アラートルール ログアナリティクス について
ヘルスログアナリティクス (HLA) は、ログデータから学習することで異常を自動的に検出します。ただし、自動検出はすべてのログタイプで同じように機能するわけではありません。一部のログには、アラートを確実に生成するためのカスタムアラートルールが必要です。
HLA は、受信ログパターンを 3 つのグループ (Lively、sparse、stopped) にソートします。グループごとに異なる検出ロジックが使用されます。頻度の低いログはまばらとして扱われます。スパースログの場合、 HLA 標準の例外スコアリングではなく、確率ベースの方法を使用します。これは設計上、たまに表示されるログに標準のスコアリングを使用すると、信頼性の低い結果が得られます。ただし、結果として、 HLA エンジンに通常のパターンを確立するのに十分なデータがないため、データが少なすぎるログではアラートが生成されない可能性があります。
カスタムアラートルールを使用するタイミング
ログデータによってアラートが自動的に生成されない場合は、カスタムアラートルールを使用します。
| シナリオ | ML 検出 | カスタムルール |
|---|---|---|
| パターンが変化する高頻度のログ | 十分 | オプション |
| 低頻度または定期的なログ | 信頼性が低い | 提案済み |
| 既知の重大な条件 | 適用外 | 必須 |
例
次の例は、ログデータのタイプによってカスタムアラートルールが必要かどうかがどのように判断されるかを示しています。
- 高頻度のログ:アプリケーションは 1 時間あたり数百のログエントリを書き込みます。 HLA は、信頼性の高いパターンを迅速にビルドし、動作が変化したときにアラートを送信します。カスタムルールは必須ではありませんが、特定の条件でアラートするために追加できます。
- 低頻度のログ:バッチジョブは毎晩実行され、少数のログエントリが書き込まれます。 HLA 、これほど少ないデータから信頼できるパターンを構築することはできません。ジョブが失敗した場合や予期しない動作をしたときにアラートが生成されることを確認するカスタムルールを定義します。
- 既知の重大な状態:特定のエラーコードがログに表示されないようにしてください。 HLA 自動的にフラグを設定しない場合があります。エラーコードが表示されるたびにアラートを生成するカスタムルールを定義します。