Informations de l’onglet Vue d’ensemble pour un groupe d’analyse de journaux

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • L’onglet Vue d’ensemble des alertes dans Analyse de l'intégrité des journaux vous aide à comprendre Groupes d’analyse de journaux.

    Sections de l’onglet Vue d’ensemble pour les groupes d’analyse de journaux

    Pour obtenir une description détaillée de Groupes d’analyse de journaux, reportez-vous à la section Typed’alertes Analyse de l'intégrité des journaux.

    Bannière de corrélations

    Au cours de l’analyse initiale, les alertes sont notées. Chaque corrélation des données du journal de l’alerte avec une autre alerte contribue au score. Plus le score est élevé, plus l’alerte est susceptible d’être incluse en tant qu’alerte d’analyse de journal dans une alerte d’analyse de journal.

    Les types de données suivants sont pris en compte pour déterminer si les alertes sont corrélées :

    • Heure : les événements se sont tous produits dans un intervalle de temps configuré.
    • Métadonnées : les alertes ont des valeurs correspondantes dans les ligne de journal métadonnées. Par exemple, toutes les alertes impliquent le même hôte.
    • Texte du message : le texte du message dans les données de journal est similaire ou identique entre les alertes.
    • Tendance : les alertes montrent une tendance similaire en termes de valeurs ou de taux. Par exemple, une valeur métrique particulière augmente dans toutes les alertes.
    Cliquez sur le lien En savoir plus sur la bannière Corrélations pour afficher la liste des corrélations associées aux alertes d’analyse de journal.
    Figure 1. Bannière de corrélations
    Cliquez sur Plus d’informations pour ouvrir la liste Corrélations.
    Figure 2. Corrélations
    Corrélations répertorie les corrélateurs de journaux et les alertes d’analyse de journaux par groupe.
    1. Liste de corrélations : la première corrélation de la liste est développée pour afficher les alertes d’analyse de journaux individuelles qui sont corrélées et celles Corrélateur de journaux que les alertes partagent. Le nombre entre parenthèses est le nombre d’alertes dans la corrélation.
    2. Corrélateur de journal individuel : identificateur d’un groupe d’alertes d’analyse de journaux corrélées. Les alertes sont regroupées en fonction des données ou métadonnées de ligne de journal communes aux alertes (par exemple, adresse IP, nom d’hôte ou nom d’utilisateur). Le nombre entre parenthèses indique le nombre d’alertes corrélées.
    3. Alertes d’analyse de journaux corrélées.
    Alertes de groupe

    Pour une alerte d’analyse de journal (Alert0010166 dans l’exemple), la section Alertes dans le groupe affiche les alertes d’analyse de journal regroupées sous l’alerte d’analyse de journal.

    Cliquez sur une alerte Log Analytics pour en afficher les détails. Pour afficher la liste complète des alertes d’analyse de journaux, cliquez sur Afficher plus ou sur l’onglet Alertes dans le groupe .

    Figure 3. Affichage des détails de l’alerte
    Cliquez sur une alerte Log Analytics pour en afficher les détails.
    Éléments de configuration
    Pour afficher des informations plus détaillées sur les CI associés aux alertes, cliquez sur l’onglet Éléments de configuration ou cliquez sur Afficher plus dans la section Éléments de configuration. Voir Phase opérateur 1 : analyser et confirmer une alerte.
    Services concernés
    Pour afficher des informations détaillées sur les services impactés par les alertes, cliquez sur l’onglet Services impactés . Voir Phase opérateur 1 : analyser et confirmer une alerte.