Verfeinern Sie die Quelltypstruktur in Health Log Analytics

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 7 Minuten Lesedauer

    • Optimieren Sie, wie Health Log Analytics Liest Ihre inneren Protokollnachrichten und erkennt Anomalien, indem die extrahierten Eigenschaften in der Quelltypstruktur angepasst werden.

    Vorbereitungen

    Eine Übersicht finden Sie unter Anpassung der Quelltypstruktur in Health Log Analytics.

    Erforderliche Rolle: evt_mgmt_admin

    Prozedur

    1. Navigieren zu Alle > Health Log Analytics > Dateneingaben > Quelltypstrukturan.
    2. Öffnen Sie einen Datensatz.
      Hinweis:
      • Health Log Analytics Trennt den Transport-Header automatisch von der inneren Protokollnachricht, wenn Automatische Extraktion Ist ausgewählt (Standard).
      • Health Log Analytics Ruft Protokollbeispiele automatisch beim ersten Mal ab Quelltypstruktur Formularanzeigen. Rufen Sie in nachfolgenden Sitzungen die neuesten Beispiele ab, indem Sie auswählen Aktualisieren Sie Beispiele .
    3. Wahlweise: Rufen Sie KI-gestützte Klassifizierungs- und Bezeichnungsvorschläge ab.
      KI kann analysierte Protokolleigenschaften klassifizieren und entsprechende Bezeichnungen vorschlagen.
      1. Wählen Sie Aus Klassifizierungen vorschlagen (KI) Von Quelltypstruktur Seite.

        Auf Schlüssel-/Wert-Zuordnung Registerkarte werden von KI vorgeschlagene Klassifizierungen und Bezeichnungen in angezeigt VON KI vorgeschlagene Klassifizierung Und VON KI vorgeschlagene Bezeichnung Spalten.

      2. Überprüfen Sie die Vorschläge.
      3. In Klassifizierung Und Zuzuweisende Bezeichnungen Wählen Sie Ihre bevorzugten Klassifizierungen und Bezeichnungen aus den Listen aus.
    4. Wahlweise: Zeigen Sie an, wie sich die aktuelle JavaScript-Funktion auf die Protokollzeilen auswirkt.
      1. Fügen Sie eine Beispielnachricht in hinzu Manuelles Beispiel testen Feld.
      2. Wählen Sie Aus Los .
      3. In Schlüssel-/Wert-Zuordnung Auf der Registerkarte beachten Sie, wie sich die JavaScript-Funktion auf die Protokollzeilen auswirkt.
    5. In Roheingabesample Feld, wählen Sie eine Protokollnachricht aus.

      Wenn Sie Ihre JavaScript-Funktion testen, Health Log Analytics Verwendet diese Beispielnachricht, um die gemeinsame Wirkung der automatischen Extraktion und der JavaScript-Funktion auf den Protokollzeilen anzuzeigen.

      Die folgenden Felder sind schreibgeschützt:
      Feld Beschreibung
      Dauer (ms) Die Verarbeitungszeit aller Muster in Millisekunden.
      Abgelegt Die Gesamtzahl der Protokolle, die in allen Beispielen abgelegt wurden.
      Fehler Die Gesamtzahl der Fehler, die in allen Beispielen aufgetreten sind.
      Zeitstempel-Extraktionsfehler Die Anzahl der Zeitstempelextraktionsfehler, die in allen Beispielen aufgetreten sind.
      Fehler bei Schweregradextraktion Die Gesamtzahl der Fehler bei der Schweregradextraktion, die in allen Beispielen aufgetreten sind.
      Fehler bei Nachrichtenextraktion Die Gesamtzahl der Nachrichtenextraktionsfehler, die in allen Beispielen aufgetreten sind.
      Lange Eigenschaften Die Gesamtzahl der langen Eigenschaften in allen Beispielen.
      Lange Eigenschaften sind Eigenschaften mit mehr als 256 Zeichen.
      Hinweis:
      Weil Health Log Analytics Extrahiert solche Eigenschaften nicht, sie werden nicht als Stichwörter in indiziert Elasticsearch.
    6. Definieren Sie eine JavaScript-Funktion, die automatisch extrahierte Eigenschaften anpasst oder der Quelltypstruktur Eigenschaften hinzufügt.
      1. Ändern Sie in der JavaScript-Konsole entweder die bereitgestellte Standard-JavaScript-Funktion, ändern Sie eine vorhandene anwenderdefinierte JavaScript-Funktion, oder definieren Sie eine neue.
        Hinweis:
        Zusätzlich zur standardmäßigen JavaScript-Funktion Health Log Analytics Stellt mehrere JS-Funktionsvorlagen zum Verfeinern der Quelltypstruktur bereit. Die Vorlagen können als Ausgangspunkt für Ihren anwenderdefinierten Skriptcode dienen. Diese Funktion wird in unterstützt Health Log Analytics Anwendung, Version 20.0.11 – Juli 2021, verfügbar über ServiceNow-Speicher .
        JS-Funktionsvorlagen Beschreibung
        Extrahieren Sie Key_Values Mithilfe Des Regulären Ausdrucks

        Skript, das zum Analysieren von Protokollen in einer Reihe von Schlüssel-Wert-Paaren verwendet wird, indem reguläre Ausdrücke verwendet werden, um bestimmte Muster für reguläre Ausdrücke zu identifizieren. Je nachdem, welche Protokolldaten an den Quelltyp gesendet werden, wird entweder die innere Nachricht oder die vollständige Protokollzeile analysiert. Sie können anzeigen, wie die Daten in den Beispielen angezeigt werden, die in die Quelltypstruktur geladen werden.

        Dieser Prozess ist iterativ. Sie wird wiederholt, bis alle Schlüssel-Wert-Paare gefunden wurden.
        Extrahieren Sie Key_values mithilfe des geteilten regulären Ausdrucks

        Skript, das zum Analysieren von Protokollen in einer Reihe von Schlüssel-Wert-Paaren verwendet wird, indem reguläre Ausdrücke verwendet werden, um bestimmte Muster für reguläre Ausdrücke zu identifizieren. Dieser Prozess erfasst zuerst die Werte in einem LISTENFORMULAR und verwendet dann die Java-Aufteilungsfunktion, um die Schlüssel-Wert-Paare zu erstellen.

        Je nachdem, wie die Daten in der Roheingabe angezeigt werden, ist diese Funktion möglicherweise effizienter als Extrahieren Sie Key_Values Mithilfe Des Regulären Ausdrucks . Die Roheingabe ist entweder die innere Nachricht, die die Header-Erkennung übergibt, oder das vollständige Rohprotokoll. Wenn die Headererkennung deaktiviert ist oder für dieses bestimmte Protokoll nicht funktioniert, wird das vollständige Rohprotokoll verwendet.
        JSON-Analyse – Reduzieren Skript zum Extrahieren von JSON-Informationen, die Teil einer anderen Textzeichenfolge aus der Roheingabe sind. Die Informationen können beispielsweise eine JSON-Anforderung sein, die als Teil einer längeren inneren Nachricht geschrieben wurde.

        Innere JSON-Abschnitte sind schwierig aufzuteilen. In solchen Fällen kann dieses Skript verwendet werden, um die Schlüssel-Wert-Paare zu „reduzieren“ oder zu analysieren.
        Extrahieren Sie ein neues Feld aus der Roheingabe Skript, das ein neues Feld aus der Roheingabe extrahiert und einen regulären Ausdruck mit Erfassungsgruppen verwendet, um das Muster des neuen Felds zu identifizieren.
        Analysieren Sie das XML-Format Skript zum Extrahieren von Schlüssel-Wert-Paaren aus der XML mithilfe eines regulären Ausdrucks zur Identifizierung des XML-Formats.

        Dieser Prozess ist iterativ. Sie wird wiederholt, bis alle Schlüssel-Wert-Paare gefunden wurden.
        Legen Sie den numerischen Schweregrad als Textwerte fest Skript zum Konvertieren numerischer Schweregradwerte in die entsprechenden textabhängigen Schweregradwerte.
        Hinweis:
        Damit das System den Schweregrad eines Protokolls richtig identifizieren kann, muss der Schweregrad im Textformat angegeben werden. Es dürfen keine numerischen Schweregradwerte verbleiben.
        Trimmfunktion Skript zum Entfernen der doppelten Anführungszeichen, die die Zeichenfolge umgeben, aus dem WERT.

        Sie können diese Funktion anpassen, um alle anderen Zeichen zu entfernen, die den AUSGABEWERT eines Schlüssel-Wert-Paars umgeben.
        Die JavaScript-Funktion zum Verfeinern der Quelltypstruktur verwendet die folgenden Objekte:
        Tabelle : 1. Signatur – Funktionskonstrukt (Beispiel, Ausgabe)
        Objekt Beschreibung
        Beispiel Die innere Nachricht, die aus der Beispielnachricht extrahiert wurde.
        Ausgabe Objekt, das die Schlüssel-Wert-Paarzuordnung enthält.
      2. Testen Sie die JavaScript-Funktion, indem Sie auswählen Testen .
      3. Zeigen Sie das Ergebnis der JavaScript-Funktion in den zugehörigen Listen an, und ändern Sie es bei Bedarf.
        • Die Schlüssel-/Wert-Zuordnung Die Registerkarte zeigt die Auswirkungen Ihrer JavaScript-Funktion in Kombination mit der automatischen Extraktion des Systems auf Ihr Roheingabesample.

          Ändern Sie ggf. Schlüssel.

          • Die Klassifizierung Mit dem Feld können Sie die Klassifizierung einer Eigenschaft zurücksetzen. Die verfügbaren Typen sind:
            Tabelle : 2. Klassifizierung
            Typ Beschreibung Beispiel
            Zähler Eine Eigenschaft mit dieser Klassifizierung erkennt Anomalien in der Anzahl, wie oft die Eigenschaft in jeder Protokollnachricht angezeigt wird. Zeigt Änderungen der Menge dieses Werts als Teil der automatischen Ursachenanalyse an.
            Hinweis:
            Als Zähler klassifizierte Eigenschaften verbrauchen Ressourcen.
            		 Statuscodes, Antwortcodes, Aktionen oder Muster
            Anzeige Eine Eigenschaft mit dieser Klassifizierung erkennt Anomalien in einem numerischen Wert, der kontinuierlich gemeldet wird.
            Hinweis:
            Eigenschaften mit einer Klassifizierung von „Anzeigen“ verbrauchen Ressourcen.
            		 CPU, Arbeitsspeicher oder Antwortzeit
            Anzeige ohne Zeit Eine Eigenschaft mit dieser Klassifizierung erkennt Anomalien in einem numerischen Wert, der nicht kontinuierlich gemeldet wird. Das System benachrichtigt über eine Anomalie in diesem Wert, unabhängig davon, wann die Anomalie aufgetreten ist.
            Hinweis:
            Diese Funktion wird in unterstützt Health Log Analytics Anwendung, Version 20.0.11 – Juli 2021, verfügbar über ServiceNow-Speicher .
            Automatische Ursachenanalyse (nur ARC) Eine Eigenschaft mit dieser Klassifizierung meldet die Eigenschaft als Teil der automatischen Ursachenanalyse einer anderen Anomalie und nicht als Anomalie allein. Anwendername, IP-Adressen, Anwendungskomponenten oder Rechenzentrum
            Ungültig Eine Eigenschaft mit dieser Klassifizierung wird in der automatischen Ursachenanalyse nicht berechnet oder angezeigt.
            Hinweis:
            Eigenschaften, die als ungültige Speicherressourcen klassifiziert sind.
          • Die Zuzuweisende Bezeichnungen Mit dem Feld können Sie eine Eigenschaft für eine Bezeichnung festlegen.
            Tabelle : 3. Bezeichnungen, die zugewiesen werden sollen
            Bezeichnung Beschreibung
            Zeitstempel Die Eigenschaft, die den Zeitstempel des Ereignisses enthält.
            Hinweis:
            Wenn automatisch Erkennung von Headereigenschaften Ist aktiviert, und dem Quelltyp fehlt ein Zeitstempel. Das System extrahiert den Zeitstempel aus dem Transport-Header. Wenn die Headererkennung deaktiviert ist oder für die relevanten Protokollzeilen in der Dateneingabe nicht funktioniert, müssen alle Protokollzeilen die richtigen Zeitstempel haben.
            Schweregrad Die Eigenschaft, die den Schweregrad des Protokolls darstellt.
            Nachricht Die Protokollnachricht. Das System verwendet diese Eigenschaft, um Textmuster in den Daten zu identifizieren.
            Host Die Eigenschaft, die den Host darstellt, von dem das Ereignis gesendet wurde.
            Hinweis:
            Wenn automatisch Erkennung von Headereigenschaften Ist aktiviert, und dem Quelltyp fehlt ein Host. Das System extrahiert den Host aus dem Transport-Header. Wenn die Headererkennung deaktiviert ist oder für die relevanten Protokollzeilen in der Dateneingabe nicht funktioniert, müssen alle Protokollzeilen einen Host haben.
            Externe ID Die Eigenschaft, die als eindeutiger Bezeichner für diesen Ereignistyp dient. Beispiel: Ereignis-ID im Windows-Ereignisprotokoll.
          • Die Benennen Sie den Schlüssel um Mit dem Feld können Sie den Schlüssel umbenennen.
        • Die Ergebnisschlüsselwert Die Registerkarte zeigt, wie Ihre JavaScript-Funktion die Daten verarbeitet hat.
        • Die Dateneingabezuordnungen Auf der Registerkarte werden die Dateneingabezuordnungen für den aktuellen Quelltyp angezeigt.

          Die Zeit des letzten Ereignisses Die Spalte auf dieser Registerkarte zeigt das letzte Datum und die letzte Uhrzeit an, zu der die KI-Engine ein Protokoll für die Dateneingabezuordnung verarbeitet hat. Das System aktualisiert diese Informationen alle fünf Minuten. Wenn Sie wissen, wann das letzte Protokoll für diese Dateneingabezuordnung verarbeitet wurde, können Sie leichter überprüfen, ob Protokolldaten gestreamt werden.

        • Die verbleibenden Registerkarten zeigen Fehler, Nachrichtenextraktionsfehler, Schweregradextraktionsfehler, Zeitstempelextraktionsfehler und lange Eigenschaften an.
        Hinweis:
        Wenn sich Ihre neue JavaScript-Funktion nicht wie erwartet verhält, können Sie die zuletzt veröffentlichte Funktion wiederherstellen, indem Sie auswählen JS-Funktion zurücksetzen Zugehöriger Link.
      4. Wahlweise: Nehmen Sie alle erforderlichen Anpassungen vor, und testen Sie die JavaScript-Funktion dann erneut.
    7. Wählen Sie aus Speichern Sie die Vorlage Option zum Speichern der JavaScript-Funktion.
      Sie können die JavaScript-Funktion entweder als neue Vorlage speichern oder die aktuell ausgewählte Vorlage überschreiben.
      • Um die JavaScript-Funktion als neue Vorlage zu speichern, geben Sie einen neuen Namen in ein Vorlagenname Feld.
      • Zum Überschreiben der derzeit in ausgewählten Vorlage JS-Funktionsvorlagen Feld, lassen Sie das Vorlagenname Feld leer.
    8. Wählen Sie Aus Veröffentlichen Zum Speichern der JavaScript-Funktion in der Datenbank.

    Ergebnisse

    Wenn die JavaScript-Funktion veröffentlicht wird, Health Log Analytics Verwendet es, um zu optimieren, wie Ihre inneren Protokollnachrichten gelesen und Anomalien erkannt werden.

    Das neue Skript wird automatisch der Liste der JS-Funktionsvorlagen hinzugefügt, aus denen Sie auswählen können. Diese Funktion wird in unterstützt Health Log Analytics Anwendung, Version 20.0.11 – Juli 2021, verfügbar über ServiceNow-Speicher .

    Nächste Maßnahme

    Fahren Sie mit fort Verbleibende Setup-Aufgaben für Dateneingabe : Stellen Sie sicher, dass alle Ihre Protokollquellen vorhanden und aktiv sind, und fügen Sie bei Bedarf Zeitstempelformate hinzu.