Erkennung von Protokollanomalien
Health Log Analytics erkennt Muster in Ihren Protokolldaten und erlernt deren spezifisches Datenverhalten. Wenn ein anomales Muster erkannt wird, wird ein Event an die Anwendung ServiceNow® Ereignismanagement gesendet. Mit diesen vorausschauenden Warnungen können Sie neu auftretende IT-Probleme beheben, bevor Benutzer durch sie beeinträchtigt werden.
Health Log Analytics verwendet verschiedene Methoden, um Anomalien zu erkennen.
Lexikalische Stichwörter
Health Log Analytics durchsucht Ihre Protokolle nach Wörtern, die auf wichtige Probleme hinweisen können. Lexikalische Stichwörter wie „Crash“ oder „Failed“ weisen auf eine Bedingung hin, die der Aufmerksamkeit bedarf.
Das System legt für jedes lexikalische Stichwort einen Schwellenwert fest, der auf den Werten basiert, die es als normales Vorkommensmuster und normale Häufigkeit dieses Stichworts in Ihren Protokollen betrachtet. Beim Scannen Ihrer Protokolle werden alle Vorkommen des Stichworts gefunden. Wenn die Anzahl den Schwellenwert überschreitet, wird eine Warnung generiert.
Weitere Informationen über die Verwaltung globaler Stichwörter finden Sie unter Lexikalische Stichwörter für Health Log Analytics hinzufügen, bearbeiten oder löschen. Informationen zum Erstellen oder Löschen von Stichwörtern für einen bestimmten Quelltyp finden Sie unter Quelltypfunktionen konfigurieren.
Warnungsmetriken
Health Log Analytics überwacht mehrere Metriken, um Anomalien zu erkennen. Wenn ein anomales Muster für eine Metrik identifiziert wird, wird eine Warnung generiert.
Betreiber können Feedback zu den generierten Warnungen abgeben. Anhand Ihres Feedbacks „lernt“ Health Log Analytics, dass eine bestimmte Warnung für sie signifikant oder irrelevant ist. Die Anwendung erhöht dann entweder die Priorität der Warnungsmetrik oder schaltet sie stumm, um Rauschen zu reduzieren.
Wenn eine Metrik stummgeschaltet wird, entfernt Health Log Analytics die aktuelle Warnung und alle anderen Warnungen basierend auf dieser Metrik aus dem Feed. Außerdem werden keine neuen Warnungen aus dieser Metrik mehr generiert. Sie können eine stummgeschaltete Warnungsmetrik erneut aktivieren. Weitere Informationen finden Sie unter Normale Wichtigkeit einer Warnungsmetrik wiederherstellen.
Korrelationen
Protokollkorrelatoren sind Schlüssel oder Werte in Protokolldaten, die Korrelationen zwischen Warnungen erkennen. Zum Beispiel könnte ein Protokollkorrelator erkennen, wenn die Schnittstellen-ID eines bestimmten Netzwerkgeräts gleichzeitig in mehreren Warnungen in verschiedenen Anwendungsservices auftritt. Weitere Informationen finden Sie unter Beziehungen in Protokolldaten mit Protokollkorrelatoren erkennen.
Erweiterte Warnungsfilterung
Fügen Sie erweiterte Protokollwarnungsfilter hinzu, um Warnungen nach von Ihnen angegebenen Bedingungen zu scannen. Die Filter reduzieren das Rauschen, indem Warnungen verworfen werden, die kein schwerwiegendes Problem anzeigen. Während der Entwicklung eines Filters können Sie den Filter jederzeit testen, aktualisieren, veröffentlichen oder aktivieren. Weitere Informationen finden Sie unter Erweiterte Protokollwarnungsfilter erstellen.
Benutzerdefinierte Warnungsregeln
Definieren Sie eine Log Analytics-Warnungsregel, wenn Sie auf Protokolldaten stoßen, die eine Warnung generieren sollen. Die Warnungsregel generiert eine Warnung für eine angegebene Metrik mit einem von Ihnen angegebenen Schwellenwert und legt die Eigenschaften der generierten Warnung fest. Weitere Informationen finden Sie unter Log Analytics-Warnungsregeln hinzufügen.