Sie können zugehörige Warnungen in Ihren Protokolldaten mithilfe von Protokollkorrelatoren identifizieren. Das Basissystem enthält mehrere Protokollkorrelatoren, und Sie können anwenderdefinierte Korrelatoren für eine bestimmte Protokollquelle, alle Protokollquellen oder nur Protokollquellen definieren, die nach der Aktivierung des Korrelators erstellt wurden.

Die meisten Protokollzeilen enthalten einen Metadatenabschnitt plus einen Nachrichtenteil. Einige Protokollzeilen enthalten jedoch nur Nachrichtentext mit Metadaten im Text. Mit den beiden Arten von Protokollkorrelatoren, Freitextkorrelatoren und Protokolleigenschaftskorrelatoren, werden die verschiedenen Teile jedes Protokolls analysiert, damit Beziehungen zwischen Protokolldaten aus mehreren Protokollquellen identifiziert werden können.

Freitextkorrelatoren

Freitextkorrelatoren analysieren den Text im Protokollnachrichtsteil von Protokollzeilen, die einer Anomalie zugeordnet sind. Das System verwendet Freitextkorrelatoren, um Korrelationen zwischen Warnungen zu identifizieren. Sie verwenden Freitextkorrelatoren, um einen Begriff hinzuzufügen, der voraussichtlich in Protokollnachrichten angezeigt wird. Eine gute Wahl ist ein Begriff, der nicht strukturiert ist und andernfalls nicht als Protokolleigenschaft extrahiert würde. Beispiel: „Richtlinien-ID“ oder „Thread-ID“.

Normalerweise fügen Sie auch Freitextkorrelatoren für die Namen von Systemen, Anwendungen und Services hinzu, die für Ihre Umgebung eindeutig sind. Da auf einen solchen Wert von mehreren Quellen, Ebenen, Middleware oder Datenbanken verwiesen werden kann, kann der Freitextkorrelator eine effektive Erkennung korrelierter Warnungen sein. Wenn der Service Ihrer Organisation beispielsweise teatime heißt, können Sie „teatime“ als Freitextkorrelator hinzufügen. Der Korrelator identifiziert Warnungen, die im Zusammenhang miteinander stehen, da sie für Ressourcen generiert wurden, die den Service „TeaTime“ unterstützen, z. B. eine Datenbanksperre oder ein Verbindungsfehler zwischen Komponenten von „TeaTime“.

Protokolleigenschaftskorrelatoren

Protokolleigenschaftskorrelatoren analysieren den Metadatenanteil von Protokollzeilen. Der Korrelator kann beispielsweise den Namen einer Serviceinstanz, die Schnittstellen-ID eines Netzwerkgeräts oder die Anforderungs-ID einer webbasierten Komponente analysieren. Ein Protokolleigenschaftskorrelator kann eine Korrelation markieren, wenn die Schnittstellen-ID eines Netzwerkgeräts gleichzeitig in mehreren Warnungen in verschiedenen Protokollquellen auftritt. Protokolleigenschaftskorrelatoren sind spezifisch für den Geschäftskontext Ihrer Umgebung.