Comment Analyse de l'intégrité des journaux génère des alertes

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Analyse de l'intégrité des journaux Identifie les schémas dans vos données de journal et apprend les comportements des modèles. Lorsque HLAle moteur AI de détecte un comportement anormal, il envoie un événement à l’application ServiceNow Gestion des événements . En tant qu’opérateur, vous pouvez utiliser ces alertes prédictives pour gérer les problèmes informatiques émergents avant qu’ils n’affectent les utilisateurs.

    Détection d'anomalie de journal

    Il existe de nombreux types d'anomalies (comportement anormal ou inattendu). Dans cet exemple, le système suit le taux de base de référence (nombre moyen d'événements par minute) de messages particuliers. Le graphique montre les valeurs de la veille, dans la zone couleur pêche, et les valeurs d'aujourd'hui sous forme de ligne bleue. Le graphique montre un écart spectaculaire par rapport aux valeurs de base attendues vers 10h10. Ce comportement anormal génère une alerte.

    Figure 1. Comportement anormal
    Anomalie considérée comme un pic dans le taux de messages d’un type particulier.

    Analyse de l'intégrité des journaux utilise diverses méthodes pour détecter les anomalies et générer des alertes.

    Pour plus d’informations, voir Qu’est-ce que la détection d’anomalie ?

    Mesures d'alerte

    Analyse de l'intégrité des journaux surveille plusieurs mesures dans la diffusion du journal pour détecter le comportement anormal. Chaque mesure est associée à une source unique : la combinaison de l’instance de service et du composant. Lorsque le système identifie un modèle anormal pour une mesure, il génère une alerte.

    En tant qu’opérateur, vous pouvez fournir des commentaires sur les alertes générées. Vos commentaires « enseignent » Analyse de l'intégrité des journaux qu’une alerte spécifique est importante ou non pertinente pour vous. L'application augmente alors la priorité de la mesure d'alerte ou la désactive pour réduire le bruit.

    • Une alerte importante est plus susceptible d’être incluse dans un groupe d’analyse de journal lorsque la mesure associée se comporte de manière anormale. Pour plus d'informations, voir Marquer une alerte comme significative
    • Éteignez une alerte pour une source spécifiée afin d'éviter d'autres alertes récurrentes pour les problèmes non importants. Lorsqu'une mesure est désactivée, Analyse de l'intégrité des journaux supprime l'alerte actuelle et toutes les autres alertes basées sur cette mesure du flux. Il arrête également de générer de nouvelles alertes à partir de cette mesure. Pour plus d'informations, consultez Désactiver une alerte sans importance.
    • Lorsque la situation change, vous pouvez renvoyer une mesure significative à son importance par défaut. Vous pouvez également réactiver une mesure désactivée pour que le système commence à générer à nouveau des alertes. Pour plus d'informations, consultez Restaurer une alerte désactivée ou une alerte significative.

    Mots clés du lexique

    Analyse de l'intégrité des journaux analyse vos journaux pour rechercher des mots qui peuvent indiquer des problèmes importants. Les mots clés du lexique tels que « crashed » ou « failed » signalent une condition qui peut nécessiter une attention.

    Le système définit un seuil pour chaque mot clé du lexique qui est basé sur ce qu'il considère comme le modèle d'occurrence normal et la fréquence de ce mot clé dans vos journaux. Lorsqu'il analyse vos journaux, il trouve toutes les occurrences du mot clé. Si le nombre dépasse le seuil, il génère une alerte. Pour plus d'informations, consultez Afficher les mots clés du lexique qui génèrent des alertes.

    Pour plus d'informations sur la gestion des mots clés globaux, consultez Ajouter, modifier ou supprimer des mots clés du lexique Analyse de l'intégrité des journaux. Pour créer ou supprimer des mots clés pour un type de source spécifique, consultez Configurer les options du type de source.

    Corrélations

    Les corrélateurs de journaux sont des clés ou des valeurs dans les données de journal qui détectent les corrélations entre les alertes. Par exemple, un corrélateur de journal peut détecter quand l’ID d’un périphérique réseau particulier se produit simultanément dans plusieurs avertissements sur différentes instances de service. Pour plus d'informations, consultez Identification des relations dans les données de journal à l’aide de corrélateurs de journaux.

    Filtrage avancé d'alerte de journal

    Ajoutez des filtres d'alerte de journal avancés afin d'analyser les alertes pour les conditions que vous spécifiez. Les filtres réduisent le bruit en supprimant les alertes qui ne signalent pas des problèmes importants. Lorsque vous développez un filtre, vous pouvez tester, mettre à jour, publier ou activer le filtre à tout moment. Pour plus d'informations, consultez Créer des filtres avancés d'alerte de journal.

    Règles d'alerte personnalisées

    Définissez une règle d’alerte Log Analytics lorsque vous rencontrez des données de journal qui doivent générer une alerte. La règle d'alerte génère une alerte pour une mesure spécifiée avec un seuil que vous spécifiez et définit les propriétés de l'alerte générée. Pour plus d'informations, consultez Ajouter une règle d'alerte Log Analytics.