Utilizar correlacionadores de registro para detectar relações nos dados de log

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Correlações do log são chaves ou valores em dados de log que detectam correlações entre alertas. Por exemplo, um correlacionador de log pode detectar quando o ID da interface de um dispositivo de rede específico ocorre simultaneamente em vários avisos em diferentes serviços de aplicações.

    Tipos de correlacionadores de log

    A maioria linhas de log inclui uma parte de metadados mais uma parte de mensagem. Alguns linhas de log, no entanto, incluem somente texto de mensagem com metadados incluídos no texto.

    Os dois tipos de correlacionadores de log, correlacionadores de texto livre e correlacionadores de propriedade de log, analisam as diferentes partes de cada log para identificar relacionamentos entre dados de log de várias origens de log.

    Dica:
    Se dois alertas separados mencionarem o mesmo termo em seus eventos atribuídos, considere especificar esse termo como um correlacionador de log. Para obter mais informações, consulte Adicionar um correlacionador de log para identificar relacionamentos em logs.
    Correlatos de texto livre

    Correlatos de texto livre analisa o texto na parte da mensagem de log de linhas de log que está associada a uma anomalia. O sistema usa correlacionadores de texto livre para identificar correlações entre alertas. Use correlacionadores de texto livre para adicionar um termo que você espera que apareça nas mensagens de log. Uma boa opção é um termo que não está estruturado e, de outra forma, não seria extraído como um propriedade de log. Por exemplo, "policy-id" ou "thread-id".

    Normalmente, você também adiciona correlacionadores de texto livre para os nomes de sistemas, aplicações e serviços que são exclusivos do seu ambiente. Como esse valor pode ser referenciado por várias origens, camadas, middleware ou bancos de dados, o correlacionador de texto livre pode ser um detector eficaz de alertas correlacionados. Por exemplo, se o serviço da sua organização se chamar HoraDoTea, você poderá adicionar "hora do chá" como um correlacionador de texto livre. O correlacionador identificaria alertas que estão relacionados porque foram gerados para recursos que oferecem suporte ao serviço do TeamTime, como um bloqueio de banco de dados ou uma falha de conexão entre componentes do TeamTime.

    Correlatos de propriedade de log

    Correlatos de propriedade de log analisa a parte de metadados de linhas de log. Por exemplo, o correlacionador pode analisar o nome de um serviço de aplicações, o ID de interface de um dispositivo de rede ou o ID de solicitação de um componente voltado para a Web. Um correlacionador de propriedade de log pode sinalizar uma correlação quando o ID de interface de um dispositivo de rede ocorre simultaneamente em vários avisos em origens de logdiferentes. Correlatos de propriedade de log são específicos ao contexto de negócios do seu ambiente.

    Especificação das origens de log para um correlacionador de log

    Você pode especificar o conjunto de origens de log cujos dados de log são analisados por um correlacionador de log. Estas são as opções:
    • Somente novas origens: o sistema aplica o correlacionador de log somente a linhas de log de origens de log que foram criados depois que este correlacionador de log é ativado.
    • Todas as origens: o sistema aplica o correlacionador de log a linhas de log de todos os origens de log.
    • Origem especificada: para um correlacionador de log, o sistema analisa somente linhas de log do origem do log que você especificar.

    Para obter instruções para especificar o conjunto de origens de log, consulte Adicionar um correlacionador de log para identificar relacionamentos em logs.