로그 데이터 내 관계 탐지를 위한 로그 관련자 사용
로그 관련자는 경보 간의 상관 관계를 탐지하는 로그 데이터의 키 또는 값입니다. 예를 들어, 특정 네트워크 장치의 인터페이스 ID가 여러 애플리케이션 서비스에 걸쳐 여러 경고에 동시에 발생하는 경우 로그 관련자가 탐지할 수 있습니다.
로그 관련자 유형
대부분의 로그 라인에는 메타데이터 부분과 메시지 부분이 포함됩니다. 일부 로그 라인의 경우에는 텍스트에 메타데이터가 포함된 메시지 텍스트만 포함합니다.
두 가지 유형의 로그 관련자, 자유 텍스트 관련자 및 로그 속성 관련자는 각 로그의 서로 다른 부분을 분석해 여러 로그 소스에서 로그 데이터 간의 관계를 식별합니다.
- 자유 텍스트 관련자
자유 텍스트 관련자는 예외와 관련된 로그 라인의 로그 메시지 부분 내에서 텍스트를 분석합니다. 시스템은 경보 간의 상관 관계를 식별하는 데 자유 텍스트 관련자를 사용합니다. 자유 텍스트 관련자를 사용하여 로그 메시지에 표시하고 싶은 용어를 추가합니다. 구조화되지 않고 로그 속성으로 추출되지 않는 용어를 추가하는 것이 좋습니다. 예: "policy-id" 또는 "thread-id".
또한 일반적으로 환경에 고유한 시스템, 애플리케이션 및 서비스 이름에 대해 자유 텍스트 관련자를 추가합니다. 이러한 값은 여러 소스, 레이어, 미들웨어 또는 데이터베이스에서 참조할 수 있기 때문에 자유 텍스트 관련자는 상관 경보의 효과적인 탐지기일 수 있습니다. 예를 들어 조직의 서비스를 TeaTime이라고 하는 경우 "teatime"을 자유 텍스트 관련자로 추가할 수 있습니다. 경보는 TeaTime 서비스를 지원하는 자원(예: 데이터베이스 잠금 또는 TeaTime 구성요소 간의 연결 실패)에 대해 생성되었기 때문에 관련자가 관련된 경보를 식별합니다.
- 로그 속성 관련자
로그 속성 관련자는 로그 라인의 메타데이터 부분을 분석합니다. 예를 들어 관련자는 애플리케이션 서비스의 이름, 네트워크 장치의 인터페이스 ID 또는 웹 지향 구성요소의 요청 ID를 분석할 수 있습니다. 로그 속성 관련자는 여러 로그 소스의 경고에 네트워크 장치의 인터페이스 ID가 동시에 등장하면 상관 관계에 플래그를 지정할 수 있습니다. 로그 속성 관련자는 환경의 비즈니스 컨텍스트에 따라 다릅니다.
로그 관련자에 대한 로그 소스 지정
- 새 소스만: 시스템은 이 로그 관련자가 활성화된 후 생성된 로그 소스의 로그 라인에만 로그 관련자를 적용합니다.
- 모든 소스: 시스템이 모든 로그 소스의 로그 라인에 로그 관련자를 적용합니다.
- 지정된 소스: 로그 관련자의 경우, 시스템은 내가 지정하는 로그 소스의 로그 라인만 분석합니다.
로그 소스의 설정을 지정하려면 로그 관련자를 추가하여 로그에서 관계 식별 문서를 참조하십시오.