Mapeamento automático de linhas de log de entrada

Análise de logs de integridade o mapeamento automático atribui amostras de log e metadados a três marcadores: instância de serviço, componente e tipo de origem. A atribuição de instância de serviço é baseada na instância de serviço especificada na configuração de entrada de dados. Os marcadores restantes são atribuídos automaticamente.

Por exemplo, no exemplo de linha de log a seguir, Análise de logs de integridade usa o campo "origem" para encontrar o componente e o tipo de origem.

{"beat":{"version":"6.8","name":"abc3.prd.acme.com","hostname":"abc3.prd.acme.com"},"@timestamp":"2020-08-27T10:12:24.792Z","prospector":{"type":"log"},"message":"**** User null is requesting the following page http://www.acme.com PROPS:{"subcategory1":"home pages","httpStatus":"200","loginLevel":"Anonymous","userAgent":"Mozilla5.0", ("pageUrl":\"http://www.acme.com","host":"abc3.prd.acme.com","@version":"1","source":"/opt/oracle/weblogic/abc/online_store3/logs/online_store3.out","offset":3951550786} 

No exemplo, Análise de logs de integridade extrai a cadeia de caracteres "online_store". Se eles existirem na linha de log, ele analisa os seguintes campos: Origem, caminho, canal, namespace_name, nome, pod_name, source_name e aws_lambda_name. Quando os dados são enviados pelo Syslog, ele também analisa o marcador do syslog.

Interrompa a extração de dados desnecessários

Se uma cadeia de caracteres extraída não for descritiva o suficiente ou contiver texto ou informações redundantes, você poderá parar de extrair esses dados dispensáveis. Para obter mais informações, consulte Interrompa a extração de dados de log desnecessários em Análise de logs de integridade.

Garantindo a extração de dados específicos

Você pode ter certeza disso Análise de logs de integridade extrai termos desejados específicos. Para obter mais informações, consulte Extraia dados de log específicos em Análise de logs de integridade.

Mapeamento de fontes de entrada de dados

Você pode mudar os resultados do mapeamento automático manualmente definindo uma função JavaScript. Mapeamento de entrada de dados permite que você organize seus dados de log por instância de serviço e por zona de disponibilidade. Uma única instância de serviço pode incluir vários componentes e um componente pode receber logs de muitos tipos de origem diferentes. Um par de instância-componente de serviço, no entanto, é exclusivo. Os tipos de origem são baseados em uma estrutura e formato de log específicos. As instâncias de serviço e os componentes são definidos de forma mais ampla e, portanto, são usados principalmente para mapeamento lógico.

Ativando Modo de teste evita explodir Elasticsearch armazenamento com dados de amostra que são usados somente para aperfeiçoar o mapeamento de dados de log. Quando a entrada de dados está no modo de teste, Análise de logs de integridade não cria os tipos de origem, as origens ou quaisquer outros objetos que cria no fluxo padrão. Salva os dados transmitidos em temporários dedicados ElasticsearchÍndices que aparecem como componentes no Visualizador de logs. Quando você publica o script e sai do modo de teste, esses índices temporários são excluídos para minimizar o consumo de espaço de armazenamento.

Vincular dados de log

Vinculando dados de log a itens de configuração (ICs) no Configuration Management Database (CMDB) Permite que você pesquise endpoints no CMDB que correspondam a um log. Ao configurar uma entrada de dados, você vincula entradas de log a uma instância de serviço que está vinculada a um IC no CMDB. A vinculação de entradas de log, instâncias de serviço e ICs habilita HLA Mecanismo para correlacioná-los para uso na análise de causa raiz (RCA). Para mais informações, confira Configure um Rsyslog, Filebeat ou Winlogbeat entrada de dados em Análise de logs de integridade manualmente ou Configure um Elasticsearch entrada de dados em Análise de logs de integridade manualmente.