Ajustement de la structure du type de source

Gestion des opérations IT de Zurich

Release

zurich

ft:locale

fr-FR

ft:publication_title

Gestion des opérations IT de Zurich

ft:clusterId

itom

bundleId

itom

workflow

Technology

Ajustement de la structure du type de source dans Analyse de l'intégrité des journaux

Rversion finale: Zurich

Mis à jour 31 juil. 2025

2 minutes de lecture

Analyse de l'intégrité des journaux vous permet de reclasser les propriétés classées automatiquement et de modifier les étiquettes mappées automatiquement. Ces ajustements aident l'apprentissage machine de Analyse de l'intégrité des journaux à mieux comprendre vos priorités.

Analyse de l'intégrité des journaux sépare automatiquement l'en-tête de transport du message de journal interne et envoie le message de journal interne à la structure du type de source. Il extrait les propriétés des messages de journal entrants et mappe automatiquement les étiquettes aux champs du type de source.

La modification de la structure et de la classification du type de source est l’occasion de vous assurer que le HLA moteur extrait correctement toutes les propriétés et les classe de manière appropriée.

Remarque :

Étant donné qu'une seule entrée de données peut contenir plusieurs types de sources, le système structure les données de journal par type de source et non par entrée de données.

Par exemple, prenons le journal suivant :

{
  "TenantId": "abc-01-02-03-04-05050708091011121314",
  "@timestamp": "2020-08-28T08:29:23.967Z",
  "Computer": "john Doe_computer",
  "EventType_s": "LogMessage",
  "Job_s": "johnDoe_cell",
  "IP_s": "1.00.00.00",
  "message": "This is the extracted message. This part of the message includes superfluous content and values",
  "MessageType_s": "OUT",
  "Timestamp_d": 1598603359017850000,
  "Type": "my_LogMessage_is",
  "_ResourceId": ""
}

L'exemple de code contient des paires "clé":"valeur" La clé est le nom de la propriété et la valeur est la valeur de la propriété.

La clé "message" a la valeur suivante : "This is the extracted message. This part of the message includes superfluous content and values". Si vous souhaitez que vos journaux contiennent uniquement la partie significative de ce message, ajoutez le code JavaScript demandant au système d'extraire uniquement cette partie.

//Added JavaScript to extract only the first sentence in the message! if (output['message'] != null){ output['message'] = output['message'].slice(0, output['message'].indexOf("\.")); } (edited)

Vous pouvez utiliser la même logique pour reclasser une valeur. Par exemple, si la clé « Ordinateur » est insignifiante, vous pouvez définir sa valeur sur « Non valide ».

Pour plus d'informations sur la structure du type de source, consultez l'article Structure du type de source – Étiquettes et classifications [KB0863562] de la base de connaissances Now Support.

Remarque :

Vous pouvez réactiver le mode d’apprentissage pour une structure de type de source si vous souhaitez réutiliser la fonctionnalité d’apprentissage du moteur d’IA une fois que la période d’apprentissage initiale est devenue obsolète. Dans le formulaire Structure du type de source , sélectionnez Réapprendre pour réinitialiser l’analyse, l’extraction, la classification et l’étiquetage de la structure du type source, puis redémarrez le processus d’apprentissage.