Compréhension ServiceNow Analyse de l'intégrité des journaux
ServiceNow Analyse de l'intégrité des journaux (HLA) prédit les problèmes informatiques avant qu’ils n’affectent vos utilisateurs.
Vue d'ensemble de Analyse de l'intégrité des journaux
Analyse de l'intégrité des journaux vous aide à résoudre les problèmes informatiques plus rapidement en collectant, analysant et corrélant les données de journal générées par l’ordinateur en temps réel. L’application reçoit et traite les journaux via et Serveur MID envoie des événements à ServiceNow Gestion des événements. Analyse de l'intégrité des journaux détecte toute anomalie (écart par rapport à un comportement normal) au fur et à mesure et vous alerte des problèmes possibles. L’application vous aide à identifier la cause première d’un problème en vous permettant de trier les journaux connexes et d’analyser les données brutes.
- Analyse de l'intégrité des journaux ne prend en charge que les journaux UTF-8. Il ne prend pas en charge les journaux binaires.
- Si vous envoyez des journaux dans une langue autre que l’anglais, une configuration supplémentaire peut être nécessaire.
Utilisateurs
| Utilisateur | Description | Rôle |
|---|---|---|
| Administrateur | Configure l’application Analyse de l’intégrité des journaux pour la rendre prête à l’emploi par les opérateurs. Effectue des tâches d’administration pour assurer le bon fonctionnement du système. |
evt_mgmt_admin, administrateur |
| Opérateur | Analyse les alertes de Log Analytics et prend des mesures pour aider à résoudre le problème sous-jacent. | evt_mgmt_operator |
Workflow Analyse de l'intégrité des journaux
Analyse de l'intégrité des journaux collecte et traite automatiquement les données du journal. Elle structure les données de façon logique pour que les opérateurs analysent et génère des alertes et des suggestions significatives qui s'affichent dans Gestion des événements.
Le diagramme montre le workflow de Analyse de l'intégrité des journaux, de la collecte des données jusqu'à l'envoi d'un événement ou d'une alerte à Gestion des événements.
- Ingestion
- Cette couche connecte votre environnement à Analyse de l'intégrité des journaux. Vous pouvez diffuser vos journaux directement à partir de serveurs et de points de terminaison ou à partir de référentiels de journaux. La configuration guidée facultative vous aide à créer des connecteurs d'entrée de données pour les sources de données courantes suivantes :
- Structuration
- Cette couche concerne la structuration des données de journal et du mappage automatique vers des silos logiques, appelés Composants. La structuration des données peut être effectuée automatiquement ou manuellement.
- Enrichissement
- Cette couche gère l'identification des parties variables d'un message de journal.
-
Figure 2. Workflow de Health Log Analytics - Enrichissement - Analyse
- Dans cette couche, chaque ligne de journal est indexée. Analyse de l'intégrité des journaux extrait les propriétés du message de journal interne qui contribuent aux modèles de comportement auxquels le système doit s'attendre. Le comportement anormal sort de ce comportement attendu. Vous pouvez rechercher un événement et ses propriétés les plus importantes pour le triage manuel.
- Apprentissage machine (ML) et intelligence artificielle (IA)
- Analyse de l'intégrité des journaux utilise des algorithmes d'apprentissage machine avancés non supervisés pour détecter les modèles dans les journaux et apprendre leur comportement de données unique. Il définit ensuite des seuils dynamiques basés sur la signature de données en temps réel pour détecter les problèmes lorsqu'ils se produisent pour la première fois. Lorsque le système détecte un écart par rapport au modèle typique, il envoie un événement à Gestion des événements.
- Alerte dans Gestion des événements
- Analyse de l'intégrité des journaux envoie des événements à Gestion des événements. Dans Gestion des événements, les alertes de Analyse de l'intégrité des journaux apparaissent dans la liste Toutes les alertes. Cette liste permet aux opérateurs de voir les alertes de l'événement et du type d'alerte de Analyse de l'intégrité des journaux à un seul emplacement.
Avantages
| Avantage | Fonctionnalité | Utilisateur |
|---|---|---|
| Simplifiez la configuration des entrées de données à l’aide de la configuration guidée. | Configuration guidée | Administrateur |
| Configurez les intégrations de connecteurs de données de journal rapidement et facilement à partir du Lanceur d'intégrations. | Intégrations des connecteurs de données de journal | Administrateur |
| Raccourcissez le temps d’intégration en installant des packs de contenu. | Packs de contenu | Administrateur |
| Gagnez du temps et réduisez les erreurs en migrant les configurations d’entrée de données entre les instances. | Migration d’entrée de données | Administrateur |
| Identifiez la cause première d’une alerte en analysant les journaux qui entourent l’anomalie. | Journaux environnants | Opérateur |
| Visualisez les données de journal anormales sur la visionneuse de journaux. | Visionneuse de journaux | Opérateur |
| Détecter les relations dans les données du journal. | Corrélateurs de journaux | Opérateur |
| Attribuer une importance plus ou moins élevée aux alertes. | Désactiver les mesures d’alerte | Opérateur |
| Réduisez le bruit en créant des filtres de journal. | Filtres d’alerte de journal | Opérateur |
| Influencez la façon dont Analyse de l'intégrité des journaux trouve les anomalies en gérant les mots clés qu’il recherche dans les données du journal. | Mots clés du lexique | Opérateur |
| Créez des alertes pour les mesures spécifiées en ajoutant, modifiant ou supprimant des règles. | Règles d'alerte personnalisées | Opérateur |