Como Análise de logs de integridade (HLA) gera alertas
ServiceNow Análise de logs de integridade identifica padrões em dados de log e aprende o comportamento padrão. Quando o mecanismo de inteligência artificial detecta um comportamento anômalo, ele envia um evento para a aplicação ServiceNow Gestão de eventos. Esses alertas preditivos permitem que os operadores corrijam problemas de TI emergentes antes que eles afetem os usuários.
O que é uma anomalia
Existem muitos tipos de comportamento anômalo (anormal ou inesperado). Neste exemplo, o sistema rastreia a taxa de linha de base - o número médio de eventos por minuto - de mensagens específicas. O gráfico mostra os valores do dia anterior como a área sombreada em tom de pêssego claro e os valores de hoje como uma linha azul. O gráfico mostra um desvio drástico dos valores de linha de base esperados em torno de 10:10. Esse comportamento anômalo gera um alerta.
Comportamento anômalo por volta de 10:10.
Análise de logs de integridade usa os seguintes métodos para gerar alertas:
Métricas de alerta
Análise de logs de integridade monitora várias métricas no fluxo de logs para detectar comportamento anômalo. Cada métrica está associada a uma origem exclusiva. Uma origem é a combinação de Serviço de aplicações e componente. Quando o sistema identifica um padrão anômalo para uma métrica, ele gera um alerta.
- Um alerta significativo tem mais probabilidade de ser incluído em um Grupo de análise de log quando a métrica associada se comporta de forma anômala. Para obter mais informações, consulte Marcar um alerta como significativo
- Silencie um alerta para uma origem especificada para eliminar novos alertas perturbadores para problemas sem importância. Para obter mais informações, consulte Silenciar um alerta sem importância.
- Quando a situação muda, você pode retornar uma métrica significativa à sua significância padrão. Você também pode reativar uma métrica silenciada para fazer com que o sistema comece a gerar alertas novamente. Para obter mais informações, consulte Restaurar um alerta mudo ou um alerta significativo.
Palavras-chave lexicais
Palavras-chave lexicais podem indicar problemas importantes em entradas de log.
O sistema define um limite para cada palavra-chave lexical. Ele baseia o limite no padrão de ocorrência normal e na frequência da palavra-chave. O sistema detecta todas as ocorrências da palavra-chave. Quando o padrão ou a frequência excede o limite, o sistema gera um alerta. Para obter mais informações, consulte Exibir as palavras-chave lexicais que geram alertas.
Correlações
Correlações do log são chaves ou valores em dados de log que detectam correlações entre alertas. Por exemplo, um correlacionador de log pode detectar quando o ID da interface de um dispositivo de rede específico ocorre simultaneamente em vários avisos em diferentes serviços de aplicações. Para obter mais informações, consulte Utilizar correlacionadores de registro para detectar relações nos dados de log.
Filtragem avançada de alertas
Adicione filtros avançados de alerta de log para verificar alertas em busca de condições especificadas. Os filtros reduzem o ruído descartando alertas que não indicam um problema significativo. Ao desenvolver um filtro, você pode testar, atualizar, publicar ou ativar o filtro a qualquer momento. Para obter mais informações, consulte Criar filtros avançados de alerta de log.
Regras de alerta personalizadas
Defina uma regra de alerta de Análise de logs ao encontrar dados de log que devem gerar um alerta. A regra de alerta gera um alerta para uma métrica especificada com um limite especificado por você e define as propriedades do alerta gerado. Para obter mais informações, consulte Adicionar uma regra de alerta de Análise de logs.