Erkennung von Protokollanomalien

Es gibt viele Arten von anomalem (anomalem oder unerwartetem) Verhalten. In diesem Beispiel verfolgt das System die Baselinerate bestimmter Nachrichten (durchschnittliche Anzahl der Events pro Minute). Im Diagramm sind die Werte für den Vortag als hell pfirsichfarben-schattierter Bereich und die Werte für heute als blaue Linie dargestellt. Das Diagramm zeigt eine drastische Abweichung von den erwarteten Baselinewerten ungefähr um 10:10 Uhr. Dieses anomale Verhalten generiert eine Warnung.

Health Log Analytics Verwendet verschiedene Methoden, um Anomalien zu erkennen und Warnungen zu generieren.

Warnungsmetriken

Health Log Analytics überwacht mehrere Metriken im Protokollstream, um anomales Verhalten zu erkennen. Jede Metrik ist einer eindeutigen Quelle zugeordnet: Der Kombination aus Serviceinstanz und Komponente. Wenn das System ein anomales Muster für eine Metrik identifiziert, generiert es eine Warnung.

Als Operator können Sie Feedback zu den generierten Warnungen geben. Ihr Feedback „lehrt“ Health Log Analytics Dass eine bestimmte Warnung für Sie bedeutend oder irrelevant ist. Die Anwendung erhöht dann entweder die Priorität der Warnungsmetrik oder schaltet sie stumm, um Rauschen zu reduzieren.

Lexikalische Stichwörter

Health Log Analytics durchsucht Ihre Protokolle nach Wörtern, die auf wichtige Probleme hinweisen können. Lexikalische Stichwörter wie „Crash“ oder „Failed“ weisen auf eine Bedingung hin, die der Aufmerksamkeit bedarf.

Das System legt für jedes lexikalische Stichwort einen Schwellenwert fest, der auf den Werten basiert, die es als normales Vorkommensmuster und normale Häufigkeit dieses Stichworts in Ihren Protokollen betrachtet. Beim Scannen Ihrer Protokolle werden alle Vorkommen des Stichworts gefunden. Wenn die Anzahl den Schwellenwert überschreitet, wird eine Warnung generiert. Weitere Informationen finden Sie unter Zeigen Sie die lexikalischen Stichwörter an, die Warnungen in generieren Health Log Analytics.

Weitere Informationen über die Verwaltung globaler Stichwörter finden Sie unter Fügen Sie lexikalische Stichwörter in hinzu, bearbeiten oder löschen Sie sie Health Log Analytics. Informationen zum Erstellen oder Löschen von Stichwörtern für einen bestimmten Quelltyp finden Sie unter Konfigurieren Sie Quelltypfähigkeiten in Health Log Analytics.

Korrelationen

Protokollkorrelatoren sind Schlüssel oder Werte in Protokolldaten, die Korrelationen zwischen Warnungen erkennen. Beispielsweise könnte ein Protokollkorrelator erkennen, wenn die ID eines bestimmten Netzwerkgeräts gleichzeitig in mehreren Warnungen in verschiedenen Serviceinstanzen auftritt. Weitere Informationen finden Sie unter Identifizierung zugehöriger Warnungen in Protokolldaten mithilfe von Protokollkorrelatoren.

Erweiterte Warnungsfilterung

Fügen Sie erweiterte Protokollwarnungsfilter hinzu, um Warnungen nach von Ihnen angegebenen Bedingungen zu scannen. Die Filter reduzieren das Rauschen, indem Warnungen verworfen werden, die kein schwerwiegendes Problem anzeigen. Während der Entwicklung eines Filters können Sie den Filter jederzeit testen, aktualisieren, veröffentlichen oder aktivieren. Weitere Informationen finden Sie unter Erweiterte Protokollwarnungsfilter erstellen.

Benutzerdefinierte Warnungsregeln

Definieren Sie eine Log Analytics-Warnungsregel, wenn Protokolldaten angezeigt werden, die eine Warnung generieren sollen. Die Warnungsregel generiert eine Warnung für eine angegebene Metrik mit einem von Ihnen angegebenen Schwellenwert und legt die Eigenschaften der generierten Warnung fest. Weitere Informationen finden Sie unter Fügen Sie ein hinzu Log Analytics Warnungsregel in Health Log Analytics.