Ajoutez des filtres avancés d’alerte de journal pour analyser les alertes en ce qui concerne les conditions que vous spécifiez. Les filtres réduisent le bruit en supprimant les alertes qui n’indiquent pas de problème important. Lors du développement d’un filtre, vous pouvez le tester, le mettre à jour, le publier ou l’activer à tout moment.
Avant de commencer
La fonctionnalité Désactiver le moteur de règles d’alerte et la fonctionnalité Désactiver le moteur de règles de détection doivent être à l’état DÉSACTIVÉ. Pour définir les valeurs, accédez à Analyse de l'intégrité des journaux > Administration d’Opérations IA prédictive d’intégrité > Fonctionnalités.
Rôle requis : evt_mgmt_operator ou evt_mgmt_admin
Procédure
Accédez à la Analyse de l'intégrité des journaux > Détection d'anomalie de journal > Filtre avancé d'alerte de journal.
Sélectionnez Nouveau.
Saisissez un nom unique et descriptif pour le filtre.
Facultatif : Saisissez une description du fonctionnement du filtre.
Dans le champ Modèle de script , sélectionnez le script qui correspond le mieux à la logique prévue.
Le modèle peut servir de point de départ pour votre code de script personnalisé.
Une fois que vous avez sélectionné un modèle, la zone de texte de la fonction JS personnalisée est remplie avec la fonction JavaScript appropriée. La fonction JavaScript applique le filtre aux données de charge utile de l’alerte et autorise ou supprime l’alerte. La charge utile de l’alerte est le texte et les métadonnées du type d’alerte que le filtre analysera.
Enregistrez l’enregistrement en sélectionnant Soumettre.
Pour continuer à modifier le filtre, vous devez rouvrir l’enregistrement à partir de la liste des filtres. Vous pouvez ensuite modifier, tester, publier et activer le filtre.
Modifiez le texte par défaut de la charge utile de l’alerte en vue du test de la logique prévue.
Pour supprimer vos changements et revenir au texte par défaut de la zone de texte Charge utile de l’alerte, cliquez sur Réinitialiser.
Pour votre commodité, fournit des exemples d’alertes Analyse de l'intégrité des journaux avec des charges utiles préconfigurées. Sélectionnez un exemple d’alerte dans le champ Exemple d’alerte pour afficher sa charge utile dans la zone de texte Charge utile de l’alerte.
Facultatif : Enregistrez les valeurs actuelles du filtre sans tester en sélectionnant Mettre à jour.
Lorsque votre contenu pour la charge utile de l’alerte et votre fonction JavaScript sont terminés, sélectionnez Test.
Pour simuler l’opération d’alerte, le système enregistre les valeurs de filtre, applique le filtre au texte de la charge utile de l’alerte , puis affiche l’un des résultats suivants :
L'alerte sera abandonnée.
L'alerte sera autorisée.
Figure 1. Test du JavaScript pour déterminer s’il faut autoriser ou abandonner l’alerte
Remarque :
Si votre nouvelle fonction JavaScript ne se comporte pas comme prévu, vous pouvez revenir à la dernière fonction publiée en sélectionnant le lien connexe Rétablir la fonction JS .
Répétez le processus de mise à jour de la charge utile de l’alerte et de test de la fonction JavaScript aussi souvent que nécessaire.
Lorsque vous êtes satisfait du filtre, enregistrez ses valeurs et déterminez s’il convient de l’appliquer au flux de journaux.
Pour enregistrer les valeurs et appliquer le filtre au flux de journal, assurez-vous que la case Active est cochée, puis sélectionnez Publier.
Pour enregistrer le filtre sans l’appliquer au flux de journal, décochez la case Actif et sélectionnez Publier.
Remarque :
Si vous modifiez un filtre publié, vous devez publier le filtre modifié pour l’appliquer au flux de journaux.
Résultats
Les valeurs du filtre actif sont enregistrées. Si vous avez sélectionné l’option Actif, le filtre est appliqué au flux de journaux.