Mode (HLA) de génération Analyse de l'intégrité des journaux des alertes
ServiceNow Analyse de l'intégrité des journaux Identifie les modèles dans les données du journal et apprend le comportement des modèles. Lorsque son moteur d’intelligence artificielle détecte un comportement anormal, il envoie un événement à l’application ServiceNow Gestion des événements . Ces alertes prédictives permettent aux opérateurs de corriger les problèmes informatiques émergents avant qu'ils n'impactent les utilisateurs.
Qu'est-ce qu'une anomalie ?
Il existe de nombreux types d'anomalies (comportement anormal ou inattendu). Dans cet exemple, le système suit le taux de base de référence (nombre moyen d'événements par minute) de messages particuliers. Le graphique montre les valeurs de la veille, dans la zone couleur pêche, et les valeurs d'aujourd'hui sous forme de ligne bleue. Le graphique montre un écart spectaculaire par rapport aux valeurs de base attendues vers 10h10. Ce comportement anormal génère une alerte.
Comportement anormal vers 10h10.
Analyse de l'intégrité des journaux utilise les méthodes suivantes pour générer des alertes :
Mesures d'alerte
Analyse de l'intégrité des journaux surveille plusieurs mesures dans la diffusion du journal pour détecter le comportement anormal. Chaque mesure est associée à une source unique. Une source est la combinaison de service d'application et d'un composant. Lorsque le système identifie un modèle anormal pour une mesure, il génère une alerte.
- Une alerte significative est plus susceptible d’être incluse dans un Groupe Analyse de journaux lorsque la mesure associée se comporte de manière anormale. Pour plus d'informations, voir Marquer une alerte comme significative
- Éteignez une alerte pour une source spécifiée afin d'éviter d'autres alertes récurrentes pour les problèmes non importants. Pour en savoir plus, consultez Désactiver une alerte sans importance.
- Lorsque la situation change, vous pouvez renvoyer une mesure significative à son importance par défaut. Vous pouvez également réactiver une mesure désactivée pour que le système commence à générer à nouveau des alertes. Pour plus d'informations, consultez Restaurer une alerte désactivée ou une alerte significative.
Mots clés du lexique
Les mots clés du lexique peuvent indiquer des problèmes importants dans les entrées de journal.
Le système définit un seuil pour chaque mot clé du lexique. Il base le seuil sur le modèle d'occurrence normal et la fréquence du mot clé. Le système détecte toutes les occurrences du mot clé. Lorsque le modèle ou la fréquence dépasse le seuil, le système génère une alerte. Pour plus d'informations, consultez Afficher les mots clés du lexique qui génèrent des alertes.
Corrélations
Corrélateurs de journaux sont des clés ou des valeurs dans les données de journal qui détectent des corrélations entre les alertes. Par exemple, un corrélateur de journaux peut détecter quand l'ID d'interface d'un périphérique réseau spécifique se produit simultanément dans plusieurs avertissements sur différents services d'application. Pour en savoir plus, consultez Utiliser les corrélateurs de journaux pour détecter les relations dans les données de journal.
Filtrage avancé d'alerte de journal
Ajoutez des filtres d'alerte de journal avancés afin d'analyser les alertes pour les conditions que vous spécifiez. Les filtres réduisent le bruit en supprimant les alertes qui ne signalent pas des problèmes importants. Lorsque vous développez un filtre, vous pouvez tester, mettre à jour, publier ou activer le filtre à tout moment. Pour en savoir plus, consultez Créer des filtres avancés d'alerte de journal.
Règles d'alerte personnalisées
Définissez une règle d’alerte d’analyse de journal lorsque vous rencontrez des données de journal qui doivent générer une alerte. La règle d'alerte génère une alerte pour une mesure spécifiée avec un seuil que vous spécifiez et définit les propriétés de l'alerte générée. Pour en savoir plus, consultez Ajouter une règle d'alerte Log Analytics.