Ajustement de la structure du type de source

Gestion des opérations IT de Yokohama

Release

yokohama

ft:locale

fr-FR

ft:publication_title

Gestion des opérations IT de Yokohama

ft:clusterId

itom

bundleId

itom

workflow

Technology

Ajustement de la structure du type de source

Rversion finale: Yokohama

Mis à jour 30 janv. 2025

2 minutes de lecture

Analyse de l'intégrité des journaux vous permet de reclasser les propriétés classées automatiquement et de modifier les étiquettes automatiquement mappées. Ces ajustements aident le Analyse de l'intégrité des journaux machine learning à mieux comprendre vos priorités.

Ce qui HLA fonctionne automatiquement

HLA Sépare automatiquement l’en-tête de transport du message du journal interne et envoie uniquement le message du journal interne à la structure de type source. Le système extrait les propriétés des messages de journal entrants et mappe automatiquement les étiquettes aux champs de type source.

La classification détermine la façon dont le HLA moteur analyse et traite chaque champ. Les classifications disponibles sont : MESURE, JAUGE, ARC_ONLY, HISTOGRAMME, NON VALIDE.
Les étiquettes indiquent HLA le rôle qu’un champ joue dans la structure du journal. Les étiquettes disponibles sont : MESSAGE, HOST, TIMESTAMP, SEVERITY, EVENT-ID.

L’examen et, si nécessaire, la modification des étiquettes automatiquement mappées et des propriétés classées automatiquement dans la structure de type source vérifie que le moteur interprète correctement les HLA champs de journal.

Remarque :

Étant donné qu’une seule entrée de données peut contenir plusieurs types de sources, HLA les données de journal sont structurées par type de source plutôt que par entrée de données.

Exemple

L’exemple suivant montre comment modifier les valeurs des propriétés extraites dans la structure du type source avec JavaScript.

Examinez le journal suivant :

{
  "TenantId": "abc-01-02-03-04-05050708091011121314",
  "@timestamp": "2020-08-28T08:29:23.967Z",
  "Computer": "john Doe_computer",
  "EventType_s": "LogMessage",
  "Job_s": "johnDoe_cell",
  "IP_s": "1.00.00.00",
  "message": "This is the extracted message. This part of the message includes superfluous content and values",
  "MessageType_s": "OUT",
  "Timestamp_d": 1598603359017850000,
  "Type": "my_LogMessage_is",
  "_ResourceId": ""
}

L’exemple de code contient des paires « clé » : « valeur » : La clé est le nom de la propriété. La valeur est la valeur de la propriété.

La clé « message » de l’exemple a la valeur suivante : « Il s’agit du message extrait. Cette partie du message comprend un contenu et des valeurs superflus ».

Si vous voulez que vos journaux ne contiennent que la partie significative de ce message, vous devez ajouter du code JavaScript demandant au système d’extraire uniquement cette partie :

//Added JavaScript to extract only the first sentence in the message! if (output['message'] != null){ output['message'] = output['message'].slice(0, output['message'].indexOf("\.")); } (edited)

Vous pouvez utiliser la même logique pour reclassifier une valeur. Par exemple, si la clé « Computer » est insignifiante, vous pouvez définir sa valeur sur « Invalid ».

Pour plus d’informations sur la structure du type de source, consultez l’article Structure du type de source – Étiquettes et classifications [KB0863562] dans la Now Support base de connaissances.