Tipos de comportamento anômalo em Análise de logs de integridade

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Um comportamento anômalo em um IC ou serviço pode indicar um problema importante. Por exemplo, um pico na frequência ou no número de mensagens de um tipo específico pode indicar um problema.

    Noções básicas de anomalias

    Para criar modelos de comportamento esperado, Análise de logs de integridade monitora o fluxo de log para aprender linhas de base para padrões, métricas e medidores em vários períodos. Os períodos de tempo podem ser por hora, diariamente, semanalmente ou ilimitados. O comportamento que parte dos modelos aprendidos é considerado comportamento anômalo.

    Tipos de propriedade de log

    Padrão
    Um padrão é um valor ou taxa que se repete, seja em texto, tempo ou relacionamentos.
    Medidor
    Uma propriedade de medidor é um valor numérico ou de texto. Por exemplo, um código de status, um código de resposta, uma ação ou um padrão.
    Medidor
    Uma propriedade de medidor tem um valor numérico relatado continuamente. As propriedades do medidor representam operações que consomem recursos. Por exemplo, uso de CPU, uso de memória ou tempo de resposta.

    Como as anomalias aparecem em Análise de logs de integridade

    O cartão Anomalia ilustra a atividade anômala que levou ao alerta.
    • A linha azul mostra a atividade anômala recente.
    • Em alguns gráficos, a área levemente sombreada indica o comportamento esperado (linha de base aprendida).

      Uma área sombreada de pêssego representa os valores de linha de base para a mesma hora um dia antes. Uma área sombreada rosa mostra os valores do mesmo período na semana anterior.

    • Clique no ícone de informações para ver como a anomalia foi identificada: Ícone de informações.
    Neste exemplo, a área sombreada de pêssego mostra os mesmos dados para a mesma hora um dia antes. O pico no valor da métrica (eventos por minuto) está claramente visível.
    Figura 1. Cartão de anomalia
    O cartão de anomalia identifica e ilustra o comportamento anômalo.

    Tipos de anomalias

    Tabela 1. Alguns dos tipos de anomalias
    Comportamento Descrição
    Novo comportamento Um padrão que nunca foi visto. O tipo de alerta Novo comportamento não exibe um gráfico.
    Sinal inativo/parou de aparecer Todos os dados de padrão ou log de uma origem foram interrompidos. Não houve sinal por pelo menos cinco minutos.
    Sinal ativo/aparecendo novamente Um padrão ou dados de log de uma origem "inativa" aparece novamente​. Para uma linha de base de uma hora, um padrão estará "inativo" se aparecer menos de uma vez por minuto.
    Anomalia acima da média ou abaixo da média Atividade que se desvia do comportamento de linha de base esperado para métricas de padrão, medidor ou medidor, como métricas de palavras-chave ou métricas de gravidade.
    ​Aumento ou diminuição da referência de linha de base Um aumento ou diminuição no valor ou volume de uma propriedade de log em comparação com a linha de base de uma hora ou uma semana.
    Correlação de alertas de severidade e palavra-chave Um aumento no volume de um nível de gravidade ou palavra-chave.