À propos des Analyse du journal règles d’alerte
Analyse de l'intégrité des journaux (HLA) détecte automatiquement les anomalies en apprenant à partir de vos données de journal. Cependant, la détection automatique ne fonctionne pas aussi bien pour tous les types de journaux. Certains journaux ont besoin d’une règle d’alerte personnalisée pour générer des alertes de manière fiable.
HLA Trie les schémas de journal entrants en trois groupes : Actif, Clairsemé et Arrêté. Il utilise une logique de détection différente pour chaque groupe. Les journaux peu fréquents sont traités comme épars. Pour les journaux épars, HLA utilise une méthode basée sur les probabilités au lieu du score standard des anomalies. Il le fait à dessein : l’utilisation d’un score standard sur un journal qui n’apparaît que de temps en temps donnerait des résultats peu fiables. Cependant, par conséquent, les journaux avec trop peu de données peuvent ne pas générer d’alertes, car le moteur n’en HLA a pas assez pour établir un modèle normal.
Quand utiliser une règle d’alerte personnalisée
| Scénario | Détection ML | Règle personnalisée |
|---|---|---|
| Journaux haute fréquence avec des schémas changeants | Suffisant | Facultatif |
| Journaux basse fréquence ou périodiques | Non fiable | Suggéré |
| Conditions critiques connues | Non applicable | Obligatoire |
Exemples
Les exemples suivants montrent comment le type de données de journal détermine si une règle d’alerte personnalisée est nécessaire.
- Journaux haute fréquence : une application écrit des centaines d’entrées de journal par heure. HLA crée rapidement un schéma fiable et vous alerte lorsque le comportement change. Aucune règle personnalisée n’est requise, mais vous pouvez en ajouter une pour alerter sur une condition spécifique.
- Journaux peu fréquents : une tâche par lots s’exécute chaque nuit et écrit un petit nombre d’entrées de journal. HLA impossible de créer un schéma fiable à partir de si peu de données. Définissez une règle personnalisée pour vérifier que les alertes sont générées en cas d’échec ou de comportement inattendu de la tâche.
- Conditions critiques connues : un code d’erreur spécifique ne doit jamais apparaître dans vos journaux. HLA peut ne pas le marquer automatiquement. Définissez une règle personnalisée qui génère une alerte chaque fois que ce code d’erreur apparaît.