Terminologia Análise de logs de integridade
Antes de começar com Análise de logs de integridade, é importante se familiarizar com alguns conceitos-chave usados na aplicação.
| Termo | Descrição |
|---|---|
| Alerta | Uma notificação que HLA Gera quando encontra uma anomalia estatisticamente significativa nas métricas com base nos dados de log do seu sistema, indicando um possível problema DE TI. HLA envia esses alertas para Gestão de eventos, onde você pode vê-los em Todos os alertas lista. |
| Anomalia | Comportamento incomum ou inesperado nos dados de log que difere da linha de base do comportamento normal HLA aprendeu com padrões históricos. |
| Linha de base | O modelo estatístico de comportamento normal do seu sistema que HLA aprendeu com padrões de dados de log históricos. Esta linha de base ajuda HLA identificar anomalias. |
| Classificação | Um tipo de dados que determina como o. HLA o mecanismo analisa e processa um campo de log analisado. As classificações disponíveis são: Medidor, medidor, histograma, causa raiz automática (somente ARC), medidor atemporal e inválido. |
| Componente | Representação da menor parte de um instância de serviço , normalmente um único microsserviço, módulo ou daemon. Por exemplo, uma instância de serviço de "fluxo de check-out" pode incluir componentes como cart-service, payment-service e inventory-service. Cada log ou métrica é atribuído a um único componente. Isso garante que anomalias ou incidentes sejam atribuídos a esse componente específico. |
| Item de configuração (IC) | Um item individual em seu ambiente DE TI, como um servidor, banco de dados ou aplicação, que é rastreado e gerenciado no Configuration Management Database (CMDB). |
| Configuration Management Database (CMDB) | O banco de dados central em ServiceNow Que armazena e gerencia informações sobre todos os ICs e seus relacionamentos. Este banco de dados fornece HLA com o contexto necessário para correlacionar logs, anomalias e alertas a serviços específicos. |
| Correlação | O processo de conectar eventos de log relacionados, anomalias e alertas. Usando fatores como padrões e relacionamentos definidos no CMDB relacionamentos de serviço, HLA identifica uma causa raiz compartilhada e reduz o "ruído". |
| Entrada de dados | Um conector configurável que habilita HLA para coletar, transformar e ingerir dados de log de fontes externas. Nota: O termo entrada de dados é usado em HLA Registros de interface clássica (UI16) e back-end de. Consulte também: Integração . |
| Mapeamento de dados de entrada | O processo de mapeamento de dados brutos de log para sua origem de log específica, habilitando HLA para conectar logs à instância de serviço e componente correspondentes para análise com contexto completo. Isso também envolve mapear seus dados brutos de log para tipos de origem HLA pode entender o formato e a estrutura de seus logs. Nota: O termo entrada de dados é usado em HLA Registros de interface clássica (UI16) e back-end de. Consulte também: Integração . Para obter uma descrição da interface de mapeamento simplificada no novo HLA IU, consulte: Mapeamento de contexto de log . |
| Algoritmo de detecção | A lógica estatística ou de aprendizado de máquina que HLA usados para analisar métricas e padrões para identificar comportamento anômalo. Os exemplos incluem detecção baseada em sigma, análise de tendências e comparação com uma linha de base. |
| Enriquecimento | O processo de adicionar informações contextuais extras aos dados brutos de log para torná-los mais significativos e acionáveis para análise. O aprimoramento ajuda HLA conete eventos técnicos ao possível impacto em seus negócios. |
| Alertas agrupados | Uma coleção de alertas relacionados que são combinados em um único grupo para reduzir o ruído e simplificar a triagem. |
| incidente | Um registro criado em ServiceNow quando alertas correlacionados apontam para uma interrupção significativa em um serviço, exigindo investigação e resolução. |
| Integração | Um conector configurável que estabelece pipelines de dados assim HLA pode coletar, transformar e ingerir dados de log de fontes externas. A configuração de integrações é feita por meio do Launchpad de integrações, o que reduz significativamente o tempo de implementação em comparação com a configuração de entrada de dados manual. Nota: O termo integração é usado em HLA Nova experiência de IU e registros de front-end de. Consulte também: Entrada de dados . |
| Launchpad de integrações | Uma estrutura que fornece fluxos de trabalho de configuração de integração para conectar fontes de dados de log externas ao HLA. A configuração de integrações por meio do Launchpad de integrações reduz significativamente o tempo de implementação em comparação com a configuração de entrada de dados manual. |
| Rótulo | Um identificador semântico atribuído a propriedades de log comuns, como MENSAGEM, HOST, CARIMBO DE DATA/HORA, GRAVIDADE, e EVENT-ID. Os rótulos informam HLA qual função um campo de log analisado desempenha na estrutura de log. |
| Palavras-chave lexicais | Palavras específicas encontradas nos dados de log, como "travado" ou "com falha", que podem apontar para problemas importantes. HLA rastreia palavras-chave lexicais para detectar problemas generalizados e tendências de longa formação. Para obter mais informações, consulte: Adicione, edite ou exclua palavras-chave lexical em Análise de logs de integridade. |
| Mapeamento do contexto de logs | O processo de mapear seus dados brutos de log para a origem de log apropriada, habilitando HLA para conectar logs à instância de serviço correspondente e ao componente para análise contextualizada. A interface de mapeamento de contexto de log amigável no novo HLA A IU se concentra somente no contexto de serviço. É mais simples de usar do que o mapeamento de entrada de dados no HLA Da interface clássica (UI16), que também inclui a configuração do tipo de origem. Consulte também: Mapeamento de entrada de dados . |
| Ingestão de log | O processo de streaming de logs de servidores e endpoints ou repositórios de log para HLA, usando conectores ou integrações de entrada de dados. |
| Propriedade de log | Um elemento de dados estruturados, como carimbo de data/hora, gravidade ou código de erro, que é extraído de uma entrada de log. |
| Origem de log | Uma representação lógica da origem dos dados de log que HLA ingere. Cada origem de log é definida por um instância de serviço - componente par. HLA executa a detecção de anomalias e gera alertas sobre problemas no escopo de cada origem de log individual. |
| Visualizador de logs | Uma interface em HLA isso permite pesquisar, filtrar e examinar dados de log brutos ou analisados de várias fontes. O Visualizador de logs ajuda você a investigar eventos e a entender melhor o comportamento do seu sistema. |
| Métrica | Uma medição quantificável extraída dos dados de log em HLA. HLA Compatível com vários tipos de métrica genérica, como MEDIDOR (contagem de eventos), MEDIDOR (valor numérico) e HISTOGRAMA (bucket de distribuição). Ele usa os dados de log extraídos para criar automaticamente métricas baseadas em padrão de mensagem (MEDIDOR), métricas de gravidade (MEDIDOR), métricas de palavra-chave (MEDIDOR) e métricas de log bruto (MEDIDOR, MEDIDOR e HISTOGRAMA). Cada métrica é associada a uma origem de log específica e monitorada quanto a comportamento anômalo. |
| MID Server | Um agente intermediário que facilita a comunicação segura entre origens de log no local ou na nuvem privada e o. ServiceNow instância. Isso habilita HLA para coletar dados de log com segurança de ambientes que a instância não pode acessar diretamente. |
| Análise | O processo de extrair campos de dados estruturados significativos de entradas de log brutos. HLA O usa seus recursos de análise automática e extração automática para analisar os logs, o que permite análise, correlação e visualização eficazes dos dados. |
| Padrão | Um formato recorrente encontrado em mensagens de log (campos de texto livre nos registros de log). HLA agrupa mensagens de log semelhantes que compartilham este formato em um padrão. Em seguida, ele monitora a frequência com que esse padrão ocorre para estabelecer o comportamento normal do sistema e detectar anomalias. Nota: HLA Executa monitoramento de padrão e detecção de anomalias somente em propriedades de log rotuladas como MENSAGEM. |
| Dados brutos de log | As entradas de log originais não processadas coletadas de fontes externas, que HLA antes de analisar e analisar. |
| RCA (Análise de causa raiz) | Uma análise automatizada que identifica fatores significativos, entidades e destaques que contribuíram para um alerta ou incidente, ajudando a identificar a causa subjacente. |
| Instância de serviço (antigo serviço de aplicações) | Um agrupamento lógico de itens de configuração (ICs), como servidores, bancos de dados e aplicações, que fornecem coletivamente um serviço de negócios completo. No HLA, os dados de log são correlacionados às instâncias de serviço para fornecer uma exibição abrangente e em tempo real da integridade e do desempenho operacional. Nota: Uma única instância de serviço pode consistir em vários ICs, enquanto os mesmos ICs podem fazer parte de várias instâncias de serviço. |
| Gravidade | Uma classificação em HLA que indica o nível de impacto ou urgência de um alerta. Isso ajuda os operadores a priorizar quais problemas investigar e resolver primeiro. |
| Tipo de origem | Um perfil de configuração para um tipo de dados de log que determina como HLA interpreta, analisa e extrai campos de logs desse formato e prepara os dados para processamento. Pense nisso como revelador HLA: "Aqui está um tipo específico de log e veja como você deve processá-lo." |
| Estrutura do tipo de origem | Um modelo em um Tipo de origem que define os campos e sua organização em logs desse tipo específico. A estrutura do tipo de origem garante isso HLA pode extrair e entender consistentemente os dados de entrada. Pense nisso como revelador HLA: "Esta parte deste log é o carimbo de data/hora." "Esta parte é a gravidade." "Esta parte é o código de erro" e assim por diante. |
| Marcador | Metadados aplicados a logs, métricas ou alertas. Os marcadores são usados para categorização, filtragem e correlação. |
| Série temporal | Uma sequência de valores de métrica registrados em ordem cronológica ao longo de um período de tempo. Esses dados são usados para identificar tendências, sazonalidade e anomalias. |
| Extração de variável | O processo de identificar e extrair campos dinâmicos definidos pelo usuário de mensagens de log para habilitar métricas e análises personalizadas no HLA. |