas relacionados a permissões com streaming de dados de log do Elasticsearch, consulte Concedendo privilégios para fluxos de dados do Elasticsearch [KB0967366] artigo no Now Support Base de conhecimento.

    O que Fazer Depois

    Quando os logs estiverem sendo transmitidos corretamente, prossiga para mapeie seus dados brutos de log .
    Nota:
    Você pode escolher edite os dados brutos de log de entrada antes Análise de logs de integridade processa. Por exemplo, o pré-processamento permite descartar partes de log ou remover dados confidenciais de seus logs. Esta tarefa é opcional.