Anomali dedektörü, log kayıtlarında bulunan zaman bazlı verileri, tanımlanan sorgu ve filtrelere göre belirtilen zaman aralığında inceleyerek eşik değere (threshold) takılan anomalileri tespit eder.

Anomali tespit edilmesi durumunda gerçekleşecek eylemler (actions) eklenebilir.

Bu içerikte, seçilen bir proxy üzerindeki hatalı istek sayısının son 1 saat içinde %50 oranında artış göstermesi durumunda anomali olarak değerlendirilecektir. 

Anomali Dedektörünün Genel Tanım Bilgilerinin Oluşturulması

İlk aşamada işin tanımlayıcı bilgileri girilir. Buradaki en önemli alan ortam (environment) bilgisi seçeneğidir. Seçilen ortam bilgisindeki log sunucusu üzerinde sorgu ve filtreler çalıştırılır.  


Sorgu Oluşturma

Sorgu, log kayıtlarıyla eşleşecek olan belirli alanlar (HTTP Metodu, Hata Tipi vb.) ile ve/ya da/değil tiplerindeki kriterlerle birleştirerek beklenen durumlar oluşturulur.

Yeni bir sorgu oluşturmak için Sorgu (Query) bölümünden oluşturulur.


Kaydet (Save) butonuna tıklandığında oluşturulan sorgu tanımlanmakta olan işe eklenir. 


Tüm sorguların yönetildiği Sorgular (Queries) ekranına gitmek ve detaylı bilgi almak için tıklayınız.

Filtre Oluşturma

Filtreler sorgularla birlikte uygulanır. Log kayıtlarının eşleşeceği kriterleri içerir.

Yeni bir filtre oluşturmak için Filtre (Filter) bölümünden oluşturulur.



Kaydet (Save) butonuna tıklandığında oluşturulan filtre tanımlanmakta olan işe eklenir. 


Tüm filtrelerin yönetildiği Filtreler (Filters) ekranına gitmek ve detaylı bilgi almak için tıklayınız.

Conditions

Aşağıdaki koşulda, 'count of documents' istek sayısına bakacaktır. Ortalamaya göre %50'den fazla bir artış olup olmadığına bakılacaktır.

Bu durumda, '1 Result' ifadesi, anomali tek bir kez dahi gerçekleşmesi durumunda anomali olarak kabul edileceğini belirtir.



Actions

Anomali tespiti yaptığında bir uyarı sistemi oluşturabiliriz. Bu örnekte anomali oluştuğunda mail atmasını sağlayacağız.

'Server' alanında yeni bir mail bağlantı bilgisi ekleyebilir veya mevcut olanı seçebilirsiniz. E-posta iletilecek adres, konu ve mesaj girilerek kaydedilir.


Eylem çeşitleri, eylemin kullanımı ve görev içindeki değişkenler ile bilgi almak için tıklayınız.

Kaydet

Son durumda bilgiler aşağıdaki gibi görünecektir ve kaydet butonu ile izlemeye hazır hale getirelim.


İşin Detaylarını İnceleme

Result seçeneği ile kontrol edebilirsiniz.



Eğer bir hata alınmışsa bunun nedenini bulmak gerekebilir ya da sürecin genel log kayıtları incelenmek ve bunlar üzerinde filtreleme yapılmak isteniyorsa monitör kaydının detay sayfası ziyaret edilmelidir.

İlgili log kaydında yer alan detay ikonuna tıklanarak detaylı bilgi alınabilir.