# ServiceNow CMDB 監査ログのソース設定
<a name="servicenow-cmdb-source-setup"></a>

## ServiceNow CMDB との統合
<a name="servicenow-cmdb-integration"></a>

ServiceNow は、組織全体の IT アセット、設定、および変更を追跡および管理するための IT サービス管理 (ITSM) および設定管理データベース (CMDB) 機能を提供するエンタープライズプラットフォームです。CloudWatch パイプラインは ServiceNow Table API を使用して、ServiceNow インスタンスから sys\_audit、syslog、sysevent、および syslog\_transactions に関する情報を取得します。

## ServiceNow CMDB による認証
<a name="servicenow-cmdb-authentication"></a>

ログを読み込むには、パイプラインが ServiceNow インスタンスで認証される必要があります。ServiceNow Table API は OAuth 2.0 をサポートしています。
+ ServiceNow インスタンスで REST API が有効になっていることを確認します。
+ ServiceNow インスタンスで OAuth 2.0 Client Credentials 付与タイプを有効にします。
+ 外部クライアント認証用の OAuth アプリケーションレジストリを作成します。
+ AWS Secrets Manager でシークレットを作成し、アプリケーション (クライアント) ID をキー `client_id` の下に、クライアントシークレットをキー `client_secret` の下に保存します。
+ OAuth アプリケーションユーザーを設定し、必要なロールを割り当てます。

## CloudWatch パイプラインの設定
<a name="servicenow-cmdb-pipeline-config"></a>

ServiceNow から監査ログを読み込むようにパイプラインを設定するときは、データソースとして ServiceNow CMDB を選択します。`instance_url` や、`client_id` と `client_secret` が保存されているシークレットなどの必要な情報を入力します。パイプラインを作成すると、選択した CloudWatch Logs ロググループでデータを使用できます。

## サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス
<a name="servicenow-cmdb-ocsf-events"></a>

この統合では、OCSF スキーマバージョン v1.5.0 と、エンティティ管理 (3004)、API アクティビティ(6003)、およびデータストアアクティビティ (6005) にマッピングするイベントがサポートされています。これらのイベントは特定のテーブルから取得され、CMDB 参照用にフィルタリングされます。

**エンティティ管理**には、次のテーブルからのイベントが含まれます。
+ sys\_audit

**API アクティビティ**には、次のテーブルからのイベントが含まれます。
+ sysevent
+ syslog

**データストアアクティビティ**には、次のテーブルからのイベントが含まれます。
+ syslog\_transactions