Identifizieren von Beziehungen in Protokolldaten mithilfe von Protokollkorrelatoren

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Protokollkorrelatoren sind Schlüssel oder Werte in Protokolldaten, die Korrelationen zwischen Warnungen erkennen, um Ihnen zu helfen, zu bestimmen, ob eine Warnung Teil eines größeren Problems ist. Beispielsweise könnte ein Protokollkorrelator erkennen, wenn die Schnittstellen-ID eines bestimmten Netzwerkgeräts gleichzeitig in mehreren Warnungen in verschiedenen Serviceinstanzen vorkommt.

    Sie können zugehörige Warnungen in Ihren Protokolldaten mithilfe von Protokollkorrelatoren identifizieren. Das Basissystem enthält mehrere Protokollkorrelatoren, und Sie können anwenderdefinierte Korrelatoren für eine bestimmte Protokollquelle, alle Protokollquellen oder nur Protokollquellen definieren, die nach der Aktivierung des Korrelators erstellt wurden.

    Die meisten Protokollzeilen enthalten einen Metadatenteil sowie einen Nachrichtenteil. Einige Protokollzeilen enthalten jedoch nur Nachrichtentext mit darin enthaltenen Metadaten. Mit den beiden Arten von Protokollkorrelatoren, Freitextkorrelatoren und Protokolleigenschaftskorrelatoren, werden die verschiedenen Teile jedes Protokolls analysiert, damit Beziehungen zwischen Protokolldaten aus mehreren Protokollquellen identifiziert werden können.

    Freitextkorrelatoren

    Freitextkorrelatoren analysieren den Text im Protokollnachrichtenteil von Protokollzeilen, die einer Anomalie zugeordnet sind. Das System verwendet Freitextkorrelatoren, um Korrelationen zwischen Warnungen zu identifizieren. Sie verwenden Freitextkorrelatoren, um einen Begriff hinzuzufügen, der in Protokollnachrichten erwartet wird. Eine gute Wahl ist ein Begriff, der nicht strukturiert ist und andernfalls nicht als Protokolleigenschaft extrahiert würde. Beispiel: „Richtlinien-ID“ oder „Thread-ID“.

    In der Regel fügen Sie auch Freitextkorrelatoren für die Namen von Systemen, Anwendungen und Services hinzu, die für Ihre Umgebung eindeutig sind. Da auf einen solchen Wert von mehreren Quellen, Ebenen, Middlewares oder Datenbanken verwiesen werden kann, kann der Freitextkorrelator ein effektiver Tester für korrelierte Warnungen sein. Wenn der Service Ihrer Organisation beispielsweise „TeaTime“ heißt, können Sie „teatime“ als Freitextkorrelator hinzufügen. Der Korrelator identifiziert Warnungen, die im Zusammenhang miteinander stehen, da sie für Ressourcen generiert wurden, die den Service „TeaTime“ unterstützen, z. B. eine Datenbanksperre oder ein Verbindungsfehler zwischen Komponenten von „TeaTime“.

    Protokolleigenschaftskorrelatoren

    Protokolleigenschaftskorrelatoren analysieren den Metadatenteil von Protokollzeilen. Beispielsweise kann der Korrelator den Namen einer Serviceinstanz, die Schnittstellen-ID eines Netzwerkgeräts oder die Anforderungs-ID einer Komponente mit Webzugriff analysieren. Ein Protokolleigenschaftskorrelator kann eine Korrelation kennzeichnen, wenn die Schnittstellen-ID eines Netzwerkgeräts gleichzeitig in mehreren Warnungen in verschiedenen Protokollquellen vorkommt. Protokolleigenschaftskorrelatoren sind spezifisch für den Geschäftskontext Ihrer Umgebung.

    Sie können den Satz der Protokollquellen angeben, deren Protokolldaten von einem Protokollkorrelator analysiert werden. Die Auswahlmöglichkeiten lauten wie folgt:
    • Nur neue Quellen: Das System wendet den Protokollkorrelator nur auf Protokollzeilen aus Protokollquellen an, die nach der Aktivierung dieses Protokollkorrelators erstellt wurden.
    • Alle Quellen: Das System wendet den Protokollkorrelator auf Protokollzeilen aus allen Protokollquellen an.
    • Angegebene Quelle: Für einen Protokollkorrelator analysiert das System nur Protokollzeilen aus der von Ihnen angegebenen Protokollquelle.