Arricchimento dei dati

È possibile arricchire facilmente i dati di log con IBM Cloud Logs. Puoi automaticamente aggiungere campi ai tuoi log JSON in base a specifiche corrispondenze nei tuoi dati di log utilizzando una tua origine dati personalizzata predefinita. In questo modo, è possibile migliorare i dati di log con informazioni di business, operazioni o sicurezza non disponibili al runtime.

Puoi arricchire i tuoi log in due modi possibili:

  • Seleziona una chiave di log da utilizzare per cercare un valore chiave e arricchire i log automaticamente durante l'inserimento. I log vengono salvati con i campi arricchiti. I vantaggi di questa modalità sono:

    • I log vengono arricchiti automaticamente.

    • I log includono i dati di arricchimento, che possono essere consumati ovunque (ad esempio, in qualsiasi query e anche da prodotti di terze parti che leggono i log dal bucket).

  • Utilizzare la query DataPrime enrich per cercare un valore in una tabella e arricchire dinamicamente il log per la query. I vantaggi di questa modalità sono:

    • Puoi arricchire i vecchi log già inseriti in IBM Cloud Logs.

    • L'arricchimento non aumenta la dimensione dei log archiviati, poiché l'arricchimento viene eseguito dinamicamente e viene utilizzato solo per i risultati della query.

Casi di utilizzo di arricchimento dei dati

Alcuni casi di utilizzo di esempio in cui l'arricchimento può essere utile sono:

Monitoraggio

In questo esempio, si supponga di disporre di log con un UUID che rappresenta un cliente. Tuttavia, non esiste alcun campo nel log con il nome cliente.

È possibile arricchire il log aggiungendo un campo contenente il nome cliente in modo da visualizzare e ricercare i log in base al nome. Con l'arricchimento personalizzato, si crea l'arricchimento impostando un file CSV per mappare ogni UUID a un nome di cliente.

Sicurezza

In questo esempio, i log contengono un campo con un nome dominio che rappresenta dove si accede a una applicazione. Si desidera creare un avviso che crea una notifica se viene effettuato un tentativo di accesso all'applicazione da un dominio non autorizzato.

È possibile creare un file CSV con un elenco di domini ammessi, in modo che ogni registro sia arricchito da un campo (domain_enriched) con la parola allowed per i domini dell'elenco. È quindi possibile creare un avviso per i log che non contengono questo campo (ad esempio NOT domain_enriched:allowed).