Vous pouvez identifier les alertes connexes dans vos données de journal à l’aide de corrélateurs de journal. Le système de base comprend plusieurs corrélateurs de journal et vous pouvez définir des corrélateurs personnalisés pour une source de journal spécifique, toutes les sources de journal ou uniquement les sources de journal créées après l’activation du corrélateur.

La plupart des lignes de journal incluent une partie métadonnées et une partie message. Certaines lignes de journal, cependant, n’incluent que le texte du message avec des métadonnées incluses dans le texte. Les deux types de corrélateurs de journaux, les corrélateurs de texte libre et les corrélateurs de propriété de journal, analysent les différentes parties de chaque journal pour identifier les relations entre les données de journal à partir de plusieurs sources de journal.

Corrélateurs de texte libre

Les corrélateurs de texte libre analysent le texte dans la partie message du journal des lignes de journal associées à une anomalie. Le système utilise des corrélateurs de texte libre pour identifier les corrélations entre les alertes. Vous utilisez des corrélateurs de texte libre pour ajouter un terme que vous vous attendez à voir apparaître dans les messages du journal. Un bon choix est un terme qui n’est pas structuré et qui ne serait pas autrement extrait en tant que propriété de log. Par exemple, « policy-id » ou « thread-id ».

Vous ajoutez également généralement des corrélateurs en texte libre pour les noms de systèmes, d’applications et de services propres à votre environnement. Étant donné qu’une telle valeur peut être référencée par plusieurs sources, couches, intergiciels ou bases de données, le corrélateur de texte libre peut être un détecteur efficace d’alertes corrélées. Par exemple, si le service de votre organisation s’appelle TeaTime, vous pouvez ajouter « teatime » comme corrélateur de texte libre. Le corrélateur identifie les alertes qui sont liées parce qu'elles ont été générées pour les ressources qui prennent en charge le service TeaTime, telles qu'un verrou de base de données ou une défaillance de connexion entre les composants TeaTime.

Corrélateurs de propriété du journal

Les corrélateurs des propriétés de journal analysent la partie métadonnées des lignes de journal. Par exemple, le corrélateur peut analyser le nom d’une instance de service, l’ID d’interface d’un appareil réseau ou l’ID de demande d’un composant Web. Un corrélateur de propriété de journal peut signaler une corrélation lorsque l’ID d’interface d’un périphérique réseau apparaît simultanément dans plusieurs avertissements dans différentes sources de journal. Les corrélateurs de propriétés de journal sont spécifiques au contexte professionnel de votre environnement.