Identifizieren von Beziehungen in Protokolldaten mithilfe von Protokollkorrelatoren

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer
  • Protokollkorrelatoren sind Schlüssel oder Werte in Protokolldaten, die Korrelationen zwischen Warnungen erkennen, um festzustellen, ob eine Warnung Teil eines größeren Problems ist. Ein Protokollkorrelator kann beispielsweise erkennen, wenn die Schnittstellen-ID eines bestimmten Netzwerkgeräts gleichzeitig in mehreren Warnungen in verschiedenen Serviceinstanzen auftritt.

    Sie können zugehörige Warnungen in Ihren Protokolldaten mithilfe von Protokollkorrelatoren identifizieren. Das Basissystem enthält mehrere Protokollkorrelatoren, und Sie können anwenderdefinierte Korrelatoren für eine bestimmte Protokollquelle, alle Protokollquellen oder nur Protokollquellen definieren, die nach der Aktivierung des Korrelators erstellt wurden.

    Die meisten Protokollzeilen enthalten einen Metadatenabschnitt plus einen Nachrichtenteil. Einige Protokollzeilen enthalten jedoch nur Nachrichtentext mit Metadaten im Text. Die beiden Typen von Protokollkorrelatoren, Freitext-Korrelatoren und Protokolleigenschaftskorrelatoren, analysieren die verschiedenen Teile jedes Protokolls, um Beziehungen zwischen Protokolldaten aus mehreren Protokollquellen zu identifizieren.

    Freitextkorrelatoren

    Freitextkorrelatoren analysieren den Text im Protokollnachrichtsteil von Protokollzeilen, die einer Anomalie zugeordnet sind. Das System verwendet Freitextkorrelatoren, um Korrelationen zwischen Warnungen zu identifizieren. Sie verwenden Freitextkorrelatoren, um einen Begriff hinzuzufügen, der voraussichtlich in Protokollnachrichten angezeigt wird. Eine gute Wahl ist ein Begriff, der nicht strukturiert ist und andernfalls nicht als Protokolleigenschaft extrahiert würde. Beispiel: „Policy-ID“ oder „ Thread-ID“.

    Normalerweise fügen Sie auch Freitextkorrelatoren für die Namen von Systemen, Anwendungen und Services hinzu, die für Ihre Umgebung eindeutig sind. Da auf einen solchen Wert von mehreren Quellen, Ebenen, Middleware oder Datenbanken verwiesen werden kann, kann der Freitextkorrelator eine effektive Erkennung korrelierter Warnungen sein. Wenn der Service Ihrer Organisation beispielsweise „teatime“ heißt, können Sie „teatime“ als Freitextkorrelator hinzufügen. Der Korrelator identifiziert Warnungen, die sich darauf beziehen, da sie für Ressourcen generiert wurden, die den Teatime-Service unterstützen, z. B. eine Datenbanksperre oder ein Verbindungsfehler zwischen Teatime-Komponenten.

    Protokolleigenschaftskorrelatoren

    Protokolleigenschaftskorrelatoren analysieren den Metadatenanteil von Protokollzeilen. Der Korrelator kann beispielsweise den Namen einer Serviceinstanz, die Schnittstellen-ID eines Netzwerkgeräts oder die Anforderungs-ID einer webbasierten Komponente analysieren. Ein Protokolleigenschaftskorrelator kann eine Korrelation kennzeichnen, wenn die Schnittstellen-ID eines Netzwerkgeräts gleichzeitig in mehreren Warnungen in verschiedenen Protokollquellen auftritt. Protokolleigenschaftskorrelatoren sind spezifisch für den Geschäftskontext Ihrer Umgebung.

    Sie können den Satz von Protokollquellen angeben, deren Protokolldaten von einem Protokollkorrelator analysiert werden. Die Auswahlmöglichkeiten lauten wie folgt:
    • Nur neue Quellen : Das System wendet den Protokollkorrelator nur auf Protokollzeilen aus Protokollquellen an, die erstellt wurden, nachdem dieser Protokollkorrelator aktiviert wurde.
    • Alle Quellen : Das System wendet den Protokollkorrelator auf Protokollzeilen aus allen Protokollquellen an.
    • Angegebene Quelle : Für einen Protokollkorrelator analysiert das System nur Protokollzeilen aus der von Ihnen angegebenen Protokollquelle.