Terminologie de Analyse de l'intégrité des journaux
Avant de commencer avec Analyse de l'intégrité des journaux, il est important de vous familiariser avec certains concepts clés utilisés dans l’application.
| Terme | Description |
|---|---|
| Alerte | Une notification qui HLA se génère lorsqu’elle détecte une anomalie statistiquement significative dans les mesures d’après les données de journal de votre système, indiquant un problème informatique potentiel. HLA envoie ces alertes à , Gestion des événements où vous pouvez les afficher dans la liste Toutes les alertes . |
| Anomalie | Comportement inhabituel ou inattendu dans les données de journal qui diffère de la base de référence du comportement normal appris HLA des schémas historiques. |
| Base de référence | Modèle statistique du comportement normal de votre système qui HLA a appris des modèles de données de journal historiques. Cette base de référence permet d’identifier HLA les anomalies. |
| Classification | Type de données qui détermine la façon dont le HLA moteur analyse et traite un champ de journal analysé. Les classifications disponibles sont : Mètre, Jauge, Histogramme, Cause première automatique (ARC uniquement), Jauge classique et Non valide. |
| Composant | Représentation de la plus petite partie d’une instance de service, généralement un micro-service, un module ou un démon unique. Par exemple, une instance de service « flux de paiement » peut inclure des composants tels que service de panier, service de paiement et service d’inventaire. Chaque journal ou mesure est affecté à un seul composant. Cela garantit que les anomalies ou les incidents sont attribués à ce composant spécifique. |
| Élément de configuration (CI) | Élément individuel de votre environnement informatique, tel qu’un serveur, une base de données ou une application, qui est suivi et géré dans le Base de données de gestion des configurations (CMDB). |
| Base de données de gestion des configurations (CMDB) | Base de données ServiceNow centrale qui stocke et gère les informations sur tous les CI et leurs relations. Cette base de données fournit HLA le contexte nécessaire pour corréler les journaux, les anomalies et les alertes à des services spécifiques. |
| Corrélation | Processus de connexion des événements du journal, des anomalies et des alertes connexes. En utilisant des facteurs tels que les modèles et les relations définis dans les relations de service, HLA permet d’identifier une cause première commune et de réduire le CMDB bruit. |
| Entrée de données | Connecteur configurable qui permet HLA de collecter, transformer et ingérer des données de journal à partir de sources externes. Remarque : Le terme entrée de données est utilisé dans HLA l’interface classique de (UI16) et les enregistrements back-end de . Voir aussi : Intégration. |
| Mappage d'entrée de données | Processus de mappage des données de journal brutes à leur source de journal spécifique, permettant HLA de connecter les journaux à l’instance de service et au composant correspondants pour une analyse en contexte complet. Cela implique également de mapper vos données de journal brutes à des types de sources afin HLA de pouvoir comprendre le format et la structure de vos journaux. Remarque : Le terme entrée de données est utilisé dans HLA l’interface classique de (UI16) et les enregistrements back-end de . Voir aussi : Intégration. Pour obtenir une description de l’interface de mappage simplifiée dans la nouvelle HLA interface utilisateur, consultez : Mappage de contexte de journal. |
| Algorithme de détection | Logique statistique ou d’apprentissage machine utilisée HLA pour analyser les mesures et les schémas afin d’identifier les comportements anormaux. Par exemple, la détection basée sur Sigma, l’analyse des tendances et la comparaison avec une base de référence. |
| Enrichissement | Processus qui consiste à ajouter des informations contextuelles supplémentaires aux données du journal brut afin de les rendre plus pertinentes et exploitables pour l’analyse. L’enrichissement permet de HLA relier les événements techniques à leur impact potentiel sur votre entreprise. |
| Alertes groupées | Collection d’alertes connexes qui sont combinées en un seul groupe pour réduire le bruit et simplifier le triage. |
| Incident | Enregistrement créé dans ServiceNow lorsque des alertes corrélées indiquent une interruption importante d’un service, nécessitant une enquête et une résolution. |
| Intégration | Connecteur configurable qui établit des pipelines de données permettant HLA ainsi de collecter, transformer et ingérer des données de journal provenant de sources externes. La configuration des intégrations s’effectue via la zone de lancement des intégrations, ce qui réduit considérablement le temps d’implémentation par rapport à la configuration manuelle des entrées de données. Remarque : Le terme intégration est utilisé dans HLA les enregistrements front-end et expérience d’interface utilisateur de . Voir aussi : Entrée de données. |
| Zone de lancement des intégrations | Cadre de travail qui fournit des workflows de configuration d’intégration pour connecter des sources de données de journal externes à HLA. La configuration des intégrations via la zone de lancement des intégrations réduit considérablement le temps d’implémentation par rapport à la configuration manuelle des entrées de données. |
| Étiquette | Identificateur sémantique affecté aux propriétés de journal courantes, telles que MESSAGE, HOST, TIMESTAMP, SEVERITY et EVENT-ID. Les étiquettes indiquent HLA le rôle qu’un champ de journal analysé joue dans la structure du journal. |
| Mots clés du lexique | Des mots spécifiques trouvés dans les données de journal, tels que « planté » ou « échec », qui peuvent indiquer des problèmes importants. HLA Suit les mots clés lexicaux pour détecter les problèmes répandus et les tendances anciennes. Pour plus d’informations, voir : Ajouter, modifier ou supprimer des mots clés lexicaux dans Analyse de l'intégrité des journaux. |
| Mappage du contexte du journal | Processus de mappage de vos données de journal brutes à la source de journal appropriée, permettant HLA de connecter les journaux à leur instance de service et à leur composant correspondants pour une analyse contextualisée. L’interface conviviale de mappage du contexte du journal dans la nouvelle HLA interface utilisateur se concentre uniquement sur le contexte de service. Il est plus simple à utiliser que le mappage d’entrée de données dans HLA l’interface classique de (UI16), qui inclut également la configuration du type de source. Voir aussi : Mappage des entrées de données. |
| Ingestion de journaux | Processus de diffusion des journaux depuis les serveurs et les points de terminaison ou les référentiels de journaux vers HLA, à l’aide de connecteurs d’entrée de données ou d’intégrations. |
| Propriété du journal | Élément de données structurées, tel qu’un horodatage, une gravité ou un code d’erreur, extrait d’une entrée de journal. |
| Source de journaux | Représentation logique de la source des données de journal ingérées HLA . Chaque source de journal est définie par une paire instance de service-composant.HLA Effectue la détection des anomalies et génère des alertes sur les problèmes dans le périmètre de chaque source de journal individuelle. |
| Visionneuse de journaux | Interface qui HLA vous permet de rechercher, filtrer et examiner des données de journal brutes ou analysées provenant de plusieurs sources. La visionneuse de journaux vous aide à examiner les événements et à mieux comprendre le comportement de votre système. |
| Mesure | Une mesure quantifiable extraite des données de journal dans . HLA prend en HLA charge divers types de mesures génériques, tels que METER (nombre d’événements), GAUGE (valeur numérique) et HISTOGRAM (compartiment de distribution). Il utilise les données de journal extraites pour créer automatiquement des mesures basées sur des modèles de messages (METER), des mesures de gravité (METER), des mesures de mots clés (METER) et des métriques de journal brut (METER, GAUGE et HISTOGRAM). Chaque mesure est associée à une source de journal spécifique et les comportements anormaux sont surveillés. |
| Serveur MID | Agent intermédiaire qui facilite la communication sécurisée entre les sources de journaux sur site ou dans le cloud privé et l’instance ServiceNow . Il permet HLA de collecter des données de journal en toute sécurité à partir d’environnements auxquels l’instance ne peut pas accéder directement. |
| Analyse | Processus d’extraction de champs de données structurés et significatifs à partir d’entrées de journal brutes. HLA utilise ses options d’analyseur automatique et d’extraction automatique pour analyser les journaux, ce qui permet ensuite une analyse, une corrélation et une visualisation efficaces des données. |
| Modèle | Format récurrent que l’on trouve dans les messages du journal (champs de texte libre dans les enregistrements du journal). HLA Regroupe des messages de journal similaires qui partagent ce format dans un modèle. Il surveille ensuite la fréquence à laquelle ce modèle se produit pour établir un comportement normal du système et détecter les anomalies. Remarque : HLA effectue uniquement la surveillance des modèles et la détection des anomalies sur les propriétés de journal étiquetées MESSAGE. |
| Données de journal brutes | Entrées de journal d’origine non traitées collectées à partir de sources externes, qui HLA sont ingérées avant l’analyse et l’analyse. |
| Analyse de la cause première (RCA) | Analyse automatisée qui identifie les facteurs significatifs, les entités et les points forts qui ont contribué à une alerte ou à un incident, aidant à identifier la cause sous-jacente. |
| Instance de service (anciennement service d’application) | Regroupement logique d’éléments de configuration (CI), tels que des serveurs, des bases de données et des applications, qui fournissent collectivement un service d’entreprise complet. Dans HLA, les données de journal sont corrélées aux instances de service pour fournir une vue complète en temps réel de leur intégrité et de leurs performances opérationnelles. Remarque : Une seule instance de service peut être composée de plusieurs CI, tandis que les mêmes CI peuvent faire partie de plusieurs instances de service. |
| Gravité | Classification HLA indiquant le niveau d’impact ou d’urgence d’une alerte. Cela aide les opérateurs à hiérarchiser les problèmes à examiner et à résoudre en premier. |
| Type de source | Profil de configuration pour un type de données de journal qui détermine comment HLA interpréte, analyse et extrait les champs des journaux de ce format et prépare les données pour le traitement. Pensez-y comme disant HLA: « Voici un type de journal spécifique, et voici comment vous devriez le traiter. » |
| Structure de type de source | Modèle dans un type de source qui définit les champs et leur disposition dans les journaux de ce type spécifique. La structure de type de source garantit une HLA extraction et une compréhension cohérentes des données entrantes. Pensez-y comme à dire HLA: « Cette partie de ce journal est l’horodatage. » « Cette partie est la gravité. » « Cette partie est le code d’erreur », et ainsi de suite. |
| Balise | Métadonnées appliquées aux journaux, aux mesures ou aux alertes. Les balises sont utilisées pour la catégorisation, le filtrage et la corrélation. |
| Séries chronologiques | Une séquence de valeurs de mesures enregistrées par ordre chronologique sur une période de temps. Ces données sont utilisées pour identifier les tendances, la saisonnalité et les anomalies. |
| Extraction de variable | Processus d’identification et d’extraction de champs dynamiques définis par l’utilisateur à partir des messages du journal pour activer des mesures et des analyses personnalisées dans HLA. |