本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# ServiceNow CMDB 稽核日誌的來源組態
<a name="servicenow-cmdb-source-setup"></a>

## 與 ServiceNow CMDB 整合
<a name="servicenow-cmdb-integration"></a>

ServiceNow 是一個企業平台，提供 IT 服務管理 (ITSM) 和組態管理資料庫 (CMDB) 功能，用於追蹤和管理跨組織的 IT 資產、組態和變更。CloudWatch Pipeline 使用 ServiceNow 資料表 API，從您的 ServiceNow 執行個體擷取 sys\_audit、syslog、sysevent 和 syslog\_transactions 的相關資訊。

## 使用 ServiceNow CMDB 驗證
<a name="servicenow-cmdb-authentication"></a>

若要讀取日誌，管道需要向 ServiceNow 執行個體進行身分驗證。ServiceNow Table API 支援 OAuth 2.0。
+ 確保您的 ServiceNow 執行個體上已啟用 REST API。
+ 在 ServiceNow 執行個體中啟用 OAuth 2.0 用戶端憑證授予類型
+ 建立 OAuth 應用程式登錄檔以進行外部用戶端身分驗證
+ 在 中 AWS Secrets Manager，建立秘密，並將應用程式 （用戶端） ID 存放在金鑰 下，`client_id`並將用戶端秘密存放在金鑰 下`client_secret`。
+ 設定 OAuth 應用程式使用者並指派必要的角色

## 設定 CloudWatch 管道
<a name="servicenow-cmdb-pipeline-config"></a>

設定管道從 ServiceNow 讀取稽核日誌時，請選擇 ServiceNow CMDB 作為資料來源。填寫必要資訊，例如 `instance_url` 和存放 `client_id` 和 `client_secret` 的秘密。建立管道後，資料將可在選取的 CloudWatch Logs 日誌群組中使用。

## 支援的開放式網路安全結構描述架構事件類別
<a name="servicenow-cmdb-ocsf-events"></a>

此整合支援 OCSF 結構描述版本 v1.5.0 和對應至實體管理 (3004)、API 活動 (6003) 和資料存放區活動 (6005) 的事件。這些事件來自特定資料表，並篩選為 CMDB 參考。

**實體管理**包含來自下列資料表的事件：
+ sys\_audit

**API 活動**包含來自下列資料表的事件：
+ sysevent
+ syslog

**資料存放區活動**包含來自下列資料表的事件：
+ syslog\_transactions