Como Análise de logs de integridade gera alertas

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Análise de logs de integridade identifica padrões em seus dados de log e aprende o comportamento padrão. Quando o mecanismo de IA de HLAdetecta um comportamento anômalo, ele envia um evento para a aplicação ServiceNow Gestão de eventos. Como operador, você pode usar esses alertas preditivos para lidar com problemas de TI emergentes antes que eles afetem os usuários.

    Detecção de anomalias do log

    Existem muitos tipos de comportamento anômalo (anormal ou inesperado). Neste exemplo, o sistema rastreia a taxa de linha de base - o número médio de eventos por minuto - de mensagens específicas. O gráfico mostra os valores do dia anterior como a área sombreada em tom de pêssego claro e os valores de hoje como uma linha azul. O gráfico mostra um desvio drástico dos valores de linha de base esperados em torno de 10:10. Esse comportamento anômalo gera um alerta.

    Figura 1. Comportamento anômalo
    Anomalia vista como um pico na taxa de mensagens de um tipo específico.

    Análise de logs de integridade usa vários métodos para detectar anomalias e gerar alertas.

    Para obter mais informações, consulte O que é detecção de anomalias?

    Métricas de alerta

    Análise de logs de integridade monitora várias métricas no fluxo de logs para detectar comportamento anômalo. Cada métrica está associada a uma origem exclusiva: a combinação de instância de serviço e componente. Quando o sistema identifica um padrão anômalo para uma métrica, ele gera um alerta.

    Como operador, você pode fornecer feedback sobre os alertas gerados. Seu feedback "ensina" Análise de logs de integridade que um alerta específico é significativo ou irrelevante para você. A aplicação aumenta a prioridade da métrica de alerta ou a silencia para reduzir o ruído.

    • Um alerta significativo tem mais probabilidade de ser incluído em um grupo de Análise de logs quando a métrica associada se comporta de forma anômala. Para obter mais informações, consulte Marcar um alerta como significativo.
    • Silencie um alerta para uma origem especificada para eliminar novos alertas perturbadores para problemas sem importância. Quando uma métrica é silenciada, Análise de logs de integridade remove o alerta atual e quaisquer outros alertas baseados nessa métrica do feed. Ele também para de gerar novos alertas a partir dessa métrica. Para obter mais informações, consulte Silenciar um alerta sem importância.
    • Quando a situação muda, você pode retornar uma métrica significativa à sua significância padrão. Você também pode reativar uma métrica silenciada para fazer com que o sistema comece a gerar alertas novamente. Para obter mais informações, consulte Restaurar um alerta mudo ou um alerta significativo.

    Palavras-chave lexicais

    Análise de logs de integridade verifica seus logs em busca de palavras que possam indicar problemas importantes. Palavras-chave lexicais como "falha" ou "falha" sinalizam uma condição que pode merecer atenção.

    O sistema define um limite para cada palavra-chave léxica que se baseia no que ele considera o padrão de ocorrência normal e a frequência dessa palavra-chave em seus logs. Quando ele verifica seus logs, ele encontra todas as ocorrências da palavra-chave. Se o número exceder o limite, ele gerará um alerta. Para obter mais informações, consulte Exibir as palavras-chave lexicais que geram alertas.

    Para obter informações sobre como gerenciar palavras-chave globais, consulte Adicionar, editar ou excluir Análise de logs de integridade palavras-chave lexicais. Para criar ou excluir palavras-chave para um tipo de origem específico, consulte Configurar capacidades de tipo de origem.

    Correlações

    Correlatos de log são chaves ou valores em dados de log que detectam correlações entre alertas. Por exemplo, um correlacionador de log pode detectar quando o ID de um dispositivo de rede específico ocorre simultaneamente em vários avisos em diferentes instâncias de serviço. Para obter mais informações, consulte Identificando relacionamentos em dados de log usando correlacionadores de log.

    Filtragem avançada de alertas

    Adicione filtros avançados de alerta de log para verificar alertas em busca de condições especificadas. Os filtros reduzem o ruído descartando alertas que não indicam um problema significativo. Ao desenvolver um filtro, você pode testar, atualizar, publicar ou ativar o filtro a qualquer momento. Para obter mais informações, consulte Criar filtros avançados de alerta de log.

    Regras de alerta personalizadas

    Defina uma regra de alerta de Análise de logs ao encontrar dados de log que devem gerar um alerta. A regra de alerta gera um alerta para uma métrica especificada com um limite especificado por você e define as propriedades do alerta gerado. Para obter mais informações, consulte Adicionar uma regra de alerta de Análise de logs.