Détection d’anomalie de journal

Les anomalies sont des comportements anormaux ou inattendus qui se produisent lorsque les activités s’écartent des bases de référence établies. Il existe de nombreux types d’anomalies. Dans cet exemple, le système suit le taux de base de référence (le nombre moyen d’événements par minute) pour un modèle de journal spécifique. Lorsque ce journal généralement inactif génère un pic d’événements, le système détecte l’écart par rapport à la base de référence et génère une alerte.

Analyse de l'intégrité des journaux utilise diverses méthodes pour détecter les anomalies et générer des alertes.

Mesures d'alerte

Analyse de l'intégrité des journaux surveille plusieurs mesures dans le flux de journal pour détecter les comportements anormaux. Chaque mesure est associée à une source unique : la combinaison de l’instance de service et du composant. Lorsque le système identifie un modèle anormal pour une mesure, il génère une alerte.

En tant qu’opérateur, vous pouvez fournir des commentaires sur les alertes générées. Vos commentaires « enseignent » Analyse de l'intégrité des journaux qu’une alerte spécifique est significative ou non pertinente pour vous. L’application augmente alors la priorité de la mesure d’alerte ou la désactive pour réduire le bruit.

Mots clés du lexique

Analyse de l'intégrité des journaux Analyse vos journaux à la recherche de mots pouvant indiquer des problèmes importants. Des mots clés lexicaux tels que « crashed » ou « failed » signalent une condition qui peut mériter notre attention.

Le système définit un seuil pour chaque mot clé lexical en fonction de ce qu’il considère comme le modèle d’occurrence normal et la fréquence de ce mot clé dans vos journaux. Lorsqu’il analyse vos journaux, il trouve toutes les occurrences du mot clé. Si le nombre dépasse le seuil, une alerte est générée. Pour plus d'informations, consultez Afficher les mots clés lexicaux qui génèrent des alertes dans Analyse de l'intégrité des journaux.

Pour plus d’informations sur la gestion des mots-clés globaux, reportez-vous à la section Ajouter, modifier ou supprimer des mots clés lexicaux dans Analyse de l'intégrité des journaux. Pour créer ou supprimer des mots-clés pour un type de source spécifique, reportez-vous à la section Configurer les options de type de source dans Analyse de l'intégrité des journaux.

Corrélations

Les corrélateurs de journal sont des clés ou des valeurs dans les données de journal qui détectent les corrélations entre les alertes. Par exemple, un corrélateur de journal peut détecter quand l’ID d’un périphérique réseau particulier se produit simultanément dans plusieurs avertissements sur différentes instances de service. Pour plus d'informations, consultez Identification des alertes connexes dans les données de journal à l’aide de corrélateurs de journaux dans Analyse de l'intégrité des journaux.

Filtrage avancé des alertes

Ajoutez des filtres avancés d’alerte de journal pour analyser les alertes en ce qui concerne les conditions que vous spécifiez. Les filtres réduisent le bruit en supprimant les alertes qui n’indiquent pas de problème important. Lors du développement d’un filtre, vous pouvez le tester, le mettre à jour, le publier ou l’activer à tout moment. Pour plus d'informations, consultez Créer des filtres avancés d’alerte de journal.

Règles d’alerte personnalisées

Définissez une règle d’alerte d’analyse de journal lorsque vous rencontrez des données de journal qui doivent générer une alerte. La règle d’alerte génère une alerte pour une mesure spécifiée avec un seuil que vous spécifiez et définit les propriétés de l’alerte générée. Pour plus d'informations, consultez À propos des Analyse du journal règles d’alerte.