Sobre Análise de logs regras de alerta
Análise de logs de integridade( HLA detecta anomalias automaticamente aprendendo com seus dados de log. No entanto, a deteção automática não funciona igualmente bem para todos os tipos de log. Alguns logs precisam de uma regra de alerta personalizada para gerar alertas de forma confiável.
HLA Classifica padrões de log de entrada em três grupos: Ativo, esparso e interrompido. Ele usa lógica de detecção diferente para cada grupo. Logs pouco frequentes são tratados como esparsos. Para logs esparsos, HLA usa um método baseado em probabilidade em vez da pontuação de anomalia padrão. Ele faz isso por design: Usar pontuação padrão em um log que aparece somente de vez em quando daria resultados não confiáveis. No entanto, como resultado, logs com poucos dados podem não gerar alertas, porque o. HLA o mecanismo não tem o suficiente para estabelecer um padrão normal.
Quando usar uma regra de alerta personalizada
| Cenário | Detecção DE ML | Regra personalizada |
|---|---|---|
| Logs de alta frequência com padrões em mudança | Suficiente | Opcional |
| Logs periódicos ou de baixa frequência | Não confiável | Sugerido |
| Condições críticas conhecidas | Não aplicável | Necessários |
Exemplos
Os exemplos a seguir mostram como o tipo de dados de log determina se uma regra de alerta personalizada é necessária.
- Logs de alta frequência: Uma aplicação grava centenas de entradas de log por hora. HLA cria um padrão confiável rapidamente e alerta quando o comportamento muda. Uma regra personalizada não é necessária, mas você pode adicionar uma para alertar sobre uma condição específica.
- Registros pouco frequentes: Um trabalho em lote é executado todas as noites e grava um pequeno número de entradas de log. HLA não é possível criar um padrão confiável a partir de tão poucos dados. Defina uma regra personalizada para verificar se os alertas são gerados quando o trabalho falha ou se comporta inesperadamente.
- Condições críticas conhecidas: Um código de erro específico nunca deve aparecer em seus logs. HLA pode não sinalizar isso automaticamente. Defina uma regra personalizada que gere um alerta sempre que o código de erro for exibido.