Ajouter, modifier ou supprimer des mots clés du lexique Analyse de l'intégrité des journaux

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Gérez les mots clés recherchés par Analyse de l'intégrité des journaux dans vos données de journal.

    Avant de commencer

    Rôle requis : evt_mgmt_operator ou evt_mgmt_admin

    Pourquoi et quand exécuter cette tâche

    Dans les données de journal, les termes tels que « crash » ou « failure » sont appelés mots clés du lexique, car ils indiquent des problèmes qui peuvent nécessiter une attention. Lorsque le texte dans les données de journal d'une source correspond à un mot clé du lexique qui dépasse un seuil de nombre spécifié, le système identifie une anomalie et génère une alerte.

    Important :
    Un mot clé du lexique diffère d'une clé dans une paire clé:valeur dans une ligne de journal. Par exemple, le nom d'hôte est une clé qui prend une valeur : le nom ou l'adresse IP de l'hôte. En revanche, un mot clé comme Failed est important par lui-même et ne prend pas de valeur.
    L'application est fournie avec de nombreux mots clés globaux par défaut. Vous pouvez ajouter, modifier et supprimer des mots clés ou des expressions globales. Ces mots clés s'appliquent à tous les types de sources.
    Remarque :
    Pour ajouter un mot clé spécifié associé à un type de source spécifique, consultez Configurer les options du type de source.

    Procédure

    1. Accédez à la Tous > Analyse de l'intégrité des journaux > Détection d'anomalie de journal > Mots clés du lexique.
      Par défaut, la table Mots clés du lexique répertorie uniquement les mots clés globaux.
    2. Facultatif : Ajoutez un mot clé global.
      1. Sélectionnez Nouveau.
      2. Renseignez les champs du formulaire.
        Tableau 1. Formulaire Mot clé du lexique
        Champ Description
        Nom Nom unique et descriptif pour le mot clé.
        Expression régulière Expression régulière (regex) qui définit les correspondances.
        Correspondance exacte Option permettant de faire correspondre Analyse de l'intégrité des journaux avec la regex exacte. Par exemple, « NullPointerException » dans un message ne correspond pas à la regex « exception ».

        Ce champ est automatiquement défini sur true.
        Sensible à la casse Option permettant à Analyse de l'intégrité des journaux de rechercher une correspondance sensible à la casse de la regex.

        Ce champ est automatiquement défini sur false.
        Plage d'analyse Plage de types de sources où Analyse de l'intégrité des journaux recherche le mot clé dans les données du journal. Les choix sont les suivants :
        • Tous les types de sources
        • Type de source spécifié
        Types de sources exclues Types de sources qui ne sont pas associés au mot clé. Analyse de l'intégrité des journaux ne recherche pas le mot clé dans les données de journal de ces types de sources.
      3. Sélectionnez Soumettre.
    3. Facultatif : Modifiez un mot clé global.
      1. Cliquez sur le mot clé que vous souhaitez modifier dans la liste.
      2. Dans le formulaire, modifiez les champs adéquats.
      3. Sélectionnez Mettre à jour.
    4. Facultatif : Supprimez un ou plusieurs mots clés globaux.
      1. Sélectionnez les lignes des mots clés que vous souhaitez supprimer.
      2. Dans la liste Actions sur les lignes sélectionnées en bas de la page, sélectionnez Supprimer.
      3. Sélectionnez OK.