경보 규칙 정보 로그 분석
상태 로그 분석 (HLA)는 로그 데이터를 학습하여 자동으로 예외를 탐지합니다. 그러나 자동 검색이 모든 로그 유형에 대해 똑같이 잘 작동하는 것은 아닙니다. 일부 로그에는 경보를 안정적으로 생성하기 위해 사용자 지정 경보 규칙이 필요합니다.
HLA 는 들어오는 로그 패턴을 활발함, 희소함, 중지됨의 세 그룹으로 분류합니다. 그룹마다 서로 다른 탐지 논리를 사용합니다. 드물게 발생하는 로그는 희소 로그로 처리됩니다. 희소 로그의 HLA 경우 표준 예외 점수 매기기 대신 확률 기반 방법을 사용합니다. 그것은 의도적으로 그렇게 합니다: 가끔씩만 나타나는 로그에 표준 점수를 매기는 것은 신뢰할 수 없는 결과를 제공합니다. 그러나 결과적으로 데이터가 너무 적은 로그는 엔진에 HLA 일반 패턴을 설정하기에 충분하지 않기 때문에 경보를 생성하지 못할 수 있습니다.
사용자 지정 경보 규칙을 사용해야 하는 경우
로그 데이터가 자동으로 경보를 생성하지 않는 경우 사용자 지정 경보 규칙을 사용합니다.
| 시나리오 | ML 탐지 | 사용자 지정 규칙 |
|---|---|---|
| 패턴이 변경되는 고주파 로그 | 충분함 | 옵션 |
| 저주파 또는 주기적인 로그 | 신뢰할 수 없음 | 추천됨 |
| 알려진 중요 조건 | 해당 사항 없음 | 필수 |
예제
다음 예는 로그 데이터 유형에 따라 사용자 지정 경보 규칙이 필요한지 여부를 결정하는 방법을 보여줍니다.
- 고빈도 로그: 애플리케이션은 시간당 수백 개의 로그 항목을 씁니다. HLA 는 신뢰할 수 있는 패턴을 신속하게 빌드하고 동작이 변경되면 경보를 보냅니다. 사용자 지정 규칙은 필수는 아니지만 특정 조건에 대한 경보를 제공하기 위해 사용자 지정 규칙을 추가할 수 있습니다.
- 자주 발생하지 않는 로그: 매일 밤 일괄 작업이 실행되고 적은 수의 로그 항목이 기록됩니다. HLA 너무 적은 데이터로는 신뢰할 수 있는 패턴을 만들 수 없습니다. 작업이 실패하거나 예기치 않게 동작할 때 경보가 생성되는지 확인하는 사용자 지정 규칙을 정의합니다.
- 알려진 중요 조건: 특정 오류 코드는 로그에 나타나서는 안 됩니다. HLA 자동으로 플래그를 지정하지 않을 수도 있습니다. 오류 코드가 나타날 때마다 경보를 생성하는 사용자 지정 규칙을 정의합니다.