Elasticsearch Integrationskonfigurationsfelder

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 7 Minuten Lesedauer

    • Beschreibung der Felder in Elasticsearch Integrationskonfigurationsformulare für Health Log Analytics.

    Tabelle : 1. Details angeben
    Feld Beschreibung
    Integrationsname Eindeutiger Name dieser Integration. Beispiel: Mein Elasticsearch Integration. Dies ist ein Pflichtfeld.
    Hinweis:
    Wenn Sie dieses Feld ausfüllen, wird der im Formular angezeigte generische Name automatisch an den von Ihnen eingegebenen Namen angepasst.
    Ausführen auf Option, um zu bestimmen, ob ein bestimmtes verwendet werden soll MID-Server Oder ein Spezifisch MID-Server Cluster.
    MID-Server-Name

    (Nur wenn Ausführen am Ist auf spezifisch festgelegt MID-Server)

    Die MID-Server An, von dem Daten protokolliert werden Elasticsearch Indizes werden abgerufen. Dies ist ein Pflichtfeld.
    MID-Server-Cluster

    (Nur wenn Ausführen am Ist auf festgelegt Spezifisch MID-Server Cluster)

    Die MID-Server Cluster, in den die Protokolldaten abgerufen werden. Dies ist ein Pflichtfeld.

    Wenn Sie einen Cluster auswählen, wird die MID Servers Im ausgewählten Cluster und deren Status werden angezeigt.

    Die Integration wird auf einem einzelnen ausgeführt MID-Server Im Cluster bis dahin MID-Server Schlägt fehl. Das System verschiebt dann alle Integrationsaufgaben zu den nächsten verfügbaren Aufgaben MID-Server Im Cluster gemäß der konfigurierten Reihenfolge.

    Hinweis:
    • Health Log Analytics Unterstützt nur Failover MID-Server Cluster. In diesen Clustern mehrere MID Servers Sind für den Failover-Schutz gruppiert. Wenn Sie einen Cluster im Integrationsformular auswählen, wird der verwendet MID-Server Die Clusterliste zeigt nur Failover-Cluster an.
    • Die MID-Server Cluster darf nur enthalten MID Servers Die die Standardauthentifizierung unterstützen. MTLs werden für die Protokollerfassung nicht unterstützt.
    • Die Protokollerfassung muss für jeden aktiviert sein MID-Server Im Cluster. Wenn die Protokollerfassung für den aktiven nicht aktiviert ist MID-Server, Health Log Analytics Aktiviert es automatisch.
    • Wenn Elasticsearch Verwendet Client-Zertifikat- oder CA-Zertifikat-Authentifizierung, alle MID Servers Im Cluster muss über die entsprechenden Zertifikate verfügen.
    • Die standardmäßige maximale Anzahl von Integrationen, die Protokolle zu einem einzelnen streamen MID-Server Ist 10. Ein Cluster besteht die Kapazitätsvalidierung, wenn er mindestens einen enthält MID-Server Mit weniger als 10 Integrationen, auch wenn dies der Fall ist MID-Server Ist ausgefallen.
    Serviceinstanz Die Serviceinstanz, an die die Protokolldaten gebunden werden sollen. Dies ist ein Pflichtfeld.
    Hinweis:
    Wenn keine relevante Serviceinstanz vorhanden ist, Erstellen Sie einen Serviceinstanz Und fügen Sie CIs hinzu. Legen Sie den Status der neuen Serviceinstanz auf betriebsbereit fest.
    Datenquelle Die Quelle der Protokolldaten, die die Integration an Ihren abruft ServiceNow Instanz: Elastisch. Dieses Feld ist schreibgeschützt.
    Beschreibung Option zum Hinzufügen einer kurzen Beschreibung der Integration, um sie zu identifizieren.
    Tabelle : 2. Datenabrufmethode
    Feld Beschreibung
    Server-URL Die URL, die für den Zugriff auf den Cluster verwendet wird. Dies ist ein Pflichtfeld.
    Authentifizierungsmethode Die Authentifizierungsmethode, mit der die Integration authentifiziert wird Elasticsearch. Der Standardwert ist „keine“.
    Wenn Sie die Authentifizierungsmethode auswählen, werden die entsprechenden Anmeldeinformationsfelder im Formular angezeigt.
    Hinweis:
    Als Administrator können Sie eine Authentifizierungsmethode erstellen, indem Sie zu navigieren Alle > Health Log Analytics > Authentifizierungsmethoden Und auswählen Neu .
    Indexpräfix Präfix, das den Namen von vorangestellt ist Elasticsearch Indizes, aus denen Sie Daten lesen möchten. Die Integration liest nur Daten aus Indizes, die dem konfigurierten Präfix entsprechen. Beispiel: Network-Logs-* entspricht Indizes wie Network-Logs-2024.01.01. Dies ist ein Pflichtfeld.

    Diese Einstellung stellt das sicher HLA Erfasst nur Daten aus den relevanten Indizes.

    Beispiel: Only-read-this-indices-*
    Zeitstempelfeld des Dokuments Zeitstempelfeld in Dokumenten, die in den Leseindizes gespeichert sind. Dies ist ein Pflichtfeld.
    Format des Zeitstempelfelds Format des Zeitstempelfelds in den Dokumenten.

    Wenn kein Format angegeben ist, wird das standardmäßige Unix-Epochenzeitformat in Millisekunden verwendet. Beispiel: 1684168407 (15. Mai 2023 4:33:27 PM)
    Begriffsfilter JSON-Zuordnung der zu filternden Begriffe
    Hinweis:
    Vermeiden Sie die Verwendung von Begriffsabfragen für Textfelder. Wenn das Zielfeld sowohl als Text als auch als Stichwort zugeordnet ist, referenzieren Sie das Stichwort mit feldname.stichwort.

    Beispiel: {"severity": ["error", "warning"]}
    Tabelle : 3. Erweiterte Einstellungen
    Feld Beschreibung
    Max. Anzahl von Verbindungen pro Route Die maximale Anzahl von Verbindungen, die pro Knoten geöffnet werden sollen.
    Max. Bildlaufsegmente Die Anzahl der Shards, die für den relevanten Index in konfiguriert sind Elasticsearch.

    Diese Zahl gibt Elastic an, wie viele parallele Abfragen in jeder Abfrageanforderung ausgeführt werden sollen.
    Proxy-Host Hostname des HTTP-Proxys, über den Anforderungen gesendet werden.
    Proxy-Port Port des HTTP-Proxy, über den Anforderungen gesendet werden
    MID-Zertifikatrichtlinienprüfung verwenden Option zum Aktivieren der Prüfung der MID-Zertifikatsrichtlinie.

    Wählen Sie diese Option aus, wenn Sie die Protokolle mit SSL/TLS verschlüsselt senden möchten. Navigieren Sie dann zu Alle > MID-Server > MID-Sicherheitsrichtlinie Und fügen Sie der Tabelle die MID-Zertifikatrichtlinienprüfung hinzu. Weitere Informationen finden Sie unter Richtlinien für die Zertifikatprüfung des MID-Servers .
    Cross-Cluster-Suche verwenden Option für die Suche nach Daten in Elasticsearch Cluster.

    Wenn dieses Kontrollkästchen aktiviert ist, wird Cluster, die gesucht werden sollen Feld wird angezeigt.

    Hinweis:
    Ihre Einstellungen in Verwenden Sie minimale Berechtigungen Kontrollkästchen und Verzögerung beim Lesen des aktuellen Zeitstempels (Sekunden) Feld auf der Erweiterte Konfiguration Das Formular wirkt sich auf die Erfassung von Daten in mehreren Clustern aus.
    Cluster für Suche Die Elasticsearch Cluster, die gesucht werden sollen.dieses Feld wird nur angezeigt, wenn Verwenden Sie die clusterübergreifende Suche Das Kontrollkästchen ist aktiviert.
    Führen Sie einen der folgenden Schritte aus:
    • Lassen Sie dieses Feld leer, oder geben Sie „*“ ein, um alle in definierten Remote-Cluster zu durchsuchen Elasticsearch.
    • Geben Sie die Cluster an, die in einer kommagetrennten Liste gesucht werden sollen.
      Hinweis:
      Um auch den lokalen Cluster zu durchsuchen, fügen Sie ein Komma am Anfang oder Ende hinzu, oder fügen Sie der Liste zwei Kommas hintereinander hinzu. Beispiel: „East,,West“ oder „,East,West“ oder „*,“
    Minimale Berechtigungen verwenden Option zum direkten Lesen von Protokolldaten aus Elasticsearch Indizes mit dem konfigurierten Präfix.
    • Wenn diese Option ausgewählt ist, liest die Integration die Protokolldaten direkt aus Elasticsearch Indizes mit dem konfigurierten Präfix. Zum Ausführen dieser Aufgabe sind nur Leseberechtigungen erforderlich.
      Hinweis:
      Wenn dieses Kontrollkästchen aktiviert ist und Sie die clusterübergreifende Suche verwenden, werden Daten aus allen Clustern gleichzeitig erfasst.
    • Wenn diese Option deaktiviert ist, ruft die Integration alle Indizes mit dem Präfix ab, filtert sie und liest die Protokolldaten aus den gefilterten Indizes. Die Ausführung dieser Aufgabe erfordert zusätzliche Berechtigungen.
      Hinweis:
      Wenn Sie dieses Kontrollkästchen deaktivieren, wirkt sich die Verwendung der clusterübergreifenden Suche darauf aus, wie Daten aus den Clustern erfasst werden. Weitere Informationen finden Sie unter Aktivieren und Verwenden der clusterübergreifenden Suche für Elasticsearch-Dateneingaben in Health Log Analytics [KB1556079] artikel in Now Support Knowledge Base.

    Für zusätzliche Informationen zum Streaming von Protokollen mit Elasticsearch Integration, siehe Protokolle mithilfe der Elasticsearch-Dateneingabe streamen – Erweiterter Leitfaden [KB1080162] artikel in Now Support Knowledge Base.
    Max. Anzahl von Dokumenten pro Abfrage Maximale Anzahl von Dokumenten, die in einer einzelnen Abfrage abgerufen werden
    Tie-Breaker mit Bildlauf in Scheiben Wert, der zum Teilen der Daten verwendet wird. Jeder Teil wird parallel gescrollt. Standard: _id
    Tiebreaker für nicht zunächst auf Suche beschränkt Eindeutiger Wert pro Dokument, der beim Sortieren von Protokolleinträgen nach Zeitstempel als Tiebreaker verwendet werden soll.
    Search-after-API verwenden Option für das Wechseln zwischen Sliced-Scrolling- und Search-after-APIs.
    Hinweis:
    Sliced-Scrolling-APIs sind beim Lesen historischer Daten vorzuziehen, während Search-after-APIs besser zum Lesen von Echtzeitdaten geeignet sind.
    Zeitsuffixformat für Index Format des Zeitsuffix bei Verwendung von zeitbasierten Indexnamen, z. B. [logstash-]JJJJ.MM.TT.

    Wenn Sie Aliasse verwenden, lassen Sie dieses Feld leer.

    Beispiel: Uuu.mm.tt
    Datenlese-Zeitüberschreitung (Millisekunden) Dauer in Millisekunden, bevor eine Anforderung an den Elasticsearch-Cluster abläuft
    Intervall für Index-Discovery (Sekunden) Die Anzahl der Sekunden zwischen intermittierenden MID-Server-Anforderungen an den Elasticsearch Cluster für neue Indizes, aus denen Daten gelesen werden sollen.
    Scroll-Kontextzeit (Millisekunden) Lebensdauer des erstellten Scroll, wenn die Scroll-API zum Lesen von Daten aus Elasticsearch verwendet wird. Weitere Informationen finden Sie in der Elasticsearch Dokumentation zur Scroll API.
    Event Processor Worker Maximale Anzahl von CPU-Kernen, die parallel zur Verarbeitung von aus Elasticsearch abgerufenen Events verwendet werden. Eine höhere Einstellung erhöht den Dateneingabedurchsatz auf Kosten einer höheren CPU-Auslastung.
    Größe der Worker-Warteschlange Maximale Anzahl von Stapeln, die zur Verarbeitung in die Warteschlange gestellt werden. Eine höhere Einstellung erhöht den Durchsatz auf Kosten einer höheren RAM-Auslastung.
    Standardzeitzone Die Zeitzone der Ereignisse, die das System verwendet, wenn in einem Protokoll die Zeitzone nicht angegeben ist.

    Standardmäßig verwendet das System in solchen Fällen GMT, Sie können jedoch eine andere Zeitzone angeben.
    Anteil der zu verwerfenden Unterstichproben Anzahl der Events, die als Stapel ausgeführt werden sollen und von denen eines verworfen wird. Diese Einstellung wird verwendet, um die Anzahl der abgerufenen Events zu reduzieren.
    Anteil der zu empfangenden Unterstichproben Anzahl der Events, die als Stapel ausgeführt werden sollen und von denen alle bis auf eines verworfen werden. Diese Einstellung wird verwendet, um die Anzahl der empfangenen Events zu reduzieren.
    Zeichencodierung Zeichencodierung für diese Dateneingabe
    Ruheintervall (Sekunden) Intervall der Wartzeit in Sekunden, bevor eine weitere Abfrage ausgeführt wird, nachdem eine Abfrage keine Daten zurückgegeben hat
    Maximale Länge in Bytes Maximale Länge von Protokollnachrichten in Byte
    Verzögerung beim Lesen des aktuellen Zeitstempels (Sekunden) Die Anzahl der Sekunden vor der aktuellen Abfragezeit, um verzögerte Daten einzubeziehen.die konfigurierte Anzahl von Sekunden wird vom aktuellen Zeitpunkt für das Lesen des letzten Zeitstempels subtrahiert.
    Hinweis:
    Wenn dieser Wert 0 ist und Daten aus mehreren Clustern gleichzeitig erfasst werden, enthält die Abfrage möglicherweise keine Daten, die mit einer Verzögerung an einem der Cluster gesendet wurden.
    Abfrageintervall Wie häufig das System nach neuen Protokolldaten abfragt.