Ajustement de la structure du type de source dans Analyse de l'intégrité des journaux
Analyse de l'intégrité des journaux (HLA) vous permet de reclasser les propriétés de journal classées automatiquement et de modifier les étiquettes mappées automatiquement. Ces ajustements aident le machine learning à HLA analyser vos données avec précision.
Ce qui HLA fonctionne automatiquement
- La classification détermine la façon dont le HLA moteur analyse et traite chaque champ. Les classifications disponibles sont : MESURE, JAUGE, ARC_ONLY, HISTOGRAMME, NON VALIDE.
- Les étiquettes indiquent HLA le rôle qu’un champ joue dans la structure du journal. Les étiquettes disponibles sont : MESSAGE, HOST, TIMESTAMP, SEVERITY, EVENT-ID.
L’examen et, si nécessaire, la modification des étiquettes automatiquement mappées et des propriétés classées automatiquement dans la structure de type source vérifie que le moteur interprète correctement les HLA champs de journal.
Suggestions de classification et d’étiquetage optimisées par l’IA
Simplifiez la classification et l’étiquetage des propriétés de journal analysées grâce à des suggestions de classification et d’étiquetage automatiques basées sur l’IA. Vous pouvez accéder à l’agent IA à partir de la pageStructure du type de source pour recevoir des classifications et des étiquettes suggérées par l’IA en fonction de l’analyse dynamique de vos échantillons de journal. Les classifications suggérées par l’IA comprennent MESURE, JAUGE, ARC_ONLY et INVALIDE. Les étiquettes suggérées par l’IA comprennent MESSAGE, HOST, TIMESTAMP et SEVERITY. Après avoir examiné les suggestions, sélectionnez vos classifications et étiquettes préférées.
Exemple
L’exemple suivant montre comment modifier les valeurs des propriétés extraites dans la structure du type source avec JavaScript.
Examinez le journal suivant :
{
"TenantId": "abc-01-02-03-04-05050708091011121314",
"@timestamp": "2020-08-28T08:29:23.967Z",
"Computer": "john Doe_computer",
"EventType_s": "LogMessage",
"Job_s": "johnDoe_cell",
"IP_s": "1.00.00.00",
"message": "This is the extracted message. This part of the message includes superfluous content and values",
"MessageType_s": "OUT",
"Timestamp_d": 1598603359017850000,
"Type": "my_LogMessage_is",
"_ResourceId": ""
}L’exemple de code contient des paires « clé » : « valeur » : La clé est le nom de la propriété. La valeur est la valeur de la propriété.
La clé « message » de l’exemple a la valeur suivante : « Il s’agit du message extrait. Cette partie du message comprend un contenu et des valeurs superflus ».
Si vous voulez que vos journaux ne contiennent que la partie significative de ce message, vous devez ajouter du code JavaScript demandant au système d’extraire uniquement cette partie :
//Added JavaScript to extract only the first sentence in the message! if (output['message'] != null){ output['message'] = output['message'].slice(0, output['message'].indexOf("\.")); } (edited) Vous pouvez utiliser la même logique pour reclassifier une valeur. Par exemple, si la clé « Computer » est insignifiante, vous pouvez définir sa valeur sur « Invalid ».
Pour plus d'informations sur la structure du type de source, consultez l'article Structure du type de source – Étiquettes et classifications [KB0863562] de la base de connaissances Now Support.