Types de comportement anormal

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Un comportement anormal dans un CI ou un service peut indiquer un problème important. Par exemple, un pic de fréquence ou de nombre de messages d’un type particulier peut indiquer un problème.

    Présentation des anomalies

    Pour créer des modèles de comportement attendu, le système surveille le flux de journal pour apprendre les bases de référence des modèles, des mesures et des jauges sur différentes périodes. Les périodes peuvent être horaires, quotidiennes, hebdomadaires ou illimitées. Un comportement qui s’écarte des modèles appris est considéré comme un comportement anormal.

    Types de propriété de journal

    Schéma
    Un modèle est une valeur ou un taux qui se répète, que ce soit sous forme de texte, de temps ou de relations.
    Compteur
    Une propriété de mesure est une valeur numérique ou textuelle. Par exemple, un code d’état, un code de réponse, une action ou un schéma.
    Jauge
    Une propriété de jauge a une valeur numérique qui est signalée en continu. Les propriétés de jauge représentent les opérations qui consomment des ressources. Par exemple, l’utilisation du processeur, l’utilisation de la mémoire ou le délai de réponse.

    Comment les anomalies apparaissent dans l’Espace de travail pour l’exploitation des services

    La carte Anomalie illustre l’activité anormale qui a conduit à l’alerte.
    • La ligne bleue montre l’activité anormale récente.
    • Sur certains graphiques, la zone légèrement ombragée indique le comportement attendu (base de référence apprise).

      Une zone ombragée en pêche représente les valeurs de base de référence pour la même heure un jour plus tôt. Une zone ombragée en rose affiche les valeurs de la même période de la semaine précédente.

    • Cliquez sur l’icône d’informations pour voir comment l’anomalie a été identifiée : icône d’informations.
    Dans cet exemple, la zone ombrée en pêche affiche les mêmes données pour la même heure un jour plus tôt. Le pic de la valeur de la mesure (événements par minute) est clairement visible.
    Figure 1. Carte des anomalies
    La carte d’anomalie identifie et illustre les comportements anormaux.

    Types d’anomalies

    Tableau 1. Certains types d’anomalies
    Comportement Description
    Nouveau comportement Un schéma qui n’a jamais été vu. Le type d’alerte Nouveau comportement n’affiche pas de graphique.
    Signal mort/n’apparaissant plus Toutes les données de modèle ou de journal provenant d’une source se sont arrêtées. Il n’y a pas eu de signal depuis au moins cinq minutes.
    Signal actif/réapparaissant Un modèle ou des données de journal provenant d’une source « morte » réapparaissent. Pour une base de référence d’une heure, un schéma est « mort » s’il apparaît moins d’une fois par minute.
    Anomalie supérieure à la moyenne ou inférieure à la moyenne Activité qui s’écarte du comportement de base de référence attendu pour les mesures de modèle, de mesure ou de jauge, comme les mesures de mots clés ou les mesures de gravité.
    Augmentation ou diminution de la référence de base de référence Augmentation ou diminution de la valeur ou du volume d’une propriété diagraphique par rapport à la base de référence d’une heure ou d’une semaine.
    Corrélation des alertes de gravité et de mots clés Une augmentation du volume d’un niveau de gravité ou d’un mot clé.