ログコリレーターを使用して、ログデータ内の関連するアラートを特定できます。ベースシステムには複数のログコリレーターが含まれており、特定のログソース、すべてのログソース、またはコリレーターがアクティブになった後に作成されたログソースのみに対してカスタムコリレーターを定義できます。

ほとんどのログ行には、メタデータ部分とメッセージ部分があります。ただし、一部のログ行は、メタデータを含むメッセージテキストのみで構成されています。ログコリレーターには、フリーテキストコリレーターとログプロパティコリレーターの 2 種類があり、各ログの異なる部分を分析して、複数のログソースからのログデータ間の関係を識別します。

フリーテキストコリレーター

フリーテキストコリレーターは、例外に関連付けられているログ行のログメッセージ部分のテキストを分析します。システムは、フリーテキストコリレーターを使用してアラート間の相関を特定します。フリーテキストコリレーターを使用して、ログメッセージ内に表示されそうな用語を追加します。構造化されていない、そのままではログプロパティとして抽出されない用語を選択することをお勧めします。たとえば、「policy-id」や「thread-id」などです。

また通常は、現在の環境に特有のシステム、アプリケーション、およびサービスの名前にフリーテキストコリレーターも追加します。このような値は、複数のソース、レイヤー、ミドルウェア、またはデータベースによって参照される可能性があるため、フリーテキストコリレーターを使用することで相関アラートを効果的に検出できます。たとえば、組織のサービスが「TeaTime」と呼ばれている場合、フリーテキストコリレーターとして「teatime」を追加できます。このコリレーターは、TeaTime サービスをサポートするリソース向けに生成されているので、関連するアラート (データベースロックや、TeaTime コンポーネント間の接続エラーなど) を特定します。

ログプロパティコリレーター

ログプロパティコリレーターは、ログ行のメタデータ部分を分析します。たとえば、このコリレーターは、サービスインスタンスの名前、ネットワークデバイスのインターフェイス ID、または Web 対応コンポーネントの要求 ID を分析できます。ログプロパティコリレーターは、ネットワークデバイスのインターフェイス ID が、さまざまなログソースの複数の警告に同時に出現している場合、相関にフラグを設定できます。ログプロパティコリレーターは、自分の環境のビジネスコンテキストに固有です。