Types de comportements anormaux dans Analyse de l'intégrité des journaux

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Un comportement anormal dans un CI ou un service peut indiquer un problème important. Par exemple, un pic de fréquence ou de nombre de messages d’un type particulier peut indiquer un problème.

    Pour créer des modèles de comportement attendu, Analyse de l'intégrité des journaux surveille le flux de journal pour connaître les bases de référence pour les modèles, les mesures et les jauges sur différentes périodes. Les périodes peuvent être horaires, quotidiennes, hebdomadaires ou illimitées. Un comportement qui s’écarte des modèles appris est considéré comme un comportement anormal.

    Types de propriété de journal

    Modèle
    Un modèle est une valeur ou un taux qui se répète, que ce soit sous forme de texte, de temps ou de relations.
    Compteur
    Une propriété de mesure est une valeur numérique ou textuelle. Par exemple, un code d’état, un code de réponse, une action ou un schéma.
    Jauge
    Une propriété de jauge a une valeur numérique qui est signalée en continu. Les propriétés de jauge représentent les opérations qui consomment des ressources. Par exemple, utilisation du processeur, utilisation de la mémoire ou délai de réponse.

    Comment les anomalies apparaissent dans Analyse de l'intégrité des journaux

    La carte Anomalie illustre l’activité anormale qui a conduit à l’alerte. Le graphique montre :
    • Activité anormale récente
    • Comportement attendu (base de référence apprise)
    • Valeurs de base de référence de la veille
    • Valeurs de base de référence de la semaine précédente
    Dans cet exemple, le système suit le taux de base de référence (le nombre moyen d’événements par minute) pour un modèle de journal spécifique. Lorsque ce journal généralement inactif génère un pic d’événements, le système détecte l’écart par rapport à la base de référence et génère une alerte.
    Figure 1. Carte des anomalies
    La carte d’anomalie identifie et illustre les comportements anormaux.

    Types d'anomalies

    Tableau 1. Certains types d’anomalies
    Comportement Description
    Nouveau comportement Un schéma qui n’a jamais été vu. Le type d’alerte Nouveau comportement n’affiche pas de graphique.
    Signal mort/n’apparaissant plus Toutes les données de modèle ou de journal provenant d’une source se sont arrêtées. Il n’y a pas eu de signal depuis au moins cinq minutes.
    Signal actif/réapparaissant Les données de modèle ou de journal provenant d'une source « perdue » s'affichent à nouveau. Pour une base de référence d’une heure, un schéma est « mort » s’il apparaît moins d’une fois par minute.
    Anomalie supérieure à la moyenne ou inférieure à la moyenne Activité qui s’écarte du comportement de base de référence attendu pour les mesures de modèle, de mesure ou de jauge, comme les mesures de mots clés ou les mesures de gravité.
    Augmentation ou diminution​ de la base de référence Augmentation ou diminution de la valeur ou du volume d’une propriété diagraphique par rapport à la base de référence d’une heure ou d’une semaine.
    Corrélation des alertes de gravité et de mots clés Une augmentation du volume d’un niveau de gravité ou d’un mot clé.