Ajouter un corrélateur de journaux pour identifier les relations dans les journaux

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Détectez les alertes connexes dans les données de journal en ajoutant des corrélateurs de journaux. Le système de base comprend plusieurs corrélateurs de journaux et vous pouvez définir des corrélateurs de journaux personnalisés.

    Avant de commencer

    Rôle requis : evt_mgmt_operator ou evt_mgmt_admin

    Pourquoi et quand exécuter cette tâche

    Pour en savoir plus sur les types et les fonctions de corrélateurs de journaux, voir Utiliser les corrélateurs de journaux pour détecter les relations dans les données de journal. Pour plus d'informations sur les sources du journal, voir Vérifier vos sources de journal.

    Procédure

    1. Utilisez l’une des méthodes suivantes pour ajouter un corrélateur de journal.
      OptionProcédure
      Ajouter un corrélateur de journal pour un source du journal
      1. Accédez à la Analyse de l'intégrité des journaux > Détection d'anomalie de journal > Corrélateurs de journaux. La liste des corrélateurs de journaux existants s'ouvre.
      2. Cliquez sur le nom d’un corrélateur de journal. Les noms apparaissent dans la colonne Indicateur de corrélation.
      3. Cliquez sur Nouveau.
      Ajouter un corrélateur de journal qui s’applique à tous ceux sources du journal qui deviennent actifs ou uniquement à ceux sources du journal qui deviennent actifs après la définition de ce corrélateur de journal
      1. Accédez à la Analyse de l'intégrité des journaux > Entrée de données > Sources du journal.
      2. Cliquez sur le nom de la source du journal.

        La liste connexe Corrélateurs de journaux affiche la liste des corrélateurs de journaux existants qui analysent les données de journal à partir de la source du journal sélectionnée.

      3. Dans l'onglet Corrélateurs de journaux, cliquez sur Nouveau.
    2. Remplissez le formulaire Corrélateur de journal.
      Tableau 1. Formulaire des corrélateurs de journaux
      Champ Description
      Type Type de corrélateur de journaux. Les choix sont les suivants :
      • Corrélateur de texte libre : le corrélateur de journaux analyse le texte dans le message du journal.
      • Corrélateur de clé de journal : le corrélateur de journaux analyse les métadonnées du journal. Par exemple, le nom d'un service d'application dans votre infrastructure. Les Corrélateurs de propriété du journal sont spécifiques au contexte business de votre environnement.

      Pour plus d'informations, voir Utiliser les corrélateurs de journaux pour détecter les relations dans les données de journal.
      Terme en texte libre ou Identificateur Texte que le corrélateur de journaux isole lors de l'analyse des lignes de journal.
      L'étiquette de ce champ est Terme en texte libre pour corrélateurs de texte libre et Identificateur pour corrélateurs de propriété du journal.
      Remarque :
      La valeur de ce champ peut être le texte pour l'un ou l'autre type de corrélateur de journaux. Par conséquent, l'étiquette de cette colonne dans la liste de corrélateurs de journaux qui en résulte est Indicateur de corrélation.
      Actif Option permettant d'appliquer le corrélateur de journaux. Lorsque vous sélectionnez ce champ, le système applique le corrélateur de journaux au flux de journal.
      Plage d'analyse Ensemble de sources dont les données de journal sont analysées par ce corrélateur de journaux. Les choix sont les suivants :
      • Toutes les sources : le corrélateur de journaux est appliqué aux lignes de journal de toutes les sources du flux de données.
      • Seules les nouvelles sources : le corrélateur de journaux est appliqué aux lignes de journal de toutes les sources créées une fois que ce corrélateur de journaux est activé.
      • Source spécifiée : le corrélateur de journaux est appliqué uniquement aux lignes de journal à partir de la source que vous spécifiez sur ce formulaire.
      Sources exclues Sources qui sont exclues du corrélateur de journaux. Le système n'analyse pas les lignes de journal provenant de sources répertoriées dans ce champ.
      Remarque :
      Ce champ s'applique uniquement lorsque le champ Plage d'analyse est défini sur Toutes les sources ou Seules les nouvelles sources.

      Pour en savoir plus sur l'exclusion d'une source d'un corrélateur de journaux, consultez Exclure une source d'un corrélateur de journaux.
      Source Source du corrélateur de journaux. Le corrélateur de journaux analyse les données de cette source du journal.

      Ce champ s'affiche uniquement lorsque vous ajoutez le corrélateur de journaux à partir du formulaire Sources du journal. Ce champ est automatiquement défini sur la source du journal sur laquelle vous travaillez.
    3. Sélectionnez Actif, puis cliquez sur Soumettre.