# ServiceNow CMDB Audit Log 的来源配置
<a name="servicenow-cmdb-source-setup"></a>

## 与 ServiceNow CMDB 集成
<a name="servicenow-cmdb-integration"></a>

ServiceNow 是一个企业平台，可提供 IT 服务管理（ITSM）和配置管理数据库（CMDB）功能，用于跟踪和管理组织间的 IT 资产、配置和更改。CloudWatch Pipeline 使用 ServiceNow Table API 从 ServiceNow 实例中检索有关 sys\$1audit、syslog、sysevent 和 syslog\$1transactions 的信息。

## 使用 ServiceNow CMDB 进行身份验证
<a name="servicenow-cmdb-authentication"></a>

要读取日志，管道需要使用 ServiceNow 实例进行身份验证。ServiceNow Table API 支持 OAuth 2.0。
+ 确保在 ServiceNow 实例上启用了 REST API。
+ 在 ServiceNow 实例中启用 OAuth 2.0 客户端凭证授权类型
+ 为外部客户端身份验证创建 OAuth 应用程序注册表
+ 在 Amazon Secrets Manager 中创建密钥，将应用程序（客户端）ID 存储在 `client_id` 键下，将客户端密钥存储在 `client_secret` 键下。
+ 配置 OAuth 应用程序用户并分配所需角色

## 配置 CloudWatch 管道
<a name="servicenow-cmdb-pipeline-config"></a>

将管道配置为从 ServiceNow 读取审计日志时，请选择 ServiceNow CMDB 作为数据来源。填写必填信息，例如 `instance_url` 以及存储 `client_id` 和 `client_secret` 的密钥。创建管道后，数据将在选定的 CloudWatch Logs 日志组中可用。

## 支持的开放式网络安全架构框架事件类
<a name="servicenow-cmdb-ocsf-events"></a>

此集成支持 OCSF 架构版本 1.5.0 以及映射到“实体管理”（3004）、“API 活动”（6003）和“数据存储活动”（6005）的事件。这些事件来自特定表，经过筛选以供 CMDB 参考。

**实体管理**包含下表中的事件：
+ sys\$1audit

**API 活动**包含下表中的事件：
+ sysevent
+ syslog

**数据存储活动**包含下表中的事件：
+ syslog\$1transactions