Fügen Sie erweiterte Protokollwarnungsfilter hinzu, um Warnungen nach von Ihnen angegebenen Bedingungen zu scannen. Die Filter reduzieren das Rauschen, indem Warnungen verworfen werden, die kein schwerwiegendes Problem anzeigen. Während der Entwicklung eines Filters können Sie den Filter jederzeit testen, aktualisieren, veröffentlichen oder aktivieren.
Vorbereitungen
Erforderliche Rolle: admin
Die Funktionen „Disable Alert Rule Engine“ (Warnungsregel-Engine deaktivieren) und „Disable Detection Rule Engine“ (Erkennungsregel-Engine deaktivieren) müssen sich im Status AUS befinden. Sie legen die Werte fest, indem Sie zu navigieren Health Log Analytics > Health Predictive AI Ops-Administration > Funktionen.
Erforderliche Rolle: evt_mgmt_operator oder evt_mgmt_admin
Prozedur
Navigieren zu Health Log Analytics > Anomalie-Erkennung protokollieren > Erweiterter Protokollwarnungsfilter.
Wählen Sie Neu.
Geben Sie einen eindeutigen und beschreibenden Namen für den Filter an.
Wahlweise: Geben Sie eine Beschreibung für den Betrieb des Filters ein.
Wählen Sie im Feld Skriptvorlage das Skript aus, das Ihrer beabsichtigten Logik am ehesten entspricht.
Die Vorlage kann als Ausgangspunkt für Ihren benutzerdefinierten Skriptcode dienen.
Nachdem Sie eine Vorlage ausgewählt haben, wird das Textfeld Benutzerdefinierte JS-Funktionen mit der entsprechenden JavaScript-Funktion ausgefüllt. Die JavaScript-Funktion wendet den Filter auf die Nutzlastdaten der Warnung an und lässt die Warnung entweder zu oder fallen. Die Warnungsnutzlast besteht aus dem Text und den Metadaten für die Art der Warnung, die der Filter analysiert.
Speichern Sie den Datensatz, indem Sie Absenden auswählen.
Um weiterhin die Filter ändern zu können, müssen Sie den Datensatz aus der Filterliste wieder öffnen. Sie können den Filter dann bearbeiten, testen, veröffentlichen und aktivieren.
Bearbeiten Sie den Standardtext der Warnungsnutzlast, um die beabsichtigte Logik zu testen.
Um Ihre Änderungen zu entfernen und das Textfeld „Warnungsnutzlast“ wiederherzustellen, klicken Sie auf Zurücksetzen.
Um es Ihnen leichter zu machen, bietet Health Log Analytics Beispielwarnungen mit vorkonfigurierten Nutzlasten. Wählen Sie eine Beispielwarnung im Feld Beispielwarnung aus, um die Nutzlast im Textfeld „Warnungsnutzlast“ anzuzeigen.
Wahlweise: Speichern Sie die aktuellen Werte des Filters ohne Tests, indem Sie Aktualisieren auswählen.
Wenn Ihr Inhalt für die Warnungsnutzlast und Ihre JavaScript-Funktion abgeschlossen sind, wählen Sie Test.
Um den Warnungsvorgang zu simulieren, speichert das System die Filterwerte, wendet den Filter auf den Text der Warnungsnutzlast an und zeigt dann eines der folgenden Ergebnisse an:
Warnung wird verworfen.
Warnung ist zulässig.
Abbildung : 1. JavaScript testen, um festzustellen, ob die Warnung zugelassen oder verworfen wird
Hinweis:
Wenn sich Ihre neue JavaScript-Funktion nicht wie erwartet verhält, können Sie zur zuletzt veröffentlichten Funktion zurückkehren, indem Sie auf den zugehörigen Link JS-Funktion zurücksetzen klicken.
Wiederholen Sie den Vorgang zum Aktualisieren der Warnungsnutzlast und zum Testen der JavaScript-Funktion so oft wie erforderlich.
Wenn Sie mit dem Filter zufrieden sind, speichern Sie seine Werte, und bestimmen Sie, ob er auf den Protokollstream angewendet werden soll.
Um die Werte zu speichern und den Filter auf den Protokollstream anzuwenden, stellen Sie sicher, dass das Kontrollkästchen Aktiv aktiviert ist, und wählen Sie Veröffentlichen.
Um den Filter zu speichern, ohne ihn auf den Protokollstream anzuwenden, deaktivieren Sie das Kontrollkästchen Aktiv und wählen Veröffentlichen.
Hinweis:
Wenn Sie einen veröffentlichten Filter bearbeiten, müssen Sie den geänderten Filter veröffentlichen, um ihn auf den Protokollstream anzuwenden.
Ergebnisse
Die Werte des aktiven Filters werden gespeichert. Wenn Sie die Option „Aktiv“ wählen, wird der Filter auf den Protokollstream angewendet.