ログコリレーターを使用したログデータ内の関係の検出
ログコリレーター は、ログデータ内のアラート間の相関を検出するキーまたは値です。たとえば、 ログコリレーター は、特定のネットワークデバイスのインターフェイス ID が、さまざまなアプリケーションサービスにわたって複数の警告に同時に出現している状況を検出できます。
ログコリレーターのタイプ
ほとんどの ログ行 には、メタデータ部分とメッセージ部分があります。ただし、一部の ログ行 は、メッセージテキストのみで、メタデータはテキストに含まれています。
ログコリレーターには、フリーテキストコリレーターとログプロパティコリレーターの 2 種類があり、各ログの異なる部分を分析して、複数のログソースからのログデータ間の関係を識別します。
- フリーテキストコリレーター
フリーテキストコリレーター は、例外に関連付けられている ログ行 のログメッセージ部分のテキストを分析します。システムは、フリーテキストコリレーター を使用してアラート間の相関を特定します。フリーテキストコリレーター を使用して、ログメッセージ内に表示されそうな用語を追加します。構造化されていない、他の状況では ログプロパティ として抽出されないような用語を選択することをお勧めします。たとえば、「policy-id」や「thread-id」などです。
また通常は、現在の環境に特有のシステム、アプリケーション、およびサービスの名前にフリーテキストコリレーターも追加します。このような値は、複数のソース、レイヤー、ミドルウェア、またはデータベースによって参照される可能性があります。そのため、このような フリーテキストコリレーター で、相関アラートを効果的に検出できます。たとえば、組織のサービスが「TeaTime」と呼ばれている場合は、「teatime」を フリーテキストコリレーター として追加できます。このコリレーターは、TeaTime サービスをサポートするリソース向けに生成されているので、関連するアラート (データベースロックや、TeaTime コンポーネント間の接続エラーなど) を特定します。
- ログプロパティコリレーター
ログプロパティコリレーター は、ログ行 のメタデータ部分を分析します。たとえば、このコリレーターは、アプリケーションサービスの名前、ネットワークデバイスのインターフェイス ID、または Web 対応コンポーネントの要求 ID を分析できます。ログプロパティコリレーター は、ネットワークデバイスのインターフェイス ID が、さまざまな ログソース の複数の警告に同時に出現している場合、相関にフラグを設定できます。ログプロパティコリレーター は、現在の環境のビジネスコンテキストに固有のものです。
ログコリレーターのログソースの指定
- 新しいソースのみ (Only new sources):この ログコリレーター が有効化された後に作成された ログソース からの ログ行 にのみ ログコリレーター が適用されます。
- すべてのソース (All sources):すべての ログソース からの ログ行 に ログコリレーター が適用されます。
- 指定されたソース (Specified source):ログコリレーター では、このフォームで指定した ログソース からの ログ行 のみが分析されます。
ログソース のセットを指定する手順については、「ログコリレーターを追加してログ内の関係を特定」を参照してください。