Identificar alertas relacionados em dados de log usando correlacionadores de log
Correlacionadores de log são chaves ou valores nos dados de log que detectam correlação entre alertas para ajudar a determinar se um alerta faz parte de um problema maior. Por exemplo, um correlacionador de log pode detectar quando o ID de interface de um dispositivo de rede específico ocorre simultaneamente em vários avisos em diferentes instâncias de serviço.
Você pode identificar alertas relacionados em seus dados de log usando correlacionadores de log. O sistema de base inclui vários correlacionadores de log, e você pode definir correlacionadores personalizados para uma origem de log específica, todas as origens de log ou somente origens de log criadas após a ativação do correlacionador.
A maioria das linhas de log inclui uma parte de metadados mais uma parte de mensagem. No entanto, algumas linhas de log incluem somente o texto da mensagem com metadados incluídos no texto. Os dois tipos de correlacionadores de log, correlacionadores de texto livre e correlacionadores de propriedade de log, analisam as diferentes partes de cada log para identificar relacionamentos entre dados de log de várias origens de log.
- Correlacionadores de texto livre
-
Correlacionadores de texto livre analisam o texto na parte da mensagem de log das linhas de log associadas a uma anomalia. O sistema usa correlacionadores de texto livre para identificar correlação entre alertas. Você usa correlacionadores de texto livre para adicionar um termo que você espera que apareça nas mensagens de log. Uma boa opção é um termo que não é estruturado e não seria extraído como uma propriedade de log. Por exemplo, "policy-id" ou "thread-id".
Normalmente, você também adiciona correlacionadores de texto livre para os nomes de sistemas, aplicações e serviços que são exclusivos do seu ambiente. Como esse valor pode ser referenciado por várias fontes, camadas, middleware ou bancos de dados, o correlacionador de texto livre pode ser um detector eficaz de alertas correlacionados. Por exemplo, se o serviço da sua organização for chamado teatime, você poderá adicionar "teatime" como um correlacionador de texto livre. O correlacionador identificaria alertas relacionados porque eles foram gerados para recursos compatíveis com o serviço teatime, como um bloqueio de banco de dados ou uma falha de conexão entre os componentes do teatime.
- Correlacionadores de propriedade de log
-
Os correlacionadores de propriedade de log analisam a parte de metadados das linhas de log. Por exemplo, o correlacionador pode analisar o nome de uma instância de serviço, o ID de interface de um dispositivo de rede ou o ID de solicitação de um componente voltado para a web. Um correlacionador de propriedade de log pode sinalizar uma correlação quando o ID de interface de um dispositivo de rede ocorre simultaneamente em vários avisos em diferentes origens de log. Os correlacionadores de propriedade de log são específicos para o contexto de negócios do seu ambiente.
- Novas fontes : O sistema aplica o correlacionador de log somente a linhas de log de origens de log que foram criadas depois que este correlacionador de log é ativado.
- Todas as origens : O sistema aplica o correlacionador de log a linhas de log de todas as origens de log.
- Origem especificada : Para um correlacionador de log, o sistema analisa somente as linhas de log da origem de log especificada.