Présentation de l'analyseur de journal

La collecte de données normalisée constitue une des exigences des technologies de base identifiées par le projet Hyades. En tant que premier exploitant des technologies susmentionnées, l'analyseur de journal, qui est destiné aux développeurs et au personnel de support, a été développé sur la base des outils Eclipse en cours.

Une interface a été conçue pour fournir un point d'opération unique permettant le traitement des fichiers journaux et trace générés par les divers composants d'un système déployé. L'association de ces deux ensembles d'outillage (traçage et journalisation) aide à combler l'écart entre l'identification des incidents et le débogage des applications et des logiciels intermédiaires. Grâce à l'enregistrement et la corrélation des événements de bout en bout dans la pile distribuée d'une application client, cet outil permet une analyse plus structurée des incidents d'application répartie. De même, cet outil permet d'effectuer plus aisément et plus rapidement le débogage et la résolution des incidents sur un système.

Cette édition avait pour but la mise en oeuvre d'un point de contact unique pour l'exploration, l'analyse et la corrélation des journaux, ainsi que l'exploitation de la base de données des symptômes, la couverture des utilisateurs de la technologie Hyades et l'extension des applications ISV.

La détermination de la cause principale d'un incident dans une solution qui comprend un ensemble de produits peut être difficile. Tous les produits génèrent des données d'identification d'incidents, telles que des enregistrements de trace, des enregistrements de journal et des messages. Cependant, les données d'identification d'incidents ne peuvent pas aisément être corrélées d'un produit à l'autre et dans les produits résidant sur des serveurs différents. Les données d'identification d'incidents de chaque produit ne peuvent donner un aperçu de l'incident global qu'à travers une petite fenêtre. Les données d'horodatage ne sont pas suffisantes : elles n'ont pas une granularité suffisante et les horloges ne sont généralement pas synchronisées suffisamment d'un serveur à l'autre. Tous ces problèmes rendent le travail d'isolement d'incidents (c'est-à-dire, la détermination du serveur, du produit et de la cause principale de l'incident) très difficile ; par conséquent, cette complexité augmente avec la complexité et la taille d'une solution.

Cette complexité est réduite grâce à l'analyseur de journal, qui permet d'importer divers fichiers journaux et des bases de données de symptômes par rapport auxquelles les fichiers journaux peuvent être analysés et corrélés. Le principal problème d'isolement d'incidents dans les solutions disponibles actuellement est le fait que les données d'identification d'incidents entre les produits ne sont pas corrélées. Cela signifie que vous ne pouvez pas aisément déterminer la relation des événements enregistrés par un produit avec les événements enregistrés par un autre produit. Les outils de journalisation traitent ce problème en vous permettant désormais d'importer et d'analyser des fichiers journaux (ou des fichiers trace) à partir de plusieurs produits et de déterminer la relation entre les événements enregistrés par ces produits (corrélation).

La corrélation est le processus d'analyse et de détermination d'un ensemble d'événements associés, en fonction d'un jeu de règles utilisées pour l'interprétation des données contenues dans les événements. Les outils de journalisation fournissent déjà plusieurs méthodes de corrélation d'informations dans un fichier journal unique, telles que l'organisation des événements dans un journal (par horodatage, par exemple) ou le filtrage des événements (seuls les événements comportant un ID d'unité d'exécution spécifique s'affichent).

Les plug-ins de corrélation permettent généralement d'associer les données dans deux journaux différents, à l'aide d'un jeu de règles très spécifique permettant l'analyse et la corrélation des données. Les données utilisées par les plug-ins de corrélation pour la détermination des relations sont désignées par données de corrélation.

La plupart des types de corrélation peuvent être classés sous forme de corrélation séquentielle ou de corrélation associative.

La corrélation séquentielle permet d'organiser un ensemble d'événements à l'aide d'un jeu de valeurs spécifiques et des règles organisant ces valeurs. L'organisation d'un ensemble d'événements par horodatage est un exemple de corrélation séquentielle.

La corrélation associative regroupe un ensemble d'événements comportant des informations équivalentes ou associées, à l'aide d'un jeu de valeurs spécifiques et des règles permettant l'interprétation de ces valeurs. La corrélation associative permet d'associer deux événements, de regrouper un ensemble d'événements ou d'associer deux groupes d'événements. L'affichage des événements comportant le même ID d'unité d'exécution est un exemple de corrélation associative.

Pour finir, les types de corrélation peuvent être utilisés collectivement pour fournir une image complète. Par exemple, lors du regroupement d'un ensemble d'événements, les événements sont généralement organisés dans le groupe.

L'analyseur de journal fournit, dans le cadre de l'implémentation de base, plusieurs méthodes de corrélation pour les événements d'un journal de produit unique :

 

Concepts connexes
Base de données des symptômes
Modèle Common Base Event
Corrélation des fichiers journaux
Présentation de l'outil de profilage
 

Tâches connexes
Définition des préférences de journalisation
Utilisation des fichiers journaux
Utilisation de la vue Diagramme de séquence
Importation d'une base de données des symptômes
Guide de création d'un corrélateur et d'un analyseur de journal
Guide de création d'un moteur d'analyse
 

Référence associée
Vue Journal 

 

 
 

>