Détection d'anomalie de journal
Analyse de l'intégrité des journaux détecte des modèles dans vos données de journal et apprend leur comportement de données unique. Lorsqu'il trouve un modèle anormal, il envoie un événement à l'application ServiceNow® Gestion des événements. Vous pouvez utiliser ces alertes prédictives pour gérer des problèmes informatiques émergents avant qu'ils n'impactent les utilisateurs.
Analyse de l'intégrité des journaux utilise diverses méthodes pour détecter les anomalies.
Mots clés du lexique
Analyse de l'intégrité des journaux analyse vos journaux pour rechercher des mots qui peuvent indiquer des problèmes importants. Les mots clés du lexique tels que « crashed » ou « failed » signalent une condition qui peut nécessiter une attention.
Le système définit un seuil pour chaque mot clé du lexique qui est basé sur ce qu'il considère comme le modèle d'occurrence normal et la fréquence de ce mot clé dans vos journaux. Lorsqu'il analyse vos journaux, il trouve toutes les occurrences du mot clé. Si le nombre dépasse le seuil, il génère une alerte.
Pour plus d'informations sur la gestion des mots clés globaux, consultez Ajouter, modifier ou supprimer des mots clés du lexique Analyse de l'intégrité des journaux. Pour créer ou supprimer des mots clés pour un type de source spécifique, consultez Configurer les options du type de source.
Mesures d'alerte
Analyse de l'intégrité des journaux surveille plusieurs mesures pour détecter les anomalies. Lorsqu'il identifie un modèle anormal pour une mesure, il génère une alerte.
Les opérateurs peuvent fournir des commentaires sur les alertes générées. Leurs commentaires « enseignent » à Analyse de l'intégrité des journaux qu'une alerte spécifique est significative ou non pertinente pour lui. L'application augmente alors la priorité de la mesure d'alerte ou la désactive pour réduire le bruit.
Lorsqu'une mesure est désactivée, Analyse de l'intégrité des journaux supprime l'alerte actuelle et toutes les autres alertes basées sur cette mesure du flux. Il arrête également de générer de nouvelles alertes à partir de cette mesure. Vous pouvez réactiver une mesure d'alerte désactivée. Pour plus d'informations, consultez Restaurer l'importance normale d'une mesure d'alerte.
Corrélations
Corrélateurs de journaux sont des clés ou des valeurs dans les données de journal qui détectent des corrélations entre les alertes. Par exemple, un corrélateur de journaux peut détecter quand l'ID d'interface d'un périphérique réseau spécifique se produit simultanément dans plusieurs avertissements sur différents services d'application. Pour en savoir plus, consultez Utiliser les corrélateurs de journaux pour détecter les relations dans les données de journal.
Filtrage avancé d'alerte de journal
Ajoutez des filtres d'alerte de journal avancés afin d'analyser les alertes pour les conditions que vous spécifiez. Les filtres réduisent le bruit en supprimant les alertes qui ne signalent pas des problèmes importants. Lorsque vous développez un filtre, vous pouvez tester, mettre à jour, publier ou activer le filtre à tout moment. Pour en savoir plus, consultez Créer des filtres avancés d'alerte de journal.
Règles d'alerte personnalisées
Définissez une règle d’alerte Log Analytics lorsque vous rencontrez des données de journal qui doivent générer une alerte. La règle d'alerte génère une alerte pour une mesure spécifiée avec un seuil que vous spécifiez et définit les propriétés de l'alerte générée. Pour en savoir plus, consultez Ajouter une règle d'alerte Log Analytics.