使用 记录到服务器 操作将运行时和自定义日志转发到外部 SIEM 服务器,以实现集中监控和合规管理。 您可以向自定义日志添加必要的标题、日志级别和数据源标签。

在此示例中,配置一个 记录到服务器 操作,当您检索 ServiceNow 事件记录的详细信息时,将运行时日志和变量转发到 Pipedream HTTP 端点。

先决条件

确保满足以下条件:
  • 创建和运行 API 任务 的权限。
  • 配置 SIEM 服务器的权限。
  • ServiceNow 实例的活动 OAuth 连接。 有关设置 ServiceNow OAuth 连接的更多信息,请参阅 创建 OAuth 连接
  • 一个包含名为 Logging 源的 Pipedream 账户。 在 Pipedream 门户中,转到 > HTTP/Webhook > 新请求以创建源。 创建源时,门户会创建一个自定义的 HTTP 端点。 使用此端点作为 SIEM 服务器来收集日志。

过程

  1. 登录到您的 Control Room
  2. 执行以下操作,将 Pipedream HTTP 端点添加为 SIEM 服务器,以进行日志记录。
    1. 前往管理 > 设置 > SIEM 集成配置
    2. 外部 SIEM 集成配置中选择启用
    3. SIEM 服务器端点中输入 Pipedream HTTP 端点。
      Pipedream HTTP 端点的格式如下:https://<unique_source_id>.m.pipedream.net。 创建源时,Pipedream 门户会自动生成 unique_source_id
    4. HTTP 方法 中选择 POST 作为 HTTP 请求方法。
    5. 事件属性中,输入消息作为 JSON 文件的事件属性。
    6. 单击保存更改以保存配置。
  3. 执行以下步骤以创建 API 任务
    1. 转到自动化 > 创建 > API 任务,以在自动化页面中创建 API 任务
    2. 创建 API 任务模态框的名称字段中输入 servicenow-logging,然后单击创建并编辑
      名称为 loggingAPI 任务 会显示在编辑器页面上。
  4. 执行以下步骤以添加并配置 ServiceNow 身份验证操作。
    1. 转到ServiceNow > 身份验证以添加该操作。
    2. 身份验证类型中选择 Control Room OAuth 连接
    3. 单击选择以选择已配置的 ServiceNow OAuth 连接。
    4. 可选: 会话名称中输入自定义名称。
      默认情况下,会话名称设置为默认
  5. 请按照以下步骤添加并配置 ServiceNow 获取记录操作。
    1. 转到ServiceNow > 获取记录以添加该操作。
    2. 表名称中输入事件
    3. Record sys_id 中输入事件记录的 sys_id
    4. 选择多个变量,并在将输出分配给字典变量中添加以下变量。
      • incident_state: 用于捕获记录状态的字符串变量,键为 state
      • incident_short_description: 用于捕获记录简要描述的字符串变量,键为 short_description
      • incident_sys_id: 用于捕获事件 sys_id 的字符串变量,键为 sys_id
  6. 执行以下步骤以添加并配置记录到服务器操作。
    1. 转到操作 > 日志记录,然后将记录到服务器操作添加到自动化中。
    2. 要记录的文本字段中输入 servicenow incident logs 以设置日志内容标题。
    3. 要记录的变量(可选)设置中选择自定义选择选项卡。
    4. 启用在上一步创建的变量。
      启用复选框会将字符串变量及其值转发到端点。
    5. 数据源标签(可选)字段中输入 incident_record,以设置服务器上日志内容的唯一标识符。
      标记允许轻松过滤日志。 您还可以使用字符串变量来标记日志内容。
    6. 选择信息 (6) 来设置日志级别。
  7. 选择保存以保存自动化。
当您在存储库页面的垂直省略号菜单中,使用运行 API 任务 > 立即运行选项运行自动化时,自动化会检索 ServiceNow 事件记录的详细信息,并将所有运行时和自定义日志转发到 Pipedream HTTP 端点。

后续步骤

登录到 Pipedream 门户,然后转到 > 日志记录 > 事件以查看日志。 最后的日志条目包含由记录到服务器操作生成的自定义日志。 系统将自定义日志以以下格式转发到 HTTP 端点:
{
  "method": "POST",
  "path": "/",
  "query": {},
  "client_ip": "35.155.28.36",
  "url": "https://04038b46964107d148cfdd251d89c826.m.pipedream.net/",
  "headers": {
    "host": "04038b46964107d148cfdd251d89c826.m.pipedream.net",
    "content-length": "459",
    "accept-encoding": "gzip;q=1.0,deflate;q=0.6,identity;q=0.3",
    "accept": "*/*",
    "user-agent": "Ruby",
    "content-type": "application/x-ndjson"
  },
  "bodyRaw": "{\"logMessage\":{\"logContent\":\"servicenow incident logs\",\"variableValues\":{\"incident_state\":\"1\",\"incident_sys_id\":\"57af7aec73d423002728660c4cf6a71c\",\"incident_short_description\":\"API call issue\"}},\"executionId\":\"b2e45a6d-186b-4b96-a2a2-3509808909f9_88f3a7ff9e646cc7\",\"logLevel\":\"INFO\",\"sysLogSource\":\"incident_record\",\"botName\":\"servicenow-logging\",\"botId\":\"45\",\"logCreatedTime\":\"2025-10-24T18:13:41.267798Z\",\"_tenantId\":\"dc170ff6-42d0-4f3d-8e9f-1904278d77f8\"}\n",
  "body": {
    "logMessage": {
      "logContent": "servicenow incident logs",
      "variableValues": {
        "incident_state": "1",
        "incident_sys_id": "57af7aec73d423002728660c4cf6a71c",
        "incident_short_description": "API call issue"
      }
    },
    "executionId": "b2e45a6d-186b-4b96-a2a2-3509808909f9_88f3a7ff9e646cc7",
    "logLevel": "INFO",
    "sysLogSource": "incident_record",
    "botName": "servicenow-logging",
    "botId": "45",
    "logCreatedTime": "2025-10-24T18:13:41.267798Z",
    "_tenantId": "dc170ff6-42d0-4f3d-8e9f-1904278d77f8"
  }
}