Identificando relacionamentos em dados de log usando correlacionadores de log

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Correlatos de log são chaves ou valores em dados de log que detectam correlações entre alertas para ajudá-lo a determinar se um alerta faz parte de um problema maior. Por exemplo, um correlacionador de log pode detectar quando o ID da interface de um dispositivo de rede específico ocorre simultaneamente em vários avisos em diferentes instâncias de serviço.

    Você pode identificar alertas relacionados nos dados de log usando correlacionadores de log. O sistema base inclui vários correlacionadores de log e você pode definir correlacionadores personalizados para uma origem de log específica, todas as origens de log ou somente origens de log criadas após a ativação do correlacionador.

    A maioria das linhas de log inclui uma parte de metadados mais uma parte de mensagem. Algumas linhas de log, no entanto, incluem somente texto de mensagem com metadados incluídos no texto. Os dois tipos de correlacionadores de log, correlacionadores de texto livre e correlacionadores de propriedade de log, analisam as diferentes partes de cada log para identificar relacionamentos entre dados de log de várias origens de log.

    Correlatos de texto livre

    Os correlacionadores de texto livre analisam o texto na parte da mensagem de log das linhas de log que estão associadas a uma anomalia. O sistema usa correlacionadores de texto livre para identificar correlações entre alertas. Você usa correlacionadores de texto livre para adicionar um termo que espera que apareça nas mensagens de log. Uma boa opção é um termo que não esteja estruturado e não seja extraído como uma propriedade de log. Por exemplo, "policy-id" ou "thread-id".

    Normalmente, você também adiciona correlacionadores de texto livre para os nomes de sistemas, aplicações e serviços que são exclusivos do seu ambiente. Como esse valor pode ser referenciado por várias origens, camadas, middleware ou bancos de dados, o correlacionador de texto livre pode ser um detector eficaz de alertas correlacionados. Por exemplo, se o serviço da sua organização se chamar Hora do chá, você poderá adicionar "hora do chá" como um correlacionador de texto livre. O correlacionador identificaria alertas que estão relacionados porque foram gerados para recursos que oferecem suporte ao serviço do TeamTime, como um bloqueio de banco de dados ou uma falha de conexão entre componentes do TeamTime.

    Correlatos de propriedade de log

    Os correlacionadores de propriedade de log analisam a parte de metadados das linhas de log. Por exemplo, o correlacionador pode analisar o nome de uma instância de serviço, o ID de interface de um dispositivo de rede ou o ID de solicitação de um componente voltado para a Web. Um correlacionador de propriedade de log pode sinalizar uma correlação quando o ID de interface de um dispositivo de rede ocorre simultaneamente em vários avisos em diferentes origens de log. Os correlacionadores de propriedade de log são específicos para o contexto de negócios do seu ambiente.

    Você pode especificar o conjunto de origens de log cujos dados de log são analisados por um correlacionador de log. Estas são as opções:
    • Somente novas origens: o sistema aplica o correlacionador de log somente às linhas de log de origens de log que foram criadas depois que este correlacionador de log é ativado.
    • Todas as origens: o sistema aplica o correlacionador de log às linhas de log de todas as origens de log.
    • Origem especificada: para um correlacionador de log, o sistema analisa somente as linhas de log da origem de log que você especificar.