Protokollkorrelatoren hinzufügen, um Beziehungen in Protokollen zu identifizieren

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Erkennen Sie zugehörige Warnungen in Protokolldaten, indem Sie Protokollkorrelatoren hinzufügen. Das Basissystem enthält mehrere Protokollkorrelatoren und Sie können benutzerdefinierte Protokollkorrelatoren definieren.

    Vorbereitungen

    Erforderliche Rolle: evt_mgmt_operator oder evt_mgmt_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Weitere Informationen zu den Typen und Funktionen von Protokollkorrelatoren finden Sie unter Beziehungen in Protokolldaten mit Protokollkorrelatoren erkennen. Weitere Informationen zu Protokollquellen finden Sie unter Protokollquellen überprüfen.

    Prozedur

    1. Verwenden Sie eine der folgenden Methoden, um einen Protokollkorrelator hinzuzufügen.
      OptionProzedur
      Fügen Sie einen Protokollkorrelator für einen bestimmten hinzu Protokollquelle
      1. Navigieren zu Health Log Analytics > Anomalie-Erkennung protokollieren > Protokollkorrelatoren. Die Liste vorhandener Protokollkorrelatoren wird geöffnet.
      2. Klicken Sie auf den Namen eines Protokollkorrelators. Die Namen werden in der Spalte Korrelationsindikator angezeigt.
      3. Klicken Sie auf Neu.
      Fügen Sie einen Protokollkorrelator hinzu, der entweder für alle Protokollquellen oder nur für die Protokollquellen gilt, die nach der Definition dieses Protokollkorrelators aktiv werden
      1. Navigieren zu Health Log Analytics > Dateneingabe > Protokollquellen.
      2. Klicken Sie auf den Namen der Protokollquelle.

        Die zugehörige Liste „Protokollkorrelatoren“ zeigt die Liste der vorhandenen Protokollkorrelatoren an, die Protokolldaten aus der ausgewählten Protokollquelle analysieren.

      3. Klicken Sie auf der Registerkarte Log correlators (Protokollkorrelatoren) auf Neu.
    2. Füllen Sie das Formular „Protokollkorrelator“ aus.
      Tabelle : 1. Formular „Protokollkorrelatoren“
      Feld Beschreibung
      Typ Typ von Protokollkorrelator. Es gibt folgende Optionen.
      • Freitextkorrelator: Vom Protokollkorrelator wird Text in der Protokollnachricht analysiert.
      • Protokollschlüsselkorrelator: Vom Protokollkorrelator werden Metadaten im Protokoll analysiert. Zum Beispiel der Name eines Anwendungsservice in Ihrer Infrastruktur. Protokolleigenschaftskorrelatoren sind spezifisch für den geschäftlichen Kontext Ihrer Umgebung.

      Weitere Informationen finden Sie unter Beziehungen in Protokolldaten mit Protokollkorrelatoren erkennen.
      Freitextbegriff oder Bezeichner Text, den der Protokollkorrelator beim Analysieren von Protokollzeilen isoliert.
      Die Bezeichnung für dieses Feld ist Freitextbegriff für Freitextkorrelatoren und Bezeichner für Protokolleigenschaftskorrelatoren.
      Hinweis:
      Der Wert dieses Felds kann der Text für beide Protokollkorrelator-Typen sein. Daher lautet die Bezeichnung für diese Spalte in der resultierenden Liste von Protokollkorrelatoren Korrelationsindikator.
      Aktiv Option zum Anwenden des Protokollkorrelator. Wenn Sie dieses Feld aktivieren, wendet das System den Protokollkorrelator auf den Protokollstream an.
      Analyseumfang Satz von Quellen, deren Protokolldaten von diesem Protokollkorrelator analysiert werden. Die Auswahlmöglichkeiten lauten wie folgt:
      • Alle Quellen: Der Protokollkorrelator wird auf Protokollzeilen aus allen Quellen im Datenstream angewendet.
      • Nur neue Quellen: Der Protokollkorrelator wird auf Protokollzeilen aus allen Quellen angewendet, die erstellt wurden, nachdem dieser Protokollkorrelator aktiviert wurde.
      • Angegebene Quelle: Der Protokollkorrelator wird nur auf Protokollzeilen aus der Quelle angewendet, die Sie in diesem Formular angeben.
      Ausgeschlossene Quellen Quellen, die aus Protokollkorrelator ausgeschlossen sind. Das System analysiert keine Protokollzeilen aus Quellen, die in diesem Feld aufgeführt sind.
      Hinweis:
      Dieses Feld gilt nur, wenn das Feld Analyseumfang auf Alle Quellen oder Nur neue Quellen gesetzt ist.

      Informationen zum Ausschließen einer Quelle aus einem Protokollkorrelator finden Sie unter Quellen aus einem Protokollkorrelator ausschließen.
      Quelle Quelle des Protokollkorrelator. Der Protokollkorrelator analysiert die Daten dieser Protokollquelle.

      Dieses Feld wird nur angezeigt, wenn Sie den Protokollkorrelator aus dem Formular „Protokollquellen“ hinzufügen. Dieses Feld wird automatisch auf die Protokollquelle festgelegt , an der Sie arbeiten.
    3. Aktivieren Sie Aktiv, und klicken Sie dann auf Absenden.