Beziehungen in Protokolldaten mit Protokollkorrelatoren erkennen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Protokollkorrelatoren sind Schlüssel oder Werte in Protokolldaten, die Korrelationen zwischen Warnungen erkennen. Zum Beispiel könnte ein Protokollkorrelator erkennen, wenn die Schnittstellen-ID eines bestimmten Netzwerkgeräts gleichzeitig in mehreren Warnungen in verschiedenen Anwendungsservices auftritt.

    Typen von Protokollkorrelatoren

    Die meisten Protokollzeilen beinhalten einen Teil mit Metadaten und einen Nachrichtenteil. Einige Protokollzeilen enthalten jedoch nur Nachrichtentext mit in den Text eingebetteten Metadaten.

    Mit den beiden Arten von Protokollkorrelatoren, Freitextkorrelatoren und Protokolleigenschaftskorrelatoren, werden die verschiedenen Teile jedes Protokolls analysiert, damit Beziehungen zwischen Protokolldaten aus mehreren Protokollquellen identifiziert werden können.

    Tipp:
    Wenn zwei separate Warnungen denselben Begriff in ihren zugeordneten Events erwähnen, erwägen Sie, den Begriff als Protokollkorrelator anzugeben. Weitere Informationen finden Sie unter Protokollkorrelatoren hinzufügen, um Beziehungen in Protokollen zu identifizieren.
    Freitextkorrelatoren

    Freitextkorrelatoren analysieren den Text im Protokollnachrichtenteil von Protokollzeilen, die einer Anomalie zugeordnet sind. Das System verwendet Freitextkorrelatoren, um Korrelationen zwischen Warnungen zu identifizieren. Sie verwenden Freitextkorrelatoren, um einen Begriff hinzuzufügen, der voraussichtlich in Protokollnachrichten angezeigt wird. Eine gute Wahl ist ein Begriff, der nicht strukturiert ist und ansonsten nicht als Protokolleigenschaft extrahiert werden würde. Beispiel: „Richtlinien-ID“ oder „Thread-ID“.

    Normalerweise fügen Sie auch Freitextkorrelatoren für die Namen von Systemen, Anwendungen und Services hinzu, die für Ihre Umgebung eindeutig sind. Da ein solcher Wert von mehreren Quellen, Ebenen, Middleware oder Datenbanken referenziert werden kann, kann der Freitextkorrelator ein effektiver Detektor von miteinander in Beziehung stehenden Warnungen sein. Wenn der Service Ihrer Organisation beispielsweise „TeaTime“ heißt, können Sie „teatime“ als Freitextkorrelator hinzufügen. Der Korrelator identifiziert Warnungen, die im Zusammenhang miteinander stehen, da sie für Ressourcen generiert wurden, die den Service „TeaTime“ unterstützen, z. B. eine Datenbanksperre oder ein Verbindungsfehler zwischen Komponenten von „TeaTime“.

    Protokolleigenschaftskorrelatoren

    Protokolleigenschaftskorrelatoren analysieren den Metadatenteil von Protokollzeilen. Der Korrelator kann beispielsweise den Namen eines Anwendungsservice, die Schnittstellen-ID eines Netzwerkgeräts oder die Anforderungs-ID einer Komponente mit Webschnittstelle analysieren. Ein Protokolleigenschaftskorrelator könnte eine Korrelation kennzeichnen, wenn die Schnittstellen-ID eines Netzwerkgeräts in mehreren Warnungen in verschiedenen Protokollquellen gleichzeitig auftritt. Protokolleigenschaftskorrelatoren sind spezifisch für den geschäftlichen Kontext Ihrer Umgebung.

    Protokollquellen für einen Protokollkorrelator angeben

    Sie können den Satz von Protokollquellen angeben, deren Protokolldaten von einem Protokollkorrelator analysiert werden. Die Auswahlmöglichkeiten lauten wie folgt:
    • Nur neue Quellen: Das System wendet den Protokollkorrelator nur für Protokollzeilen aus allen Protokollquellen an, die erstellt wurden, nachdem dieser Protokollkorrelator aktiviert wurde.
    • Alle Quellen: Das System wendet den Protokollkorrelator für Protokollzeilen aus allen Protokollquellen an.
    • Angegebene Quelle: Für einen Protokollkorrelator analysiert das System nur Protokollzeilen aus der Protokollquelle, die Sie angeben.

    Anweisungen zum Festlegen des Satzes von Protokollquellen finden Sie unter Protokollkorrelatoren hinzufügen, um Beziehungen in Protokollen zu identifizieren.