Konfiguration der Auf Server protokollieren-Aktion in einer API-Aufgabe

Verwenden Sie die Auf Server protokollieren-Aktion, um Laufzeit- und benutzerdefinierte Protokolle zur zentralen Überwachung und Einhaltung von Compliance-Anforderungen an einen externen SIEM-Server weiterzuleiten. Sie können erforderliche Header, Protokollierungsstufen und Datenquellen-Tags zu benutzerdefinierten Protokollen hinzufügen.

In diesem Beispiel konfigurieren Sie eine Auf Server protokollieren-Aktion, um die Laufzeitprotokolle und die Variablen an einen Pipedream-HTTP-Endpunkt weiterzuleiten, wenn Sie Details eines ServiceNow Vorfall-Datensatzes abrufen.

Vorbereitungen

Die folgenden Bedingungen müssen erfüllt sein:
  • Berechtigungen zum Erstellen und Ausführen von API-Aufgaben.
  • Berechtigungen zum Konfigurieren des SIEM-Servers.
  • Aktive OAuth-Verbindungen zur ServiceNow-Instanz. Weitere Informationen zum Einrichten einer ServiceNow OAuth-Verbindung finden Sie unter Herstellung der OAuth-Verbindung.
  • Ein Pipedream-Konto mit einer Quelle namens Logging. Im Pipedream-Portal gehen Sie zu Quellen > HTTP/Webhook > Neue Anfragen, um eine Quelle zu erstellen. Wenn Sie eine Quelle erstellen, erstellt das Portal einen benutzerdefinierten HTTP-Endpunkt. Verwenden Sie diesen Endpunkt als SIEM-Server, um die Protokolle zu sammeln.

Prozedur

  1. Melden Sie sich bei Ihrem Control Room an.
  2. Führen Sie die folgenden Aktionen aus, um den Pipedream-HTTP-Endpunkt als SIEM-Server für die Protokollierung hinzuzufügen.
    1. Gehen Sie zu Administration > Einstellungen > SIEM-Integration konfigurieren.
    2. Wählen Sie in der Konfiguration der externen SIEM-Integration Aktiviert aus.
    3. Geben Sie den Pipedream-HTTP-Endpunkt in SIEM-Server-Endpunkt ein.
      Der Pipedream-HTTP-Endpunkt hat folgendes Format https://<unique_source_id>.m.pipedream.net. Das Pipedream-Portal generiert automatisch die unique_source_id, wenn Sie eine Quelle erstellen.
    4. Wählen Sie POST als HTTP-Anfragemethode in HTTP-Methode.
    5. Geben Sie message als Ereignisattribut für die JSON-Datei in Event attribute ein.
    6. Klicken Sie auf Änderungen speichern, um die Konfiguration zu speichern.
  3. Führen Sie die folgenden Schritte aus, um eine API-Aufgabe zu erstellen.
    1. Wechseln Sie zu Automatisierung > Erstellen > API-Aufgabe, um eine API-Aufgabe auf der Seite Automatisierung zu erstellen.
    2. Geben Sie servicenow-logging in das Namensfeld des Modals API-Aufgabe erstellen ein und klicken Sie dann auf Erstellen und bearbeiten.
      Die API-Aufgabe mit dem Namen logging erscheint auf der Editorseite.
  4. Führen Sie die folgenden Schritte aus, um die Aktion ServiceNow Authentifizierung hinzuzufügen und zu konfigurieren.
    1. Gehen Sie zu ServiceNow > Authentifizierung, um die Aktion hinzuzufügen.
    2. Wählen Sie Control Room-OAuth-Verbindung im Feld Authentifizierungstyp aus.
    3. Klicken Sie auf Auswählen, um die konfigurierte ServiceNow OAuth-Verbindung auszuwählen.
    4. Optional: Geben Sie einen benutzerdefinierten Namen in Sitzungsname ein.
      Standardmäßig ist Standard als Sitzungsname festgelegt.
  5. Führen Sie die folgenden Schritte aus, um die Aktion ServiceNow Datensatz abrufen hinzuzufügen und zu konfigurieren.
    1. Gehen Sie zu ServiceNow > Datensatz abrufen, um die Aktion hinzuzufügen.
    2. Geben Sie incident in Tabellenname ein.
    3. Geben Sie die sys_id des Vorfall-Datensatzes in Datensatz-sys_id ein.
    4. Wählen Sie Mehrere Variablen und fügen Sie die folgenden Variablen in Ausgabe einer Wörterbuchvariablen zuweisen hinzu.
      • incident_state: String-Variable mit dem Schlüssel state, um den Status des Datensatzes zu erfassen.
      • incident_short_description: String-Variable mit dem Schlüssel short_description, um die Kurzbeschreibung des Eintrags zu erfassen.
      • incident_sys_id: String-Variable mit dem Schlüssel sys_id, um die sys_id des Vorfalls zu erfassen.
  6. Führen Sie die folgenden Schritte aus, um die Aktion Auf Server protokollieren hinzuzufügen und zu konfigurieren.
    1. Gehen Sie zu Aktionen > Protokollierung und fügen Sie die Aktion Auf Server protokollieren zur Automatisierung hinzu.
    2. Geben Sie servicenow incident logs in das Feld Text zum Protokollieren ein, um den Protokollinhalt-Header festzulegen.
    3. Wählen Sie die Registerkarte Benutzerdefinierte Auswahl in der Einstellung Zu protokollierende Variablen (optional) aus.
    4. Aktivieren Sie die im vorherigen Schritt erstellten Variablen.
      Das Aktivieren der Kontrollkästchen überträgt die Zeichenfolgenvariablen und deren Werte an den Endpunkt.
    5. Geben Sie incident_record im Feld Datenquellen-Tag (optional) ein, um den eindeutigen Bezeichner für den Protokollinhalt auf dem Server festzulegen.
      Tagging ermöglicht eine einfache Filterung der Protokolle. Sie können auch eine Zeichenfolgenvariable verwenden, um den Protokollinhalt zu taggen.
    6. Wählen Sie Info (6), um die Protokollebene festzulegen.
  7. Wählen Sie Speichern, um die Automatisierung zu speichern.
Wenn Sie die Automatisierung über die Option API-Aufgabe ausführen > Jetzt ausführen im vertikalen Drei-Punkte-Menü auf der Repository-Seite starten, ruft die Automatisierung die Details des ServiceNow-Vorfalls-Datensatzes ab und leitet alle Laufzeit- und benutzerdefinierten Protokolle an den Pipedream-HTTP-Endpunkt weiter.

Nächste Maßnahme

Melden Sie sich beim Pipedream-Portal an und gehen Sie zu Quellen > Protokollierung > Ereignisse, um die Protokolle anzuzeigen. Der letzte Protokolleintrag enthält die benutzerdefinierten Protokolle, die durch die Aktion Auf Server protokollieren generiert werden. Das System leitet die benutzerdefinierten Protokolle im folgenden Format an den HTTP-Endpunkt weiter:
{
  "method": "POST",
  "path": "/",
  "query": {},
  "client_ip": "35.155.28.36",
  "url": "https://04038b46964107d148cfdd251d89c826.m.pipedream.net/",
  "headers": {
    "host": "04038b46964107d148cfdd251d89c826.m.pipedream.net",
    "content-length": "459",
    "accept-encoding": "gzip;q=1.0,deflate;q=0.6,identity;q=0.3",
    "accept": "*/*",
    "user-agent": "Ruby",
    "content-type": "application/x-ndjson"
  },
  "bodyRaw": "{\"logMessage\":{\"logContent\":\"servicenow incident logs\",\"variableValues\":{\"incident_state\":\"1\",\"incident_sys_id\":\"57af7aec73d423002728660c4cf6a71c\",\"incident_short_description\":\"API call issue\"}},\"executionId\":\"b2e45a6d-186b-4b96-a2a2-3509808909f9_88f3a7ff9e646cc7\",\"logLevel\":\"INFO\",\"sysLogSource\":\"incident_record\",\"botName\":\"servicenow-logging\",\"botId\":\"45\",\"logCreatedTime\":\"2025-10-24T18:13:41.267798Z\",\"_tenantId\":\"dc170ff6-42d0-4f3d-8e9f-1904278d77f8\"}\n",
  "body": {
    "logMessage": {
      "logContent": "servicenow incident logs",
      "variableValues": {
        "incident_state": "1",
        "incident_sys_id": "57af7aec73d423002728660c4cf6a71c",
        "incident_short_description": "API call issue"
      }
    },
    "executionId": "b2e45a6d-186b-4b96-a2a2-3509808909f9_88f3a7ff9e646cc7",
    "logLevel": "INFO",
    "sysLogSource": "incident_record",
    "botName": "servicenow-logging",
    "botId": "45",
    "logCreatedTime": "2025-10-24T18:13:41.267798Z",
    "_tenantId": "dc170ff6-42d0-4f3d-8e9f-1904278d77f8"
  }
}