Analyse de l'intégrité des journaux vous permet de reclasser les propriétés classées automatiquement et de modifier les étiquettes mappées automatiquement. Ces ajustements aident l'apprentissage machine de Analyse de l'intégrité des journaux à mieux comprendre vos priorités.

Analyse de l'intégrité des journaux sépare automatiquement l'en-tête de transport du message de journal interne et envoie le message de journal interne à la structure du type de source. Il extrait les propriétés des messages de journal entrants et mappe automatiquement les étiquettes aux champs du type de source.

La modification de la structure et de la classification du type de source est l'occasion de vous assurer que le moteur d'IA Analyse de l'intégrité des journaux extrait toutes les propriétés correctement et les classe de manière appropriée. Étant donné qu'une seule entrée de données peut contenir plusieurs types de sources, le système structure les données de journal par type de source et non par entrée de données.

Par exemple, prenons le journal suivant :

{
  "TenantId": "abc-01-02-03-04-05050708091011121314",
  "@timestamp": "2020-08-28T08:29:23.967Z",
  "Computer": "john Doe_computer",
  "EventType_s": "LogMessage",
  "Job_s": "johnDoe_cell",
  "IP_s": "1.00.00.00",
  "message": "This is the extracted message. This part of the message includes superfluous content and values",
  "MessageType_s": "OUT",
  "Timestamp_d": 1598603359017850000,
  "Type": "my_LogMessage_is",
  "_ResourceId": ""
}

L'exemple de code contient des paires "clé":"valeur" La clé est le nom de la propriété et la valeur est la valeur de la propriété.

La clé "message" a la valeur suivante : "This is the extracted message. This part of the message includes superfluous content and values". Si vous souhaitez que vos journaux contiennent uniquement la partie significative de ce message, ajoutez le code JavaScript demandant au système d'extraire uniquement cette partie.

//Added JavaScript to extract only the first sentence in the message! if (output['message'] != null){ output['message'] = output['message'].slice(0, output['message'].indexOf("\.")); } (edited) 

Vous pouvez utiliser la même logique pour reclasser une valeur. Par exemple, si la clé « Ordinateur » est insignifiante, vous pouvez définir sa valeur sur « Non valide ».

Pour plus d'informations sur la structure du type de source, consultez l'article Structure du type de source – Étiquettes et classifications [KB0863562] de la base de connaissances Now Support.