Utiliser les corrélateurs de journaux pour détecter les relations dans les données de journal
Corrélateurs de journaux sont des clés ou des valeurs dans les données de journal qui détectent des corrélations entre les alertes. Par exemple, un corrélateur de journaux peut détecter quand l'ID d'interface d'un périphérique réseau spécifique se produit simultanément dans plusieurs avertissements sur différents services d'application.
Types de corrélateurs de journaux
La plupart des lignes de journal incluent une portion de métadonnées plus une portion de message. Certaines lignes de journal, cependant, incluent uniquement du texte de message avec les métadonnées incluses dans le texte.
Les deux types de corrélateurs de journaux, les corrélateurs de texte libre et les corrélateurs de propriété de journal, analysent les différentes parties de chaque journal pour identifier les relations entre les données de journal à partir de plusieurs sources de journal.
- Corrélateurs de texte libre
Les Corrélateurs de texte libre analysent le texte dans la portion de message de journal des lignes de journal qui sont associées à une anomalie. Le système utilise des corrélateurs de texte libre pour identifier les corrélations entre les alertes. Vous utilisez des corrélateurs de texte libre pour ajouter un terme que vous prévoyez d'afficher dans les messages de journal. Il convient d'utiliser un terme qui n'est pas structuré et qui ne serait pas extrait autrement qu'en tant que propriété de journal. Par exemple, « policy-id » ou « thread-id ».
En outre, vous ajoutez généralement des corrélateurs de texte libre pour les noms de systèmes, d’applications et de services qui sont uniques à votre environnement. Étant donné qu'une telle valeur peut être référencée par plusieurs sources, couches, intergiciels ou bases de données, le corrélateur de texte libre peut être un détecteur efficace d'alertes corrélées. Par exemple, si le service de votre organisation s'appelle TeaTime, vous pouvez ajouter « teatime » en tant que corrélateur de texte libre. Le corrélateur identifie les alertes qui sont liées parce qu'elles ont été générées pour les ressources qui prennent en charge le service TeaTime, telles qu'un verrou de base de données ou une défaillance de connexion entre les composants TeaTime.
- Corrélateurs de propriété du journal
Les Corrélateurs de propriété du journal analysent la portion des métadonnées des lignes de journal. Par exemple, le corrélateur peut analyser le nom d'un service d'application, l'ID d'interface d'un périphérique réseau ou l'ID de demande d'un composant Web. Un corrélateur de propriété du journal peut signaler une corrélation lorsque l'ID d'interface d'un périphérique réseau se produit simultanément dans plusieurs avertissements dans différentes sources du journal. Les Corrélateurs de propriété du journal sont spécifiques au contexte business de votre environnement.
Spécification des sources de journal pour un corrélateur de journal
- Seules les nouvelles sources : le système applique uniquement le corrélateur de journaux aux lignes de journal à partir des sources du journal qui ont été créées après l'activation de ce corrélateur de journaux.
- Toutes les sources : le système applique le corrélateur de journaux aux lignes de journal à partir de toutes les sources du journal.
- Source spécifiée : pour un corrélateur de journaux, le système analyse uniquement les lignes de journal à partir de la source du journal que vous spécifiez.
Pour savoir comment spécifier l'ensemble de sources du journal, voir Ajouter un corrélateur de journaux pour identifier les relations dans les journaux.