ServiceNow CMDB 稽核日誌的來源組態 - Amazon CloudWatch
與 ServiceNow CMDB 整合使用 ServiceNow CMDB 驗證設定 CloudWatch 管道支援的開放式網路安全結構描述架構事件類別

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

ServiceNow CMDB 稽核日誌的來源組態

與 ServiceNow CMDB 整合

ServiceNow 是一個企業平台,提供 IT 服務管理 (ITSM) 和組態管理資料庫 (CMDB) 功能,用於追蹤和管理跨組織的 IT 資產、組態和變更。CloudWatch Pipeline 使用 ServiceNow Table API 從您的 ServiceNow 執行個體擷取 sys_audit、syslog、sysevent 和 syslog_transactions 的相關資訊。

使用 ServiceNow CMDB 驗證

若要讀取日誌,管道需要向 ServiceNow 執行個體進行身分驗證。ServiceNow Table API 支援 OAuth 2.0。

  • 確保您的 ServiceNow 執行個體上已啟用 REST API。

  • 在 ServiceNow 執行個體中啟用 OAuth 2.0 用戶端登入資料授予類型

  • 建立 OAuth 應用程式登錄檔以進行外部用戶端身分驗證

  • 在 中 AWS Secrets Manager,建立秘密,並將應用程式 (用戶端) ID 存放在金鑰 下,client_id並將用戶端秘密存放在金鑰 下client_secret

  • 設定 OAuth 應用程式使用者並指派必要的角色

設定 CloudWatch 管道

設定管道從 ServiceNow 讀取稽核日誌時,請選擇 ServiceNow CMDB 作為資料來源。填寫必要資訊,例如 instance_url和存放 client_idclient_secret 的秘密。建立管道後,資料將可在選取的 CloudWatch Logs 日誌群組中使用。

支援的開放式網路安全結構描述架構事件類別

此整合支援 OCSF 結構描述版本 v1.5.0 和對應至實體管理 (3004)、API 活動 (6003) 和資料存放區活動 (6005) 的事件。這些事件來自特定資料表,並篩選為 CMDB 參考。

實體管理包含來自下列資料表的事件:

  • sys_audit

API 活動包含來自下列資料表的事件:

  • sysevent

  • syslog

資料存放區活動包含來自下列資料表的事件:

  • syslog_transactions