Adicionar um correlacionador de log para identificar relacionamentos em logs

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • Correlações do log são chaves ou valores em dados de log que detectam correlações entre alertas. Por exemplo, um correlacionador de log pode detectar quando o ID da interface de um dispositivo de rede específico ocorre simultaneamente em vários avisos em diferentes serviços de aplicações.

    Antes de Iniciar

    Função necessária: evt_mgmt_operator ou evt_mgmt_admin

    Por Que e Quando Desempenhar Esta Tarefa

    Para saber mais sobre os tipos e funções de correlacionadores de log, consulte Utilizar correlacionadores de registro para detectar relações nos dados de log. Para obter mais informações, origens de log consulteVerificar suas origens de log.

    Procedimento

    1. Use um dos seguintes métodos para adicionar um correlacionador de log.
      OpçãoProcedimento
      Adicionar um correlacionador de log para um específico origem do log
      1. Navegar até Análise de logs de integridade > Detecção de anomalia do log > Correlações dos logs. A lista de correlacionadores de log existente é aberta.
      2. Clique no nome de um correlacionador de log. Os nomes aparecem na coluna Indicador de correlação.
      3. Clique em Nova.
      Adicione um correlacionador de log que se aplique a todos origens de log ou somente aos origens de log que se tornam ativos depois que você define este correlacionador de log
      1. Navegar até Análise de logs de integridade > Entrada de dados > Origens de Log.
      2. Clique no nome do origem do log.

        A lista relacionada Correlacionadores de log exibe a lista de correlacionadores de log existentes que analisam os dados de log do origem do logselecionado.

      3. Na guia Correlacionadores de log, clique em Novo.
    2. Preencha o formulário Correlacionador de logs.
      Tabela 1. Formulário de correlacionadores de log
      Campo Descrição
      Tipo Tipo de correlacionador de log. Estas são as opções.
      • Correlação de texto livre: o correlacionador de log analisa o texto na mensagem de log.
      • Correlacionador de log-key: o correlacionador de log analisa metadados de log. Por exemplo, o nome de um serviço de aplicativos em sua infraestrutura. Correlatos de propriedade de log são específicos ao contexto de negócios do seu ambiente.

      Para obter mais informações, consulte Utilizar correlacionadores de registro para detectar relações nos dados de log.
      Termo ou identificador de texto livre Texto que correlacionador de log isola ao analisar linhas de log.
      O rótulo deste campo é Termo de texto livre para correlacionadores de texto livre e Identificador para correlacionadores de propriedade de log.
      Nota:
      O valor deste campo pode ser o texto para qualquer tipo de correlacionador de log. Como resultado, o rótulo desta coluna na lista resultante de correlacionadores de log é Indicador de correlação.
      Ativo Opção para aplicar o correlacionador de log. Quando você seleciona este campo, o sistema aplica o correlacionador de log ao fluxo de logs.
      Intervalo das análises Conjunto de origens cujos dados de log são analisados por este correlacionador de log. Estas são as opções:
      • Todas as origens: o correlacionador de log é aplicado às linhas de log de todas as origens no fluxo de dados.
      • Somente novas origens: o correlacionador de log é aplicado às linhas de log de todas as origens criadas depois que este correlacionador de log é ativado.
      • Origem especificada: o correlacionador de log é aplicado somente às linhas de log da origem que você especifica neste formulário.
      Origens excluídas Origens excluídas de correlacionador de log. O sistema não analisa as linhas de log das origens listadas neste campo.
      Nota:
      Este campo se aplica somente quando o campo Intervalo de análise está definido Todas as origens ou Somente novas origens.
      Para excluir uma origem de um correlacionador de log:
      1. Navegar até Análise de logs de integridade > Entrada de dados > Origens de Log).
      2. Abra a origem de interesse no formulário Origens de log.
      3. Na guia Correlacionadores de log, selecione a opção para correlacionador de log.
      4. Na lista Ações nos itens selecionados, selecione Excluir desta origem.
      Fonte Origem do correlacionador de log. O correlacionador de log analisa os dados deste origem do log.

      Este campo aparece somente quando você está adicionando o correlacionador de log do formulário Origens de log. Este campo é definido automaticamente como o origem do log em que você está trabalhando.
    3. Selecione Ativo e clique em Enviar.