Explorer Analyse de l'intégrité des journaux

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • ServiceNow Analyse de l'intégrité des journaux (HLA) prédit les problèmes informatiques avant qu’ils n’affectent vos utilisateurs en collectant, analysant et corrélant en temps réel les données de journal générées par l’ordinateur. Il découvre les anomalies et vous alerte des problèmes potentiels.

    Vue d'ensemble de Analyse de l'intégrité des journaux

    Analyse de l'intégrité des journaux reçoit et traite généralement les données du journal et envoie des événements à ServiceNow Gestion des événements. L’application détecte les anomalies au fur et à mesure qu’elles se produisent et vous aide à identifier la cause première d’un problème en vous permettant de trier les journaux connexes et d’analyser les données brutes.

    Analyse de l'intégrité des journaux peut gérer n'importe quel type de données de journal textuel générées par ordinateur. Il peut traiter les journaux d’application, d’infrastructure et de réseau, ainsi que d’autres types de données de journaux textuels. Bien que a Base de données de gestion des configurations (CMDB) puisse être utile pour générer des événements et des alertes de haute qualité, ce n’est pas nécessaire.

    Remarque :
    • Analyse de l'intégrité des journaux ne prend en charge que les journaux UTF-8. Il ne prend pas en charge les journaux binaires.
    • Si vous envoyez des journaux dans une langue autre que l’anglais, une configuration supplémentaire peut être nécessaire.

    Pour une brève explication des termes et concepts clés utilisés dans , reportez-vous à HLA la Terminologie de Analyse de l'intégrité des journaux section .

    Analyse de l'intégrité des journaux utilisateurs

    Tableau 1. Utilisateurs d’Analyse de l’intégrité des journaux
    Utilisateur Description Rôle
    Administrateur Configure l’application Analyse de l’intégrité des journaux pour la rendre prête à être utilisée par les opérateurs.

    Effectue des tâches administratives pour assurer le bon fonctionnement du système.

    		 evt_mgmt_admin, administrateur
    Opérateur Analyse les alertes de Log Analytics et prend des mesures pour aider à résoudre le problème sous-jacent. evt_mgmt_operator

    Workflow Analyse de l'intégrité des journaux

    Analyse de l'intégrité des journaux collecte et traite automatiquement les données du journal. Il structure les données de manière logique pour que les opérateurs les analysent et génère des alertes et des suggestions significatives qui s’affichent dans Gestion des événements.

    Le diagramme montre le workflow depuis la Analyse de l'intégrité des journaux collecte des données jusqu’à l’envoi d’un événement ou d’une alerte vers Gestion des événements.

    Figure 1. Workflow Analyse de l’intégrité des journaux
    Workflow Analyse de l’intégrité des journaux : ingestion - structuration - enrichissement - analyse - ML et IA - alerte dans Gestion des événements
    Ingestion
    Cette couche connecte votre environnement à Analyse de l'intégrité des journaux. Vous pouvez diffuser vos journaux directement à partir de serveurs et de points de terminaison ou à partir de référentiels de journaux. La configuration guidée facultative vous permet de créer des connecteurs d’entrée de données pour les sources de données courantes, telles que :
    • Rsyslog
    • Beats
    • Splunk
    • Elasticsearch
    • Serveur MID
    • TCP
    Structuration
    Cette couche traite de la structuration des données de journal et de leur mappage automatique vers des silos logiques, appelés Composants. La structuration des données peut se faire automatiquement ou manuellement.
    Le système structure automatiquement les données de journal en extrayant les propriétés suivantes des messages de journal entrants : Message, Horodatage, Hôte, Gravité et ID externes. Il extrait des valeurs explicites, telles que « property-name » et « value is IP », et des valeurs sémantiques telles que la longueur, le nombre de mots anglais et la variance.
    Le mappage automatique affecte automatiquement des échantillons de journal et des métadonnées aux balises appropriées. Le système tente de mapper les lignes de journal en analysant la source qui diffuse les données. Le mappage est basé sur des conseils d’agent et des champs d’en-tête de transport communs.
    Enrichissement
    Cette couche gère l’identification des parties variables d’un message du journal.
    Figure 2. Workflow Analyse de l’intégrité des journaux : enrichissement
    Workflow Analyse de l’intégrité des journaux : enrichissement.
    Elle identifie également les mots clés et les propriétés contextuelles. Sur l’image, « AVERTISSEMENT » et « Échec » sont les mots-clés à suivre. « Utilisateur », « IP source » et « port » sont les propriétés contextuelles.
    Analyse
    Dans cette couche, chaque ligne du journal est indexée. Analyse de l'intégrité des journaux extrait les propriétés du message du journal interne qui contribuent aux modèles de comportement auxquels le système apprend à s’attendre. Un comportement anormal s’écarte de ce comportement attendu. Vous pouvez rechercher un événement et ses propriétés les plus significatives à des fins de triage manuel.
    Machine learning (ML) et intelligence artificielle (IA)
    Analyse de l'intégrité des journaux utilise des algorithmes avancés d’apprentissage machine non supervisés pour découvrir des schémas dans les journaux et apprendre leur comportement unique en matière de données. Il définit ensuite des seuils dynamiques basés sur la signature des données en temps réel pour détecter les problèmes lorsqu’ils se produisent pour la première fois. Lorsque le système détecte un écart par rapport au modèle typique, il envoie un événement à .Gestion des événements
    Alerte dans Gestion des événements
    Analyse de l'intégrité des journaux envoie des événements à Gestion des événements. Dans Gestion des événements, Analyse de l'intégrité des journaux les alertes apparaissent dans la liste Toutes les alertes . Cette liste permet aux opérateurs de voir les alertes de l'événement et du type d'alerte de Analyse de l'intégrité des journaux à un seul emplacement.

    Analyse de l'intégrité des journaux avantages

    Tableau 2. Avantages d’Analyse de l’intégrité des journaux
    Avantage Fonctionnalité Utilisateur
    Utilisez des alertes prédictivesAnalyse du journal pour gérer les problèmes informatiques émergents avant qu’ils ne s’aggravent et n’aient un impact sur les utilisateurs. Analyse et résolution des Analyse du journal alertes Opérateur
    Configurez les intégrations de connecteur de données de journal rapidement et facilement à partir de .Lanceur d'intégrations Intégrations du connecteur de données de journal Administrateur
    Raccourcissez le temps d’intégration en installant des packs de contenu. Packs de contenu Administrateur
    Gagnez du temps et réduisez les erreurs en migrant les configurations d’entrée de données entre les instances. Migration d’entrée de données Administrateur
    Identifiez la cause première d’une alerte en analysant les journaux qui entourent l’anomalie. Journaux environnants Opérateur
    Visualisez les données de journal anormales. Visionneuse de journaux Opérateur
    Détecter les relations dans les données de journal. Corrélateurs de journaux Opérateur
    Attribuez une importance plus élevée ou plus faible aux alertes. Désactiver les mesures d’alerte Opérateur
    Réduire le bruit en créant des filtres de journalisation. Filtres des alertes de journal Opérateur
    Influencez la recherche Analyse de l'intégrité des journaux des anomalies en gérant les mots clés recherchés dans les données de journal. Mots clés du lexique Opérateur
    Créez des alertes pour les mesures spécifiées en ajoutant, modifiant ou supprimant des règles. Règles d’alerte personnalisées Opérateur

    Ce qu'il faut explorer ensuite