Elasticsearch campos de configuração de integração

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 8 min. de leitura

    • Descrição dos campos no Elasticsearch formulários de configuração de integração para Análise de logs de integridade.

    Tabela 1. Detalhes do provedor
    Campo Descrição
    Nome da integração Nome exclusivo desta integração. Por exemplo: Meu Elasticsearch integração. Este campo é obrigatório.
    Nota:
    Quando você preenche este campo, o nome genérico exibido no formulário é ajustado automaticamente para corresponder ao nome inserido.
    Executar nos(as) Opção para determinar se um específico deve ser usado MID Server ou um específico MID Server cluster.
    Nome do MID Server

    (Somente quando Executar em Está definido como específico MID Server)

    . MID Server para o qual registrar dados Elasticsearch os índices são extraídos. Este campo é obrigatório.
    Cluster do MID Server

    (Somente quando Executar em está definido como Específico MID Server Cluster)

    . MID Server cluster para o qual os dados de log são extraídos. Este campo é obrigatório.

    Ao selecionar um cluster, o MID Servers no cluster selecionado e seu status são exibidos.

    A integração é executada em um único MID Server no cluster até isso MID Server falhas. Em seguida, o sistema move todas as tarefas de integração para as próximas disponíveis MID Server no cluster de acordo com a ordem configurada.

    Nota:
    • Análise de logs de integridade oferece suporte somente a failover MID Server clusters. Nesses clusters, vários MID Servers são agrupados para proteção de failover. Ao selecionar um cluster no formulário de integração, o MID Server A lista de clusters exibe somente clusters de failover.
    • . MID Server o cluster deve incluir somente MID Servers que oferecem suporte à autenticação básica. MTLS não é compatível com ingestão de log.
    • A ingestão de log deve estar habilitada para cada MID Server no cluster. Se a ingestão de log não estiver habilitada para o ativo MID Server, Análise de logs de integridade habilita automaticamente.
    • Se Elasticsearch Usa certificado de cliente ou autenticação de certificado de CA, tudo MID Servers no cluster deve ter os certificados apropriados.
    • O número máximo padrão de logs de streaming de integrações para um único MID Serveré 10. Um cluster passa na validação de capacidade se contiver pelo menos um MID Server com menos de 10 integrações em execução, mesmo quando isso é feito MID Server está inativo.
    Instância do serviço A instância de serviço à qual vincular os dados de log. Este campo é obrigatório.
    Nota:
    Se nenhuma instância de serviço relevante existir, Crie um instância de serviço E adicionar ICs a ele. Defina o status da nova instância de serviço como Operacional.
    Fonte de dados A origem dos dados de log que a integração extrai para seu ServiceNow Instância: Elastic. Este campo é somente leitura.
    Descrição Opção para adicionar uma breve descrição da integração para ajudar a identificá-la.
    Tabela 2. Método de recuperação de dados
    Campo Descrição
    URL do servidor O URL usado para acessar o cluster. Este campo é obrigatório.
    Método de autenticação O método de autenticação usado para autenticar a integração com Elasticsearch. O padrão é nenhum.
    Quando você seleciona o método de autenticação, os campos de credenciais correspondentes são exibidos no formulário.
    Nota:
    Como administrador, você pode criar um método de autenticação navegando até Tudo > Análise de logs de integridade > Métodos de Autenticação e selecionando Novo .
    Prefixo do índice Prefixo precedido aos nomes do Elasticsearchíndices dos quais você deseja ler os dados. A integração só lê dados de índices que correspondem ao prefixo configurado. Por exemplo: Network-logs-* corresponde a índices como network-logs-2024.01.01. Este campo é obrigatório.

    Essa configuração garante isso HLA ingere somente dados dos índices relevantes.

    Por exemplo: Only-read-these-indexes-*
    Campo de carimbo de data/hora do documento Campo de carimbo de data/hora em documentos armazenados em índices de leitura. Este campo é obrigatório.
    Formato do campo de carimbo de data/hora Formato do campo de carimbo de data/hora nos documentos.

    Se nenhum formato for especificado, o formato de tempo de época Unix padrão será usado, em milissegundos. Por exemplo: 1684168407 (May 15, 2023 4:33:27 PM)
    Filtros de termo Mapa JSON dos termos a serem filtrados.
    Nota:
    Evite usar o termo consulta para campos de texto. Se o campo de destino estiver mapeado como texto e palavra-chave, faça referência à palavra-chave usando fieldname.keyword.

    "Severidade": ["erro", "aviso"]
    Tabela 3. Configurações avançadas
    Campo Descrição
    Máximo de conexões por rota O número máximo de conexões a serem abertas por nó.
    Partes máximas de rolagem O número de fragmentos configurados para o índice relevante em Elasticsearch.

    Este número informa ao Elastic quantas consultas paralelas executar em cada solicitação de pesquisa.
    Host do proxy Nome do host do proxy HTTP por meio do qual as solicitações são enviadas.
    Porta de proxy Porta do proxy HTTP por meio da qual as solicitações são enviadas.
    Usar verificação de política de certificação MID Opção para habilitar a verificação da política de certificado MID.

    Selecione esta opção se quiser enviar seus logs criptografados usando SSL TLS. Em seguida, navegue até Tudo > MID Server > Política de segurança de MID E adicione a verificação de política de certificado MID à tabela. Para obter mais informações, consulte Políticas de verificação de certificado DO MID Server .
    Usar pesquisa entre clusters Opção para pesquisar dados no Elasticsearch clusters.

    Quando esta caixa de seleção é marcada, o Clusters a serem pesquisados o campo é exibido.

    Nota:
    Suas configurações no Use privilégios mínimos e Atraso na leitura do carimbo de data/hora atual (segundos) . Configuração avançada o formulário afeta como os dados são coletados em vários clusters.
    Clusters para pesquisa . Elasticsearch Clusters a serem pesquisados.Este campo é exibido somente quando Use a pesquisa entre clusters a caixa de seleção está marcada.
    Siga um destes procedimentos:
    • Deixe este campo em branco ou insira "*" para pesquisar todos os clusters remotos definidos em Elasticsearch.
    • Especifique os clusters a serem pesquisados em uma lista separada por vírgulas.
      Nota:
      Para pesquisar também o cluster local, adicione uma vírgula no início ou no final ou adicione duas vírgulas em sequência à lista. Por exemplo: "East,,west" ou ",east,west" ou "*,"
    Usar privilégios mínimos Opção para ler dados de log diretamente do Elasticsearchíndices com o prefixo configurado.
    • Quando selecionada, a integração lê os dados de log diretamente do Elasticsearchíndices com o prefixo configurado. Para executar esta tarefa, ela só precisa de privilégios de leitura.
      Nota:
      Quando esta caixa de seleção está marcada e você está usando a pesquisa entre clusters, os dados são coletados de todos os clusters simultaneamente.
    • Quando desmarcada, a integração busca todos os índices com o prefixo, os filtra e lê os dados de log dos índices filtrados. Executar esta tarefa requer privilégios adicionais.
      Nota:
      Deixar esta caixa de seleção desmarcada ao usar a pesquisa entre clusters afeta como os dados são coletados dos clusters. Para obter mais informações, consulte Como habilitar e usar a pesquisa entre clusters para entradas de dados do Elasticsearch na Análise de log de integridade [KB1556079] artigo no Now Support Base de conhecimento.

    Para obter informações adicionais sobre logs de streaming usando Elasticsearch integração, consulte Logs de fluxo usando a entrada de dados do Elasticsearch - Guia avançado [KB1080162] artigo no Now Support Base de conhecimento.
    Máximo de documentos por consulta Número máximo de documentos que serão obtidos em uma única consulta.
    Tie breaker de rolagem fatiada Valor usado para dividir os dados. Cada fatia é rolada em paralelo. _id
    Desempate pós-pesquisa Valor exclusivo por documento a ser usado como critério de desempate ao classificar entradas de log por carimbo de data/hora.
    Usar a API de pós-pesquisa Opção para alternar entre o uso de APIs de rolagem em partes e pós-pesquisa.
    Nota:
    APIs de rolagem dividida são preferíveis ao ler dados históricos, enquanto as APIs de pesquisa após são melhores para ler dados em tempo real.
    Formato de sufixo de tempo do índice Formato do sufixo de tempo ao usar nomes de índice baseados em tempo, como [logstash-]AAAA.MM.DD.

    Ao usar aliases, deixe este campo em branco.

    Por exemplo: Uuuuu.MM.dd
    Tempo limite de leitura de dados (milissegundos) A duração do tempo, em milissegundos, antes de uma solicitação para Elasticsearch tempo limite do cluster.
    Intervalo de descoberta do índice (segundos) O número de segundos entre as solicitações do MID Server intermitente para Elasticsearch cluster para novos índices dos quais ler dados.
    Tempo do contexto de rolagem (milissegundos) A vida útil da rolagem criada ao usar a API de rolagem para ler dados Elasticsearch. Para obter mais informações, consulte Elasticsearch Rolar documentação da API .
    Trabalhadores de processador de eventos O número máximo de núcleos de CPU usados em paralelo para processar eventos obtidos de Elasticsearch. Uma configuração mais alta aumenta o rendimento da entrada de dados ao custo de maior uso da CPU.
    Tamanho da fila do trabalhador O número máximo de lotes na fila para processamento. Uma configuração mais alta aumenta a taxa de transferência, ao custo de maior uso de RAM.
    Fuso horário padrão O fuso horário de eventos que o sistema usará se um log não especificar o fuso horário.

    Por padrão, o sistema usa GMT nesses casos, mas você pode especificar um fuso horário diferente.
    Proporção de soltura de subamostra O número de eventos a serem agrupados em lote, dos quais um será descartado. Esta configuração é usada para reduzir o número de eventos obtidos.
    Taxa de recebimento de subamostra O número de eventos a serem agrupados em lote, dos quais todos, exceto um, serão descartados. Esta configuração é usada para diminuir o número de eventos recebidos.
    Codificação de caracteres A codificação de caracteres para esta entrada de dados.
    Intervalo de espera (segundos) O intervalo, em segundos, para aguardar antes de consultar novamente depois que uma consulta não retornou dados.
    Tamanho máximo em bytes O tamanho máximo, em bytes, das mensagens de log.
    Atraso na leitura do carimbo de data/hora atual (segundos) O número de segundos antes da hora atual de consulta para incluir dados atrasados.O número configurado de segundos é subtraído da hora atual para ler o último carimbo de data/hora.
    Nota:
    Se este valor for 0 e os dados forem coletados de vários clusters simultaneamente, a consulta poderá não incluir dados que foram enviados com atraso em um dos clusters,
    Intervalo de Pesquisa Com que frequência o sistema pesquisa novos dados de log.