Mise en route de ServiceNow Analyse de l'intégrité des journaux (HLA)

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture
  • ServiceNow Analyse de l'intégrité des journaux prédit les problèmes informatiques avant qu’ils n’affectent vos utilisateurs. L’application vous aide à résoudre les problèmes plus rapidement en collectant, en analysant et en corrélant les données de journal générées par l’ordinateur en temps réel. Il découvre toute anomalie ou tout écart par rapport au comportement normal au moment où il se produit et vous alerte des problèmes possibles.

    Vue d'ensemble de Analyse de l'intégrité des journaux

    Analyse de l'intégrité des journaux vous aide à résoudre les problèmes informatiques plus rapidement en collectant, en analysant et en corrélant les données de journal générées par l’ordinateur en temps réel. L’application reçoit et traite les journaux via le Serveur MID et envoie des événements à . Analyse de l'intégrité des journaux détecte toute anomalie (tout écart par rapport au ServiceNow Gestion des événements comportement normal) en temps réel et vous alerte des problèmes possibles. L’application vous aide à identifier la cause première d’un problème en vous permettant de trier les journaux connexes et d’analyser les données brutes.

    Analyse de l'intégrité des journaux peut traiter tout type de données textuelles générées par la machine. Il peut traiter les journaux d’application, d’infrastructure et de réseau, ainsi que d’autres types de données de journaux textuels. Bien qu’une base de données de gestion des configurations (CMDB) puisse être utile pour générer des événements et des alertes de haute qualité, elle n’est pas nécessaire.
    Remarque :
    • Analyse de l'intégrité des journaux ne prend en charge que les journaux UTF-8. Il ne prend pas en charge les journaux binaires.
    • Si vous envoyez des journaux dans une langue autre que l’anglais, une configuration supplémentaire peut être nécessaire.

    Workflow Analyse de l'intégrité des journaux

    Analyse de l'intégrité des journaux collecte et traite automatiquement les données du journal. Il structure les données de manière logique pour que les opérateurs les analysent et génère des alertes et des suggestions significatives qui s’affichent dans Gestion des événements.

    Le diagramme montre le workflow depuis la Analyse de l'intégrité des journaux collecte des données jusqu’à l’envoi d’un événement ou d’une alerte vers Gestion des événements.

    Figure 1. Workflow Analyse de l’intégrité des journaux
    Workflow Analyse de l’intégrité des journaux : ingestion - structuration - enrichissement - analyse - ML et IA - alerte dans Gestion des événements
    Ingestion
    Cette couche connecte votre environnement à Analyse de l'intégrité des journaux. Vous pouvez diffuser vos journaux directement à partir de serveurs et de points de terminaison ou à partir de référentiels de journaux. La configuration guidée facultative vous aide à créer des connecteurs d’entrée de données pour les sources de données courantes suivantes :
    • Rsyslog
    • Beats
    • Splunk
    • Elasticsearch
    • Serveur MID
    • TCP
    Structuration
    Cette couche traite de la structuration des données de journal et de leur mappage automatique vers des silos logiques, appelés Composants. La structuration des données peut se faire automatiquement ou manuellement.
    Le système structure automatiquement les données de journal en extrayant les propriétés suivantes des messages de journal entrants : Message, Horodatage, Hôte, Gravité et ID externes. Il extrait des valeurs explicites, telles que « property-name » et « value is IP », et des valeurs sémantiques telles que la longueur, le nombre de mots anglais et la variance.
    Le mappage automatique affecte automatiquement des échantillons de journal et des métadonnées aux balises appropriées. Le système tente de mapper les lignes de journal en analysant la source qui diffuse les données. Le mappage est basé sur des conseils d’agent et des champs d’en-tête de transport communs.
    Enrichissement
    Cette couche gère l’identification des parties variables d’un message du journal.
    Figure 2. Workflow Analyse de l’intégrité des journaux : enrichissement
    Workflow Analyse de l’intégrité des journaux : enrichissement.
    Elle identifie également les mots clés et les propriétés contextuelles. Sur l’image, « AVERTISSEMENT » et « Échec » sont les mots-clés à suivre. « Utilisateur », « IP source » et « port » sont les propriétés contextuelles.
    Analyse
    Dans cette couche, chaque ligne du journal est indexée. Analyse de l'intégrité des journaux extrait les propriétés du message du journal interne qui contribuent aux modèles de comportement auxquels le système apprend à s’attendre. Un comportement anormal s’écarte de ce comportement attendu. Vous pouvez rechercher un événement et ses propriétés les plus significatives à des fins de triage manuel.
    Machine learning (ML) et intelligence artificielle (IA)
    Analyse de l'intégrité des journaux utilise des algorithmes avancés d’apprentissage machine non supervisés pour découvrir des schémas dans les journaux et apprendre leur comportement unique en matière de données. Il définit ensuite des seuils dynamiques basés sur la signature des données en temps réel pour détecter les problèmes lorsqu’ils se produisent pour la première fois. Lorsque le système détecte un écart par rapport au modèle typique, il envoie un événement à .Gestion des événements
    Alerte dans Gestion des événements
    Analyse de l'intégrité des journaux envoie des événements à Gestion des événements. Dans Gestion des événements, Analyse de l'intégrité des journaux les alertes apparaissent dans la liste Toutes les alertes . Cette liste permet aux opérateurs de consulter les alertes de l’événement et le Analyse de l'intégrité des journaux type d’alerte dans un seul emplacement.

    Ce qu'il faut explorer ensuite