Types de comportements anormaux dans Analyse de l'intégrité des journaux

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Un comportement anormal dans un CI ou un service peut indiquer un problème important. Par exemple, un pic dans la fréquence ou le nombre de messages d'un type particulier peut indiquer un problème.

    Comprendre les anomalies

    Pour créer des modèles de comportement attendu, Analyse de l'intégrité des journaux surveille le flux de journal pour connaître les bases de référence pour les modèles, les mesures et les jauges sur différentes périodes. Les périodes peuvent être horaires, quotidiennes, hebdomadaires ou illimitées. Un comportement qui s'écarte des modèles appris est considéré comme un comportement anormal.

    Types de propriété du journal

    Schéma
    Un modèle est une valeur ou un taux qui se répète, que ce soit en texte, en temps ou en relations.
    Compteur
    Une propriété de mesure est une valeur numérique ou textuelle. Par exemple, un code d'état, un code de réponse, une action ou un modèle.
    Jauge
    Une propriété de jauge a une valeur numérique qui est signalée en continu. Les propriétés de jauge représentent les opérations qui consomment des ressources. Par exemple, utilisation du processeur, utilisation de la mémoire ou délai de réponse.

    Comment les anomalies apparaissent dans Analyse de l'intégrité des journaux

    La carte Anomalie illustre l'activité anormale qui a déclenché l'alerte.
    • La ligne bleue montre l'activité anormale récente.
    • Sur certains graphiques, la zone légèrement grisée indique le comportement attendu (base de référence apprise).

      Une zone couleur pêche représente les valeurs de base de référence un jour plus tôt à la même heure. Une zone rose affiche les valeurs pour la même période de la semaine précédente.

    • Cliquez sur l'icône d'information pour voir comment l'anomalie a été identifiée : icône d'information.
    Dans cet exemple, la zone couleur pêche affiche les mêmes données un jour plus tôt à la même heure. Le pic de la valeur de mesure (événements par minute) est clairement visible.
    Figure 1. Carte des anomalies
    La carte des anomalies identifie et illustre les comportements anormaux.

    Types d'anomalies

    Tableau 1. Certains types d'anomalies
    Comportement Description
    Nouveau comportement Un modèle qui n'a jamais été vu. Le type d'alerte Nouveau comportement n'affiche pas de graphique.
    Signal perdu/cessé d'apparaître Toutes les données de modèle ou de journal d'une source se sont arrêtées. Aucun signal pendant au moins cinq minutes.
    Signal vivant/Apparaît à nouveau Les données de modèle ou de journal provenant d'une source « perdue » s'affichent à nouveau. Pour une base de référence d'une heure, un modèle est « mort » s'il apparaît moins d'une fois par minute.
    Anomalie supérieure ou inférieure à la moyenne Activité qui s'écarte du comportement de base de référence attendu pour les mesures de modèle, de mesure ou de jauge, telles que les mesures de mots clés ou les mesures de gravité.
    Augmentation ou diminution​ de la base de référence Augmentation ou diminution de la valeur ou du volume d'une propriété de journal par rapport à la base de référence d'une heure ou d'une semaine.
    Corrélation d'alertes de gravité et de mots clés Augmentation du volume d'un niveau de gravité ou d'un mot clé.