Detecção de anomalias do log

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Análise de logs de integridade descobre padrões em seus dados de log e aprende seu comportamento exclusivo de dados. Quando encontra um padrão anômalo, ele envia um evento para a aplicação ServiceNow® Gestão de eventos. Você pode usar esses alertas preditivos para lidar com problemas de TI emergentes antes que eles afetem os usuários.

    Análise de logs de integridade usa vários métodos para detectar anomalias.

    Palavras-chave lexicais

    Análise de logs de integridade verifica seus logs em busca de palavras que possam indicar problemas importantes. Palavras-chave lexicais como "falha" ou "falha" sinalizam uma condição que pode merecer atenção.

    O sistema define um limite para cada palavra-chave léxica que se baseia no que ele considera o padrão de ocorrência normal e a frequência dessa palavra-chave em seus logs. Quando ele verifica seus logs, ele encontra todas as ocorrências da palavra-chave. Se o número exceder o limite, ele gerará um alerta.

    Para obter informações sobre como gerenciar palavras-chave globais, consulte Adicionar, editar ou excluir Análise de logs de integridade palavras-chave lexicais. Para criar ou excluir palavras-chave para um tipo de origem específico, consulte Configurar capacidades de tipo de origem.

    Métricas de alerta

    Análise de logs de integridade O monitora várias métricas como um meio de detectar anomalias. Quando identifica um padrão anômalo para uma métrica, ele gera um alerta.

    Os operadores podem fornecer feedback sobre os alertas gerados. O feedback deles "ensina" Análise de logs de integridade que um alerta específico é significativo ou irrelevante para eles. A aplicação aumenta a prioridade da métrica de alerta ou a silencia para reduzir o ruído.

    Quando uma métrica é silenciada, Análise de logs de integridade remove o alerta atual e quaisquer outros alertas baseados nessa métrica do feed. Ele também para de gerar novos alertas a partir dessa métrica. Você pode reativar uma métrica de alerta silenciada. Para obter mais informações, consulte Restaurar importância normal para uma métrica de alerta.

    Correlações

    Correlações do log são chaves ou valores em dados de log que detectam correlações entre alertas. Por exemplo, um correlacionador de log pode detectar quando o ID da interface de um dispositivo de rede específico ocorre simultaneamente em vários avisos em diferentes serviços de aplicações. Para obter mais informações, consulte Utilizar correlacionadores de registro para detectar relações nos dados de log.

    Filtragem avançada de alertas

    Adicione filtros avançados de alerta de log para verificar alertas em busca de condições especificadas. Os filtros reduzem o ruído descartando alertas que não indicam um problema significativo. Ao desenvolver um filtro, você pode testar, atualizar, publicar ou ativar o filtro a qualquer momento. Para obter mais informações, consulte Criar filtros avançados de alerta de log.

    Regras de alerta personalizadas

    Defina uma regra de alerta de Análise de logs ao encontrar dados de log que devem gerar um alerta. A regra de alerta gera um alerta para uma métrica especificada com um limite especificado por você e define as propriedades do alerta gerado. Para obter mais informações, consulte Adicionar uma regra de alerta de Análise de logs.

    Aprenda

    O que é detecção de anomalias?