Wie Health Log Analytics Warnungen generiert

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Health Log Analytics identifiziert Muster in Ihren Protokolldaten und lernt das Musterverhalten. Wenn die KI-Engine von HLAanomales Verhalten erkennt, sendet sie ein Ereignis an die Anwendung ServiceNow Ereignismanagement. Als -Operator können Sie diese prädikativen Warnungen verwenden, um neu auftretende IT-Probleme zu behandeln, bevor sie sich auf Benutzer auswirken.

    Erkennung von Protokollanomalien

    Es gibt viele Arten von anomalem (anomalem oder unerwartetem) Verhalten. In diesem Beispiel verfolgt das System die Baselinerate bestimmter Nachrichten (durchschnittliche Anzahl der Events pro Minute). Im Diagramm sind die Werte für den Vortag als hell pfirsichfarben-schattierter Bereich und die Werte für heute als blaue Linie dargestellt. Das Diagramm zeigt eine drastische Abweichung von den erwarteten Baselinewerten ungefähr um 10:10 Uhr. Dieses anomale Verhalten generiert eine Warnung.

    Abbildung : 1. Anomales Verhalten
    Anomalie, die als Spitze in der Rate der Nachrichten eines bestimmten Typs erkannt wird.

    Health Log Analytics verwendet verschiedene Methoden, um Anomalien zu erkennen und Warnungen zu generieren.

    Weitere Informationen finden Sie unter Was ist Anomalie-Erkennung?

    Warnungsmetriken

    Health Log Analytics überwacht mehrere Metriken im Protokollstream, um anomales Verhalten zu erkennen. Jede Metrik ist einer eindeutigen Quelle zugeordnet: der Kombination aus Serviceinstanz und Komponente. Wenn das System ein anomales Muster für eine Metrik identifiziert, generiert es eine Warnung.

    Als -Operator können Sie Feedback zu den generierten Warnungen abgeben. Durch Ihr Feedback „lernen“ Health Log Analytics Sie, dass eine bestimmte Warnung für Sie signifikant oder irrelevant ist. Die Anwendung erhöht dann entweder die Priorität der Warnungsmetrik oder schaltet sie stumm, um Rauschen zu reduzieren.

    • Eine signifikante Warnung wird eher in eine Log Analytics-Gruppe aufgenommen, wenn sich die zugehörige Metrik anomal verhält. Weitere Informationen finden Sie unter Warnung als signifikant markieren
    • Schalten Sie eine Warnung für eine angegebene Quelle stumm, um störende neue Warnungen für unwichtige Probleme zu vermeiden. Wenn eine Metrik stummgeschaltet wird, entfernt Health Log Analytics die aktuelle Warnung und alle anderen Warnungen basierend auf dieser Metrik aus dem Feed. Außerdem werden keine neuen Warnungen aus dieser Metrik mehr generiert. Weitere Informationen finden Sie unter Irrelevante Warnungen stummschalten.
    • Wenn sich die Situation ändert, können Sie eine signifikante Metrik auf ihre Standardbedeutung zurücksetzen. Sie können auch eine stummgeschaltete Metrik reaktivieren, damit das System erneut Warnungen generiert. Weitere Informationen finden Sie unter Stummgeschaltete Warnung oder signifikante Warnung wiederherstellen.

    Lexikalische Stichwörter

    Health Log Analytics durchsucht Ihre Protokolle nach Wörtern, die auf wichtige Probleme hinweisen können. Lexikalische Stichwörter wie „Crash“ oder „Failed“ weisen auf eine Bedingung hin, die der Aufmerksamkeit bedarf.

    Das System legt für jedes lexikalische Stichwort einen Schwellenwert fest, der auf den Werten basiert, die es als normales Vorkommensmuster und normale Häufigkeit dieses Stichworts in Ihren Protokollen betrachtet. Beim Scannen Ihrer Protokolle werden alle Vorkommen des Stichworts gefunden. Wenn die Anzahl den Schwellenwert überschreitet, wird eine Warnung generiert. Weitere Informationen finden Sie unter Warnungen generierende lexikalische Stichwörter anzeigen.

    Weitere Informationen über die Verwaltung globaler Stichwörter finden Sie unter Lexikalische Stichwörter für Health Log Analytics hinzufügen, bearbeiten oder löschen. Informationen zum Erstellen oder Löschen von Stichwörtern für einen bestimmten Quelltyp finden Sie unter Quelltypfunktionen konfigurieren.

    Korrelationen

    Protokollkorrelatoren sind Schlüssel oder Werte in Protokolldaten, die Korrelationen zwischen Warnungen erkennen. Beispielsweise könnte ein Protokollkorrelator erkennen, wenn die ID eines bestimmten Netzwerkgeräts gleichzeitig in mehreren Warnungen in verschiedenen Serviceinstanzen vorkommt. Weitere Informationen finden Sie unter Identifizieren von Beziehungen in Protokolldaten mithilfe von Protokollkorrelatoren.

    Erweiterte Warnungsfilterung

    Fügen Sie erweiterte Protokollwarnungsfilter hinzu, um Warnungen nach von Ihnen angegebenen Bedingungen zu scannen. Die Filter reduzieren das Rauschen, indem Warnungen verworfen werden, die kein schwerwiegendes Problem anzeigen. Während der Entwicklung eines Filters können Sie den Filter jederzeit testen, aktualisieren, veröffentlichen oder aktivieren. Weitere Informationen finden Sie unter Erweiterte Protokollwarnungsfilter erstellen.

    Benutzerdefinierte Warnungsregeln

    Definieren Sie eine Log Analytics-Warnungsregel, wenn Sie auf Protokolldaten stoßen, die eine Warnung generieren sollen. Die Warnungsregel generiert eine Warnung für eine angegebene Metrik mit einem von Ihnen angegebenen Schwellenwert und legt die Eigenschaften der generierten Warnung fest. Weitere Informationen finden Sie unter Log Analytics-Warnungsregeln hinzufügen.