Über Log Analytics Warnungsregeln
Health Log Analytics( HLA) Erkennt Anomalien automatisch, indem Sie aus Ihren Protokolldaten lernen. Die automatische Erkennung funktioniert jedoch nicht für alle Protokolltypen gleich gut. Einige Protokolle benötigen eine anwenderdefinierte Warnungsregel, um Warnungen zuverlässig zu generieren.
HLA Sortiert eingehende Protokollmuster in drei Gruppen: Lebhaft, dünn und gestoppt. Es verwendet eine andere Erkennungslogik für jede Gruppe. Unregelmäßige Protokolle werden als dünn behandelt. Für dünn besiedelte Protokolle, HLA Verwendet eine Wahrscheinlichkeitsbasierte Methode anstelle einer standardmäßigen Anomaliebewertung. Dies geschieht durch Design: Die Verwendung einer Standardbewertung für ein Protokoll, das nur ab und zu angezeigt wird, würde zu unzuverlässigen Ergebnissen führen. Daher generieren Protokolle mit zu wenig Daten möglicherweise keine Warnungen, da HLA Engine verfügt nicht über genügend, um ein normales Muster herzustellen.
Wann eine anwenderdefinierte Warnungsregel verwendet werden soll
| Szenario | ML-Erkennung | Anwenderdefinierte Regel |
|---|---|---|
| Hochfrequenzprotokolle mit sich ändernden Mustern | Ausreichend | Optional |
| Niederfrequente oder regelmäßige Protokolle | Unzuverlässig | Vorgeschlagen |
| Bekannte kritische Bedingungen | Nicht zutreffend | Erforderlich |
Beispiele
Die folgenden Beispiele zeigen, wie der Typ der Protokolldaten bestimmt, ob eine anwenderdefinierte Warnungsregel erforderlich ist.
- Hochfrequenzprotokolle: Eine Anwendung schreibt Hunderte von Protokolleinträgen pro Stunde. HLA Erstellt schnell ein zuverlässiges Muster und warnt, wenn sich das Verhalten ändert. Eine anwenderdefinierte Regel ist nicht erforderlich, Sie können jedoch eine zur Warnung unter einer bestimmten Bedingung hinzufügen.
- Unregelmäßige Protokolle: Jede Nacht wird ein Batch-Auftrag ausgeführt und schreibt eine kleine Anzahl von Protokolleinträgen. HLA Aus so wenigen Daten kann kein zuverlässiges Muster erstellt werden. Definieren Sie eine anwenderdefinierte Regel, um sicherzustellen, dass Warnungen generiert werden, wenn der Auftrag fehlschlägt oder sich unerwartet verhält.
- Bekannte kritische Bedingungen: Ein bestimmter Fehlercode darf niemals in Ihren Protokollen angezeigt werden. HLA Möglicherweise nicht automatisch gekennzeichnet. Definieren Sie eine anwenderdefinierte Regel, die jedes Mal, wenn der Fehlercode angezeigt wird, eine Warnung generiert.