Configurer les options du type de source

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Analyse de l'intégrité des journaux extrait automatiquement les types de sources lors du processus de mappage. Vous pouvez ajouter des formats d'horodatage et spécifier, supprimer ou exclure des mots clés pour des types de sources individuels.

    Avant de commencer

    Rôle requis : evt_mgmt_admin

    Procédure

    1. Accédez à la Tous > Analyse de l'intégrité des journaux > Entrée de données > Types de sources.
      La table Types de sources répertorie tous les types de sources qui ont été extraits automatiquement pendant le mappage de données brutes.
      Tableau 1. Types de sources
      Champ Description
      Extraction automatique activée L'extraction automatique pour ce type de source est activée ou désactivée. Cette valeur est définie sur le formulaire Structure de type de source. Valeur par défaut : true.
      Mode d'apprentissage Le mode d'apprentissage pour le type de source est en cours ou terminé.

      Le moteur d'IA doit apprendre le format des messages de journal dans chaque nouveau flux de journal. En mode d'apprentissage, il apprend le format des messages pour ce type de source et extrait les propriétés en fonction de ces connaissances.
      Détection de trace de pile activée La détection des cadres de pile actifs pour ce type de source est activée ou désactivée. En règle générale, une trace de pile permet de suivre une erreur dans le journal d'origine.
    2. Ouvrez un enregistrement.
    3. Facultatif : Ajoutez un format d'horodatage pour ce type de source.
      1. Dans l'onglet Horodatages du type de source, sélectionnez Nouveau.
      2. Dans le champ Format d'horodatage, sélectionnez un format dans la liste des formats d'horodatage disponibles.
      3. Sélectionnez Soumettre.
    4. Facultatif : Spécifiez un mot clé pour ce type de source.
      1. Dans l'onglet Mots clés du lexique, sélectionnez Nouveau.
        Remarque :
        L'onglet Mots clés du lexique contient à la fois des mots clés globaux et spécifiés. Sélectionner Nouveau crée un mot clé spécifié pour ce type de source.
      2. Renseignez les champs du formulaire.
        Champ Description
        Nom Nom unique et descriptif pour le mot clé.
        Expression régulière Expression régulière (« regex ») qui définit les correspondances.
        Correspondance exacte Valeur booléenne. Si cette option est sélectionnée, Analyse de l'intégrité des journaux correspond à la regex exacte. Par exemple, « NullPointerException » dans un message ne correspondrait pas à la regex « exception ».

        Valeur par défaut : true.
        Sensible à la casse Valeur booléenne. Si cette option est sélectionnée, Analyse de l'intégrité des journaux recherche une correspondance sensible à la casse de la regex.

        Valeur par défaut : false
      3. Sélectionnez Soumettre.
    5. Facultatif : Supprimez un mot clé spécifié pour ce type de source.
      1. Sélectionnez la ligne du mot clé spécifié que vous souhaitez supprimer.
      2. Dans la liste Actions sur les lignes sélectionnées en bas de la page, sélectionnez Exclure le mot clé.
      3. Sélectionnez Continuer pour supprimer le mot clé.
    6. Facultatif : Excluez un mot clé global pour ce type de source
      Lorsque vous excluez un mot clé, Analyse de l'intégrité des journaux ne le recherche plus dans les données de journal de ce type de source.
      1. Sélectionnez la ligne du mot clé global que vous souhaitez exclure.
      2. Dans la liste Actions sur les lignes sélectionnées en bas de la page, sélectionnez Exclure le mot clé.
      Remarque :
      Vous pouvez supprimer des mots clés globaux depuis la page Mots clés du lexique.
    7. Sélectionnez Mettre à jour.