Richten Sie ein Splunk TCP-Integration für Health Log Analytics

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Richten Sie eine Integration ein, um Protokollnachrichten an zu streamen ServiceNow Instanz über das TCP-Transportprotokoll mit Splunk Schwerer Forwarder. Health Log Analytics Verarbeitet die erfassten Protokolldaten.

    Vorbereitungen

    • Überprüfen Sie, ob ein MID-Server Wird mit aktivierter Protokollerfassungsfunktion installiert und konfiguriert. Weitere Informationen finden Sie unter MID Server system requirements.

      MID-Server-Konfiguration mit aktivierter Protokollerfassungsfunktion.

      Wichtig:
      Health Log Analytics bietet keine Unterstützung für IPv6. Konfigurieren Sie den MID-Server auf IPv4, um mit der Anwendung zu arbeiten.
    • Wenn MID-Server Die IP-Adresse wird durch Netzwerkadressübersetzung (Network Address Translation, NAT), ein Lastenausgleichsmodul oder ein ähnliches Gerät bereitgestellt MID-Server Muss eine öffentliche IP-Adresse haben, um von externen Clients erreichbar zu sein, z. B. Filebeat Service Desk-Mitarbeiter, die sich außerhalb des Netzwerks befinden. Private IP-Adressen können nicht über das Internet weitergeleitet werden. Ohne eine öffentliche IP können diese externen Clients keine Verbindung mit herstellen MID-Server Auch wenn sie mit der Adresse konfiguriert sind. Fügen Sie in den Eigenschaften des MID-Server eine Eigenschaft mit dem Namen mid.public_ip mit der öffentlichen IP-Adresse als Wert hinzu. Weitere Informationen finden Sie unter MID Server-Eigenschaften erstellen.
      Hinweis:
      Wenn MID-Server Und externe Clients befinden sich im selben Netzwerk, eine öffentliche IP ist nicht erforderlich, und Verbindungen können über die private IP-Adresse hergestellt werden.
    • Informationen zum Versand Ihrer mit SSL TLS verschlüsselten Protokolle finden Sie unter Streaming von Daten mit rsyslog und Filebeat unter Verwendung von SSL [KB0866319] artikel in Now Support Knowledge Base.
    • Die MID-Server Muss die Standardauthentifizierung unterstützen.
      Hinweis:
      MTLs werden für die Protokollerfassung nicht unterstützt.
    • Nicht mehr als das Standardmaximum von 10 Integrationen streamt Protokolle an eine einzelne MID-Server. Sie können die maximale Anzahl ändern, indem Sie die Eigenschaft hinzufügen sn.occ.log_ingestion.max_datainput_per_MID Zu MID-Server Und dann ändern Sie den Standardwert.

      Um herauszufinden, wie viele Dateneingaben Protokolle an denselben streamen MID-Server, Navigieren Sie zu Streaming-Quellen Tabelle und zählen Sie die Dateneingaben, die zu einem bestimmten gestreamt werden MID-Server.

    Erforderliche Rolle: evt_mgmt_admin

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Service Operations-Arbeitsbereichan.
    2. Wählen Sie im linken Bereich das Symbol Integrations Launchpad: Symbol für Integrations-Launchpad.
    3. In Integrationen durchsuchen Registerkarte eingeben Splunk Im Suchfeld.
    4. Wählen Sie aus Splunk TCP-Integrationskachel.
      Hinweis:
      Wenn Sie ein Integrationssetup starten, bevor Sie alle Voraussetzungen erfüllen, wird eine Meldung angezeigt. Sie können entweder das Setup abbrechen und zuerst die vorherigen Anforderungen abschließen oder im Entwurfsmodus fortfahren und sie später abschließen. Beachten Sie, dass Sie die Integration erst aktivieren können, wenn alle Voraussetzungen erfüllt sind.
    5. Auf der Geben Sie Details an Füllen Sie die Felder aus.
      Eine Beschreibung der Felder finden Sie unter Geben Sie Details an Tabelle in Splunk Konfigurationsfelder für TCP-Integration.
    6. Wahlweise: Wählen Sie Aus Erweiterte Einstellungen Und füllen Sie die Felder für die erweiterte Konfiguration aus.
      Eine Beschreibung der Felder finden Sie unter Erweiterte Einstellungen Tabelle in Splunk Konfigurationsfelder für TCP-Integration.
    7. Wählen Sie Weiter.
    8. Befolgen Sie das Verfahren auf dem Setup-Anweisung Bildschirm zum Installieren der Integration in der Drittanbieterkonsole.
      Hinweis:
      Das Verfahren hängt von Ihren Konfigurationen ab.
    9. Wählen Sie Aus Speichern Entwurf .
    10. Wählen Sie Aus Aktivieren Zum Aktivieren der Integration.
      Hinweis:
      Sie können eine konfigurierte Integration nur aktivieren, wenn Sie alle im Abschnitt vor Beginn aufgeführten Voraussetzungen erfüllt haben.
      Die Integration ist aktiviert und die Übersicht Registerkarte wird angezeigt.
    11. Wahlweise: Wenn Sie die Integration im Entwurfsmodus installiert haben, führen Sie die folgenden Schritte aus, um sie zu aktivieren:
      1. Schließen Sie die Integrationsvoraussetzungen ab.
      2. In Integrations Launchpad Installierte Integrationen Registerkarte, unter Warten auf Ihre Aktion , Suchen und wählen Sie die Integration aus.
      3. Auf der Setup-Anweisung Wählen Sie die Registerkarte aus Aktivieren Zum Aktivieren der Integration.

    Ergebnisse

    Protokolldaten beginnen mit dem Streamen an Ihren ServiceNow Instanz. Die Kachel für die Integration ist in verfügbar Installierte Integrationen Registerkarte im Integrations Launchpad.

    Nächste Maßnahme

    Nutzen Sie die Informationen im Übersicht Registerkarte zum Verfeinern der Vorgehensweise HLA Liest die Protokolldaten. Weitere Informationen finden Sie unter Überprüfen Sie die Protokoll-Streaming-Daten, und passen Sie die Integrationseinstellungen in an Health Log Analytics.
    Tipp:
    Verwenden Sie das Menü weitere Optionen ( ), um zu öffnen Dateneingabezuordnung , Quelltypstrukturen , Oder Protokollquellen Seiten mit Kontext aus der Integration. Wenn Ihre Protokolldaten nicht ordnungsgemäß zugeordnet, strukturiert oder bezogen sind, kehren Sie zurück, und passen Sie die Konfiguration an. Wenn Service Operations-Arbeitsbereich Log Analytics Anwendung installiert ist, bietet das Menü „weitere Optionen“ auch direkten Zugriff auf Protokoll-Viewer , Wo Sie von der Integration erfasste Rohprotokollnachrichten überprüfen können.
    Weitere Informationen finden Sie unter: