ヘルスログアナリティクス - Support and Troubleshooting

ヘルスログアナリティクス .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } 目次 Health Log Analytics (ヘルスログアナリティクス) の概要 全体的なセットアップロードマップ ヘルスログアナリティクスのインストールを要求 MID サーバーのセットアップ データ入力のセットアップ ログ処理中 ログビューアー アラート トラブルシューティング 追加情報 Health Log Analytics (ヘルスログアナリティクス) の概要 ヘルスログアナリティクス (HLA) とは ログを受信してログを処理し、そのようなログを ServiceNow インスタンスでレビューできるようにするアプリケーション。HLA はログからメトリクスを収集し、異常を検出します。通常の動作からの逸脱が検出されると、アラートを生成できます。処理が完了すると、ログをインスタンスで確認できるようになります。

ヘルスログアナリティクスは、エンドポイントまたはデータレイク (Splunk や Elasticsearch など) から ServiceNow インスタンスにストリーミングされるログを収集します。インスタンスは、MID サーバーコネクタインスタンスを介してログを受信します。ヘルスログアナリティクスは、教師なし機械学習 (ML) モデルを使用して、ログデータの例外を特定してトリアージします。次に、例外をグループ化し、さらにアルゴリズムを適用して問題の根本原因を特定します。

アーキテクチャ

ログフロー この図は、データの収集からイベント管理へのイベントまたはアラートの送信までのヘルスログアナリティクスワークフローを示しています。

コンポーネントの概要 ストリーミングソース

ストリーミングソースは、ログを MID サーバーに送信するアプリケーション/サーバーです。

MID サーバー

MID サーバーは、ストリーミングソースからログを受信して ServiceNow インスタンスに転送する「仲介者」です。

注: MID サーバーは、データ入力プリプロセッサーを使用して、ログ処理ノードによって処理される前に、生のログデータを変更し、ログメッセージを削除または分割できます。これは、ヘルスログアナリティクスが生のログをマッピングして構造化する前に発生します。「 」を参照してください。 処理前の生のログデータの編集。

ログアナリティクスコアサーバー

このサーバー/アプリケーションは、MID サーバーから送信されたログを受信して処理します。以下のとおりです。

構造化ログをログ Elasticsearch サーバーに送信します 異常を検出してアラートを作成する、em_alert メトリクスサーバーへのメトリクスのログ記録 Elasticsearch Elasticsearch サーバーは構造化ログを保持し、検索に使用できるようにします。

時系列 DB 時系列 DB には、ログから抽出されたすべてのメトリクスが保持されます。

全体的なセットアップロードマップ ヘルスログアナリティクスのインストールを要求 ヘルスログアナリティクスのインストールを要求 MID サーバーの構成 データ入力の構成 ヘルスログアナリティクスのインストールを要求 ヘルスログアナリティクスのインストールを要求 ヘルスログアナリティクスのインストールを要求 MID サーバーのセットアップ ログのストリーミングに使用される MID サーバーを開きます 関連リスト [機能] を選択します [編集] をクリックします 「ログの取り込み」機能を追加して保存します 注意:データ入力がパブリック IP アドレスを介して MID サーバーに接続する必要がある場合は、MID サーバープロパティmid.public_ipを構成します データ入力のセットアップ MID サーバーのセットアップができたので、データ入力を設定できます。

注意:データ入力を構成する際に、MID サーバーがデータを受信するポートも構成します

ヘルスログアナリティクスのデータ入力プロセスは、次のいずれかの方法で設定できます。

ガイド付きセットアップ 手動 ガイド付きセットアップ:ServiceNow インスタンスでデータ入力を構成するのに役立つ一連のタスクを提供します。Guided Setup を使用すると、データ入力プロセスに必要な最小限のセットアップを確実に行うことができます。詳細については、「 ガイド付きセットアップを使用してデータ入力をセットアップ 」を参照してください。

手動:詳細については、「 データ入力を手動で設定する」を参照してください 。

注: ヘルスログアナリティクスの実装方法に関係なく、最初に MID サーバーを設定し、そのログ取り込み機能が有効になっていることを確認する必要があります。

オプションの Guided Setup を使用すると、次の一般的なデータソースのデータ入力コネクターを作成できます。

Rsyslog Beats Splunk Elasticsearch MID サーバー TCP ログ処理中 構造化 このレイヤーでは、ログデータの構造化と、コンポーネントと呼ばれる論理サイロへの自動マッピングを処理します。データの構造化は、自動でも手動でも行うことができます。

受信ログメッセージからメッセージ、タイムスタンプ、ホスト、重大度、外部 ID の各プロパティを抽出することで、ログデータが自動的に構造化されます。「property-name」や「value is IP.」のような明示的な値、および長さ、英単語数、差異などのセマンティック値が抽出されます。

自動マッピングによって、ログサンプルとメタデータが適切なタグに自動的にアサインされます。システムは、データをストリーミングするソースを分析して、ログの行のマッピングを試行します。マッピングは、エージェントヒントおよび共通のトランスポートヘッダーフィールドに基づきます。

拡張 このレイヤーでは、ログメッセージの変数部分の識別を処理します。

Health Log Analytics ワークフロー：拡張

また、キーワードとコンテキストプロパティも識別します。上の画像では、「WARN」と「Failed」が追跡するキーワードです。「user」、「source IP」、および「port」はコンテキストプロパティです。

分析 このレイヤーでは、各ログ行にインデックスが付けられます。ヘルスログアナリティクスは、システムが予期することを学習する動作モデルに寄与する内部ログメッセージからプロパティを抽出します。例外動作とは、予期される動作とは異なる動作のことです。手動によるトリアージのために、イベントとその重要なプロパティを検索できます。

機械学習 (ML) と人工知能 (AI)

ヘルスログアナリティクスは、高度な教師なし機械学習アルゴリズムを使用して、ログ内のパターンを検出し、その固有のデータ動作を学習します。次に、データシグネチャに基づいて動的しきい値をリアルタイムで設定し、問題が最初に発生したときにその問題を検出します。システムは、一般的なパターンからの逸脱を検出すると、イベント管理にイベントを送信します。

ログビューアー [ログビューアー] タブを使用すると、タイムスタンプまたは時間範囲でログを参照したり、特定のログテキストを検索したり、特定の期間における例外の発生頻度を可視化したりできます。ログデータで重要なメトリクスを見つけた場合は、それを使用してログアナリティクスアラートルールを定義できます。

ログビューアーを開くには、次の場所に移動します。

ヘルスログアナリティクス>ログビューアー ログの表示のスクリーンショットの例:

クエリ文字列構文の詳細については、検索ボックスの上にある情報リンクをクリックしてください。

ログビューアーの詳細については、以下を参照してください。

ログデータの検索の定義、保存、共有 ログビューアーでの検索結果のフィルタリング アラート ヘルスログアナリティクスはイベントをイベント管理に送信します。イベント管理では、ヘルスログアナリティクスアラートが [すべてのアラート] リストに表示されます。このリストにより、オペレーターはイベントからのアラートとヘルスログアナリティクスアラートタイプを 1 つの場所で確認できます。

トラブルシューティング トラブルシューティングについては、「 クスのトラブルシューティング」

追加情報 ヘルスログアナリティクス