Identification des alertes connexes dans les données de journal à l’aide de corrélateurs de journaux dans Analyse de l'intégrité des journaux
Dans Analyse de l'intégrité des journaux, les corrélateurs sont des clés ou des valeurs dans lesdonnées de journal qui détectent les corrélations entre les alertes pour vous aider à déterminer si une alerte fait partie d’un problème plus vaste. Par exemple, un corrélateur de journal peut détecter lorsque l’ID d’interface d’un périphérique réseau particulier se produit simultanément dans plusieurs avertissements sur différentes instances de service.
Vous pouvez identifier les alertes connexes dans vos données de journal à l’aide des corrélateurs de journal. Le système de base inclut plusieurs corrélateurs de journal et vous pouvez définir des corrélateurs personnalisés pour une source de journal spécifique, toutes les sources de journal ou uniquement les sources de journal créées après l’activation du corrélateur.
La plupart des lignes de journal incluent une partie métadonnées et une partie message. Toutefois, certaines lignes de journal n’incluent que du texte de message avec des métadonnées incluses dans le texte. Les deux types de corrélateurs de journal, les corrélateurs de texte libre et les corrélateurs de propriété de journal, analysent les différentes parties de chaque journal pour identifier les relations entre les données de journal provenant de plusieurs sources de journaux.
- Corrélateurs de texte libre
-
Les corrélateurs de texte libre analysent le texte dans la partie message du journal des lignes de journal associées à une anomalie. Le système utilise des corrélateurs de texte libre pour identifier les corrélations entre les alertes. Vous utilisez des corrélateurs de texte libre pour ajouter un terme que vous vous attendez à voir apparaître dans les messages du journal. Un bon choix est un terme qui n’est pas structuré et qui ne serait pas autrement extrait en tant que propriété de journal. Par exemple, « policy-id » ou « thread-id ».
Vous ajoutez également généralement des corrélateurs de texte libre pour les noms des systèmes, applications et services uniques à votre environnement. Étant donné qu’une telle valeur peut être référencée par plusieurs sources, couches, intergiciels ou bases de données, le corrélateur de texte libre peut être un détecteur efficace d’alertes corrélées. Par exemple, si le service de votre organisation s’appelle TeaTime, vous pouvez ajouter « teatime » comme corrélateur de texte libre. Le corrélateur identifierait les alertes liées parce qu’elles ont été générées pour des ressources qui prennent en charge le service TeaTime, telles qu’un verrouillage de base de données ou un échec de connexion entre les composants TeaTime.
- Corrélateurs des propriétés du journal
-
Les corrélateurs de propriétés de journal analysent la partie métadonnées des lignes de journal. Par exemple, le corrélateur peut analyser le nom d’une instance de service, l’ID d’interface d’un appareil réseau ou l’ID de demande d’un composant orienté vers le Web. Un corrélateur de propriété de journal peut signaler une corrélation lorsque l’ID d’interface d’un périphérique réseau apparaît simultanément dans plusieurs avertissements dans différentes sources de journal. Les corrélateurs de propriété de journal sont spécifiques au contexte professionnel de votre environnement.
- Nouvelles sources uniquement : le système n’applique le corrélateur de journal qu’aux lignes de journal des sources de journal qui ont été créées après l’activation de ce corrélateur de journal.
- Toutes les sources : le système applique le corrélateur de journal aux lignes de journal de toutes les sources de journal.
- Source spécifiée : pour un corrélateur de journal, le système analyse uniquement les lignes de journal de la source de journal que vous spécifiez.