Konfigurieren Sie ein Rsyslog, Filebeat, Oder Winlogbeat Dateneingabe in Health Log Analytics Manuell

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 6 Minuten Lesedauer

    • Richten Sie eine Dateneingabe für das Streaming von Protokollnachrichten an ein ServiceNow Instanz mit Rsyslog, Filebeat, Oder Winlogbeat Service Desk-Mitarbeiter.

    Vorbereitungen

    • Überprüfen Sie, ob ein MID-Server Wird mit aktivierter Protokollerfassungsfunktion installiert und konfiguriert. Weitere Informationen finden Sie unter MID Server system requirements.

      MID-Server-Konfiguration mit aktivierter Protokollerfassungsfunktion.

      Wichtig:
      Health Log Analytics bietet keine Unterstützung für IPv6. Konfigurieren Sie den MID-Server auf IPv4, um mit der Anwendung zu arbeiten.
    • Wenn MID-Server Die IP-Adresse wird durch Netzwerkadressübersetzung (Network Address Translation, NAT), ein Lastenausgleichsmodul oder ein ähnliches Gerät bereitgestellt MID-Server Muss eine öffentliche IP-Adresse haben, um von externen Clients erreichbar zu sein, z. B. Filebeat Service Desk-Mitarbeiter, die sich außerhalb des Netzwerks befinden. Private IP-Adressen können nicht über das Internet weitergeleitet werden. Ohne eine öffentliche IP können diese externen Clients keine Verbindung mit herstellen MID-Server Auch wenn sie mit der Adresse konfiguriert sind. Fügen Sie in den Eigenschaften des MID-Server eine Eigenschaft mit dem Namen mid.public_ip mit der öffentlichen IP-Adresse als Wert hinzu. Weitere Informationen finden Sie unter MID Server-Eigenschaften erstellen.
      Hinweis:
      Wenn MID-Server Und externe Clients befinden sich im selben Netzwerk, eine öffentliche IP ist nicht erforderlich, und Verbindungen können über die private IP-Adresse hergestellt werden.
    • Informationen zum Versand Ihrer mit SSL TLS verschlüsselten Protokolle finden Sie unter Streaming von Daten mit rsyslog und Filebeat unter Verwendung von SSL [KB0866319] artikel in Now Support Knowledge Base.

    Erforderliche Rolle: evt_mgmt_admin

    Prozedur

    1. Navigieren zu Alle > Health Log Analytics > Dateneingabe > Dateneingabenan.
    2. Wählen Sie auf der Seite „Data Inputs“ (Dateneingaben) die Option Neu aus.
    3. Wählen Sie den zu erstellenden Dateneingabetyp aus den in der Tabelle beschriebenen verfügbaren Dateneingabetypen aus.
      Hinweis:
      Der ausgewählte Dateneingabetyp ergänzt die passive Dateneingabe (Listener). Weitere Informationen finden Sie unter Unterstützte Dateneingaben.
      Tabelle : 1. Dateneingabetypen
      Typ Beschreibung
      Rsyslog Streamt Protokollmeldungen von UNIX-basierten Servern an die KI-Engine von ServiceNow mit dem Rsyslog-Agent
      Linux mit Filebeat Streamt Systemprotokollnachrichten und lokale Dateien aus Linux Server zur -Instanz mit Filebeat Service Desk-Mitarbeiter.
      Windows Anwendungsprotokolle mit Filebeat Streamt lokale Dateien aus Microsoft Windows-Geräte für ServiceNow Instanz, die verwendet Filebeat Service Desk-Mitarbeiter.
      Windows Betriebssystem mit Winlogbeat Streams Windows Ereignisprotokolle für ServiceNow Instanz, die verwendet Winlogbeat Service Desk-Mitarbeiter.
    4. Füllen Sie das Formular auf der Registerkarte Erste Schritte aus.

      Feldbeschreibungen finden Sie unter Rsyslog Dateneingabekonfigurationsfelder , Filebeat oder Winlogbeat.

      Hinweis:
      Beim Erstellen einer Dateneingabe für Linux mit Filebeat, Sie können ein Inhaltspaket aus auswählen Inhaltspaket Dropdown-Liste. Das Inhaltspaket enthält Standardquelltypen und Zuordnungsskriptvorlagen, die Ihnen die Zeit sparen, die Sie benötigen, um sie von Grund auf neu zu erstellen. Weitere Informationen finden Sie unter Health Log Analytics Inhaltspakete für kürzere Amortisierungszeit.
    5. Wenn Rsyslog, Filebeat, Oder Winlogbeat Agent wurde nicht bereits installiert. Laden Sie ihn herunter, und installieren Sie ihn aus dem Installation Registerkarte.
      Installationsanweisungen finden Sie in der Produktdokumentation des jeweiligen Service Desk-Mitarbeiters.
      Hinweis:
      Stellen Sie sicher, dass Sie die neueste Version des Agent ausführen. Frühere Versionen funktionieren, aber mit eingeschränkter Funktionalität.
    6. Auf der Tagging und Bindung Registerkarte Protokolle einer Serviceinstanz in zuweisen Configuration Management Database (CMDB) Damit der Service die Protokolldaten korrelieren und dem System die Ursachenanalyse ermöglichen kann.
      1. Konfigurieren Sie für jede Quelle den Pfad und die Serviceinstanz für die Protokolle, die gestreamt werden sollen.
        Hinweis:
        Standardmäßig nur die Pflichtfelder Pfad Und Serviceinstanz Angezeigt.

        Feldbeschreibungen finden Sie unter Rsyslog Dateneingabekonfigurationsfelder , Filebeat oder Winlogbeat.

      2. Wenn Sie mehrzeilige Protokolle mit versenden möchten Filebeat, Konfigurieren Sie die Eigenschaften, die steuern, wie Filebeat Verarbeitet Nachrichten, die sich über mehrere Textzeilen erstrecken.
        Feld Beschreibung
        Übereinstimmung Gibt an, wie Filebeat Kombiniert übereinstimmende Positionen in einem Ereignis.
        Negieren Definiert, ob das in den Protokollzeilen identifizierte Muster negiert wird
        Regulärer Ausdruck Gibt den regulären Ausdruck an
        Hinweis:
        Health Log Analytics unterstützt derzeit keine mehrzeiligen Eigenschaften für Rsyslog.
      3. Wahlweise: Definieren Sie zusätzliche Protokollpfade, damit die Dateneingabe Protokolltypen aus mehreren Pfaden streamen kann.
        Gehen Sie für jeden zusätzlichen Protokollpfad wie folgt vor:
        1. Fügen Sie eine neue Zeile ein.
        2. Konfigurieren Sie den Protokollpfad.
        3. Wählen Sie eine Serviceinstanz aus.
        4. (Optional) Wählen Sie eine Komponente und einen Quelltyp aus.
        Hinweis:
        Diese Option ist bei Verwendung von nicht verfügbar oder erforderlich Winlogbeat, Weil Health Log Analytics Streamt Windows Ereignisprotokolle.
    7. Schließen Sie auf der Registerkarte Fertigstellen die Konfiguration für Ihren Dateneingabetyp ab.
      • Rsyslog:
        1. Laden Sie die Konfigurationsdatei herunter, und installieren Sie sie auf dem Endpunktgerät im Verzeichnis /etc/rsyslog.d/rsyslog.conf.
          Hinweis:
          Wenn Sie Health Log Analytics Anwendung, Version 20.0.11 – Juli 2021, verfügbar über ServiceNow Store verwenden, gehen Sie stattdessen wie folgt vor:
          1. Installieren Sie auf dem Endpunktgerät die Konfigurationsdatei im Verzeichnis /etc/rsyslog.d/.
          2. Erstellen Sie ein Spool-Verzeichnis, indem Sie den Befehl sudo mkdir -p/var/spool/rsyslog ausführen.
        2. Validieren Sie die Konfiguration, indem Sie den Befehl rsyslogd -N1 ausführen und die Ausgabe überprüfen.
        3. Starten Sie Rsyslog neu, indem Sie den Befehl sudo systemctl restart rsyslog ausführen.
        4. Überprüfen Sie die Ausgabe. Wenn die Systemprotokolldatei /var/log/messages Fehler enthält, prüfen und beheben Sie die Fehlermeldungen.
      • Linux Verwenden Filebeat:
        1. Laden Sie die Konfigurationsdatei herunter, und installieren Sie sie auf dem Endpunktgerät im Verzeichnis /etc/filebeat/.
        2. Starten Sie den Agent-Service, indem Sie den Befehl sudo service filebeat start ausführen.
          Hinweis:
          Die generierte Konfiguration ignoriert Dateien, die zuletzt vor mehr als sechs Stunden geändert wurden. Bei Bedarf können Sie diese Einstellung in der Konfiguration ändern.
        3. Starten Sie den Agent-Service neu, indem Sie den entsprechenden Befehl ausführen.
      • Windows Verwenden Beats( Filebeat Oder Winlogbeat):
        1. Laden Sie die Konfigurationsdatei herunter, und installieren Sie sie auf dem Endpunktgerät im Verzeichnis C:\Programme\.
        2. Starten Sie den Agent-Service neu, indem Sie den entsprechenden PowerShell-Befehl ausführen.
          • Filebeat: PS > Start-Service filebeat
          • Winlogbeat: PS > Start-Service winlogbeat
          Hinweis:
          Die generierte Konfiguration ignoriert Dateien, die zuletzt vor mehr als sechs Stunden geändert wurden. Bei Bedarf können Sie diese Einstellung in der Konfiguration ändern.
        3. Starten Sie den Agent-Service neu, indem Sie den entsprechenden Befehl ausführen.
    8. Wählen Sie Speichern.
      Health Log Analytics fügt den Dateneingabedatensatz in die Dateneingabentabelle ein.
    9. Überprüfen Sie, ob die Dateneingabe korrekt konfiguriert ist, indem Sie auswählen Verbindung testen .

      Health Log Analytics Versucht, eine Verbindung mit herzustellen MID-Server Zum Daten-Repository.

      • Wenn die Verbindung hergestellt wurde, wird Verbindung testen Die Schaltfläche ist deaktiviert, und die Veröffentlichen Schaltfläche ist aktiviert.
      • Wenn die Verbindung fehlgeschlagen ist, wird der Grund für den Fehler in angezeigt Fehlermeldung Feld. Dieses Feld wird nur angezeigt, wenn ein Streaming-Fehler aufgetreten ist.

        Beheben Sie das Problem, wählen Sie aus Speichern Wenn Sie die Konfiguration geändert haben, und wählen Sie dann aus Verbindung testen Um die Verbindung erneut zu testen.

        Hinweis:
        Sie können die Dateneingabekonfiguration nur veröffentlichen, wenn die Verbindung erfolgreich erstellt wurde.
      Hinweis:
      Sie können zur zuletzt veröffentlichten Konfiguration zurückkehren, indem Sie auswählen Änderungen Rückgängig Machen . Diese Option ist nur verfügbar, wenn Sie eine zuvor veröffentlichte Konfiguration ändern.
    10. Wählen Sie Aus Veröffentlichen Um die Dateneingabe in zu veröffentlichen MID-Server.

    Ergebnisse

    Der Konfigurationsprozess für die Dateneingabe ist abgeschlossen. Health Log Analytics Fügt den Dateneingabedatensatz zu hinzu Dateneingaben Tabelle und hängt die Konfigurationsdatei an den Dateneingabedatensatz an. Die Dateneingabe beginnt mit dem Streamen von Protokolldaten an Ihren ServiceNow Instanz.

    Hinweis:
    Die Konfigurationsdatei Health Log Analytics Generiert für neu Filebeat Dateneingaben sind kompatibel mit Filebeat Version 7,14 und höher. Das Minimum Filebeat Version, die Elasticsearch Derzeit unterstützt wird 7,17, das sich dem Ende seiner Lebensdauer nähert.

    Vorhanden Filebeat Dateneingabekonfigurationsdateien in HLA Sind kompatibel mit Filebeat Versionen bis zu 8.x. Für Filebeat Version 9,0 und höher: Migrieren Sie entweder von der Protokolleingabe zur Dateistromeingabe, oder generieren Sie eine neue Konfigurationsdatei. Weitere Informationen zum Migrationsprozess finden Sie unter Filebeat Dokumentationan.

    Nächste Maßnahme

    Stellen Sie sicher, dass die Dateneingabe aus Streaming-Daten besteht.