Elasticsearch 統合構成フィールド

チューリッヒ IT Operations Management (ITOM)

Release

zurich

ft:locale

ja-JP

ft:publication_title

チューリッヒ IT Operations Management (ITOM)

ft:clusterId

itom

bundleId

itom

workflow

Technology

Elasticsearch 統合構成フィールド

リリースバージョン: Zurich

更新日 2025年07月31日

所要時間：10分

ヘルスログアナリティクスの Elasticsearch 統合構成フォームのフィールドの説明。

表 : 1. 詳細を入力
フィールド	説明
統合名	この統合の一意の名前。例:My Elasticsearch 統合。このフィールドは必須です。注: このフィールドに入力すると、フォームに表示される一般名が、入力した名前と一致するよう自動的に調整されます。
実行	特定の MID サーバーまたは特定の MID サーバークラスターを使用するかどうかを決定するオプション。
MID サーバー名	( [実行日] が [特定の MID サーバー] に設定されている場合のみ) Elasticsearch インデックスに基づくログデータのプル先の MID サーバー。このフィールドは必須です。
MID サーバークラスター	( [実行日] がに設定されている場合のみ特定の MID サーバークラスター) ログデータのプル先の MID サーバークラスター。このフィールドは必須です。クラスターを選択すると、選択したクラスター内の MID サーバーとそのステータスが表示されます。統合はクラスター内の単一の MID サーバーで実行され、その MID サーバーが失敗するまで継続します。次に、構成された順序に従って、クラスター内の次に利用可能な MID サーバーにすべての統合タスクが移動されます。注: ヘルスログアナリティクスはフェイルオーバー MID サーバークラスターのみをサポートします。これらのクラスターでは、複数の MID サーバーがフェイルオーバー保護のためにグループ化されます。統合フォームからクラスターを選択すると、[ MID サーバークラスター] リストにフェイルオーバークラスターのみが表示されます。 MID サーバークラスターには、ベーシック認証をサポートする MID サーバーのみを含める必要があります。mTLS はログの取り込みではサポートされていません。クラスター内の MID サーバーごとにログの取り込みを有効にする必要があります。アクティブな MID サーバーに対してログの取り込みが有効になっていない場合は、ヘルスログアナリティクスによって自動的に有効になります。 Elasticsearch でクライアント証明書または CA 証明書の認証を使用する場合は、クラスター内のすべての MID サーバーに適切な証明書が必要です。単一の MID サーバーにログをストリーミングする統合のデフォルトの最大数は 10 です。クラスターに少なくとも 1 つの MID サーバーが含まれていて、そこで実行されている統合が 10 未満の場合は、その MID サーバーが停止していても、そのクラスターはキャパシティの検証に合格します。
サービスインスタンス	ログデータのバインド先のサービスインスタンス。このフィールドは必須です。注: 関連するサービスインスタンスが存在しない場合、作成：サービスインスタンス CI を追加します。新しいサービスインスタンスのステータスを [運用] に設定します。
データソース	統合によって ServiceNow インスタンスにプルされるログデータのソース:Elastic このフィールドは読み取り専用です。
説明	統合の識別に役立つ簡単な説明を追加するオプション。

表 : 2. データ検索手法
フィールド	説明
サーバー URL	クラスターへのアクセスに使用される URL。このフィールドは必須です。
認証手法	Elasticsearch に対する統合を認証するために使用される認証方法。デフォルトは [なし] です。認証方法を選択すると、対応する認証情報フィールドがフォームに表示されます。注: アドミニストレーターは、次の場所に移動して認証方法を作成できますすべて > ヘルスログアナリティクス > 認証手法 [ 新規] を選択します。
インデックスプリフィックス	データを読み込む Elasticsearch インデックスの名前の先頭にプリフィックスが追加されます。統合では、構成されたプリフィックスに一致するインデックスからのみデータを読み取ります。例:network-logs-* は、network-logs-2024.01.01 などのインデックスと一致します。このフィールドは必須です。この設定により、 HLA は関連するインデックスからのみデータを取り込むようになります。例:only-read-these-indices-*
ドキュメントタイムスタンプフィールド	読み取られたインデックスに格納されている、ドキュメントのタイムスタンプフィールド。このフィールドは必須です。
タイムスタンプフィールド形式 (Timestamp field format)	ドキュメントのタイムスタンプフィールドの形式。形式が指定されていない場合は、デフォルトの Unix エポック時間形式 (ミリ秒) が使用されます。例：1684168407 (2023 年 5 月 15 日 16:33:27)
用語フィルター (Term filters)	フィルターする用語の JSON マップ。注: テキストフィールドに対しては用語クエリを使用しないでください。ターゲットフィールドがテキストとキーワードの両方としてマッピングされている場合は、fieldname.keyword を使用してキーワードを参照します。例：{"severity": ["error","warning"]}

表 : 3. 詳細設定
フィールド	説明
ルートあたりの最大接続数 (Max connections per route)	ノードごとに開かれる接続の最大数。
最大スクロールスライス数	Elasticsearch の関連インデックスに構成されたシャードの数。この数は、各ポーリング要求で実行する並列クエリの数を Elastic に伝えます。
プロキシホスト	要求の送信が経由する HTTP プロキシのホスト名。
プロキシポート	要求の送信が経由する HTTP プロキシのポート。
MID 証明書ポリシーチェックを使用	MID 証明書ポリシーチェックを有効にするオプション。 SSL TLS を使用して暗号化したログを送信する場合は、このオプションを選択します。次に、すべて > MID サーバー > MID セキュリティポリシーをクリックし、MID 証明書ポリシーチェックをテーブルに追加します。詳細については、「MID サーバー証明書チェックポリシー」を参照してください。
クラスター間検索の使用	Elasticsearch クラスター間でデータを検索するためのオプション。このチェックボックスをオンにすると、[検索するクラスター (Clusters to search)] フィールドが表示されます。注: [詳細構成] フォームの [最小限の権限を使用 (Use minimal privileges)] チェックボックスと [現在のタイムスタンプの読み取り遅延 (秒) (Delay in reading current timestamp (seconds))] フィールドの設定は、複数のクラスターにわたるデータの収集方法に影響します。
検索するクラスター	検索する Elasticsearch クラスター。このフィールドは、[ クラスター間検索を使用] チェックボックスがオンになっている場合にのみ表示されます。次のいずれかの操作を行います。このフィールドを空のままにするか、「」を入力して、Elasticsearch で定義されているすべてのリモートクラスターを検索します。検索するクラスターをカンマ区切りのリストで指定します。注: ローカルクラスターも検索するには、先頭または末尾にコンマを追加するか、リストに 2 つのコンマを連続して追加します。例：「east,,west」または「,east,west」または「」
最小限の権限を使用	構成されたプリフィックスを持つ Elasticsearch インデックスからログデータを直接読み取るためのオプション。選択すると、統合は、構成されたプリフィックスを持つ Elasticsearch インデックスからログデータを直接読み取ります。このタスクを実行するには、読み取り権限のみが必要です。注: このチェックボックスをオンにしてクラスター間検索を使用すると、データはすべてのクラスターから同時に収集されます。クリアすると、統合はプリフィックスを持つすべてのインデックスを取得してフィルタリングし、フィルタリングされたインデックスからログデータを読み取ります。このタスクを実行するには、追加の権限が必要です。注: クラスター間検索を使用するときにこのチェックボックスをオフにしておくと、クラスターからのデータの収集方法に影響します。詳細については、Now Support ナレッジベース記事「Enabling and Using Cross-Cluster Search for Elasticsearch Data Inputs in Health Log Analytics (ヘルスログアナリティクスで Elasticsearch データ入力にクラスター間検索を有効化して使用する方法) [KB1556079]」を参照してください。 Elasticsearch 統合を使用したログのストリーミングの詳細については、Now Supportナレッジベースの記事「Elasticsearch データ入力を使用したログのストリーミング - 詳細ガイド」[KB1080162] を参照してください。
クエリあたりの最大ドキュメント数	1 回のクエリでフェッチされる最大ドキュメント数。
スライススクロールタイブレーカー (Sliced-scrolling tie breaker)	データをスライスするために使用される値。各スライスは並列にスクロールされます。デフォルト：_id
サーチアフタータイブレーカー	タイムスタンプでログエントリをソートするときにタイブレーカーとして使用する、ドキュメントごとの一意の値。
サーチアフター API の使用	スライススクロール API とサーチアフター API の切り替えのためのオプション。注: 履歴データの読み取りにはスライススクロール API が適していますが、リアルタイムデータの読み取りにはサーチアフター API が適しています。
インデックス時間サフィックス形式	時間ベースのインデックス名を使用する場合の時間サフィックスの形式 ([logstash-]YYYY.MM.DD など)。エイリアスを使用する場合は、このフィールドを空のままにします。例:uuuu。MM.dd
データ読み取りタイムアウト (ミリ秒)	Elasticsearch クラスターへの要求がタイムアウトするまでの時間 (ミリ秒)。
インデックス検出間隔 (秒) (Index discovery interval (seconds))	断続的な MID サーバーがデータを読み取るための新しいインデックスを Elasticsearch クラスターに要求する間隔の秒数。
スクロールコンテキスト時間 (ミリ秒)	スクロール API を使用して Elasticsearch からデータを読み取る際に作成されるスクロールの有効期間。詳細については、Elasticsearch スクロール API のドキュメントを参照してください。
イベントプロセッサーワーカー (Event processor workers)	Elasticsearch からフェッチされたイベントを処理するために、同時に使用される CPU コアの最大数。この設定を大きくすると、CPU 使用率が高くなりますが、データ入力スループットは向上します。
ワーカーキューサイズ (Worker queue size)	処理用にキューに投入されるバッチの最大数。この設定を大きくすると、RAM 使用率が高くなりますが、スループットは向上します。
デフォルトのタイムゾーン (Default time zone)	ログにタイムゾーンが指定されていない場合に使用されるイベントのタイムゾーン。このような場合、デフォルトでは GMT が使用されますが、別のタイムゾーンを指定することもできます。
サブサンプルドロップ率 (Sub sample drop ratio)	このイベント数に達すると、イベントが 1 つ破棄されます。この設定は、フェッチするイベントの数を減らすために使用されます。
サブサンプル受信率 (Sub sample receive ratio)	このイベント数に達すると、1 つを除いてすべてのイベントが破棄されます。この設定は、受信するイベントの数を減らすために使用されます。
文字エンコード	このデータ入力の文字エンコーディング。
スリープ間隔 (秒) (Sleep interval (seconds))	クエリでデータが返されなかった場合に、クエリを再実行するまで待機する間隔 (秒)。
最大長 (バイト) (Max length in bytes)	ログメッセージの最大長 (バイト)。
現在のタイムスタンプの読み取り遅延 (秒)	遅延データを含めるためにクエリを実行する現在時刻までの秒数。設定された秒数が現在の時刻から差し引かれ、最後のタイムスタンプが読み取られます。注: この値が 0 で、データが複数のクラスターから同時に収集される場合、いずれかのクラスターで遅延して送信されたデータはクエリに含まれない可能性があります。
ポーリング間隔	システムが新しいログデータをポーリングする頻度。