blog

Comprendre et exploiter les objets ServicePilot Search

Comprendre et exploiter les objets ServicePilot <span class='blue'>Search</span>
18 Décembre 2025

Qu’est-ce qu’un objet ServicePilot Search ?

Les systèmes IT produisent toujours plus de données : logs applicatifs, métriques systèmes, événements réseau, KPI métiers et télémétries diverses. La capacité à extraire, analyser et transformer ces données en indicateurs pertinents est devenue un enjeu majeur pour les équipes IT et métiers. Comment transformer efficacement ces données brutes en indicateurs pertinents et en objets exploitables dans ServicePilot ?

Pour répondre à ce besoin, ServicePilot propose un concept puissant : les objets Search.

Un objet Search est un objet standard ServicePilot alimenté directement par une requête exécutée dans la base de données interne de ServicePilot.

Le principe de fonctionnement est simple. L’exécution d'une requête permet au moteur de recherche ServicePilot de filtrer les métriques, logs ou événements selon les critères définis. Cela permet à ServicePilot d'extraire ou agréger les données correspondantes pour qu'elles soient stockées dans un objet avec horodatage et mises à jour à intervalle régulier. Cet objet devient ensuite une source de données comme n’importe quel autre dans ServicePilot bénéficiant de toutes les fonctionnalités de la plateforme : graphes, tableaux de bord, rapports, alertes, corrélations…

ServicePilot met à disposition de multiples packages avec des seuils intégrés, mais offre aussi la flexibilité nécessaire pour approfondir l’analyse statistique et affiner la supervision selon des besoins spécifiques.

Cas d’usage concrets

Transformation des logs en métriques

L'agrégat des logs système, réseau, applicatives ou sécurité via un objet ServicePilot Search offre une vue d'ensemble des événements critiques. En mettant en exergue les anomalies et les tendances significatives, telles qu'une hausse soudaine des connexions ou des échecs d'authentification, vous anticipez les problèmes potentiels et renforcer la sécurité de votre informatique.

Par exemple, les erreurs dans les applications et les bases de données peuvent être un indicateur crucial de problèmes sous-jacents. En créant un objet ServicePilot Search qui compte ces erreurs, vous visualisez en temps réel les fluctuations de leur volume et pouvez configurer des alertes pour réagir instantanément dès que le seuil critique est atteint.

Il est facile de compter le nombre d'erreurs sur une base de données DB2 parmi les messages Syslogs reçus :

→ Création d'une requête filtrant la base de donnée ciblée "db2server-1" et le type de message "*unexpected system error*"
→ Comptage des occurrences toutes les X minutes avec l'objet Search
→ Déclenchement d'une alerte dès que le seuil défini est atteint et visualisation de la tendance

ServicePilot search pour transformer des Syslogs en métriques

Agrégat de métriques et statistiques

Les objets ServicePilot Search offrent une solution puissante et flexible pour l'agrégat de métriques, permettant aux utilisateurs de transformer des données brutes disparates en informations exploitables consolidées. Des opérateurs sont applicables aux entrées découvertes par la requête pour produire une valeur résultante : compte, somme, moyenne, min, max, somme au carré, percentile, déviation standard…

ServicePilot search statistiques

Prenons l'exemple d'un cluster de plusieurs serveurs IIS sur lequel nous souhaitons surveiller la performance globale. En configurant une requête Search qui cible toutes les instances IIS du cluster, cette dernière extrait les métriques pertinentes et les agrège en temps réel. Nous pourrions vouloir calculer la moyenne des connexions actives sur l'ensemble du cluster ou faire le cumul des requêtes traitées par tous les serveurs.

Avec ces données agrégées, des graphiques sont créés automatiquement et sont exploitables dans des cartographies ou des tableaux de bord personnalisés pour visualiser la performance globale du cluster IIS.

Il est également possible de configurer des alertes pour être notifié en cas de dépassement de seuils critiques, comme une augmentation soudaine du nombre de requêtes ou une baisse significative des connexions actives.

Supervision des KPI d'applications métiers

ServicePilot offre la flexibilité de recevoir n'importe quel type de donnée via une simple commande et le package "misc-data-receiver", ce qui permet une intégration fluide de données personnalisées.

ServicePilot envoi de données personnalisées

En créant des KPI personnalisés à partir d'objets ServicePilot Search, vous pouvez fournir aux équipes métier des indicateurs clés de performance à intégrer dans les cartographies ou dans les tableaux de bord. Le suivi des événements métier, tels que les transactions, jobs ou traitements est essentiel pour garantir l'efficacité opérationnelle.

Voici quelques exemples concrets :

  • Nombre de commandes reçues
  • Nombre de traitements réussis / échoués
  • Durée moyenne d’un processus métier
  • KPI business

En intégrant des KPI spécifiques à votre secteur, vous pouvez aligner la supervision technique avec les objectifs stratégiques de votre entreprise. Cela permet de surveiller et corréler les données business importantes pour prendre des décisions éclairées et optimiser les processus.

L'absence d'événements attendus peut parfois être aussi révélatrice que leur présence. En configurant un objet ServicePilot Search pour détecter ces absences, vous pouvez identifier rapidement les interruptions de service ou les dysfonctionnements qui pourraient passer inaperçus autrement. Par exemple, lors de la supervision des transactions financières, si aucune transaction n'est enregistrée pendant une période donnée (par exemple, une heure), cela pourrait indiquer un problème avec le système de traitement des paiements ou une interruption de service.

Comment créer un objet ServicePilot Search ?

Lorsque vous créez un objet Search, il est essentiel d'adopter quelques bonnes pratiques pour optimiser sa performance. Il est crucial de toujours vérifier la pertinence des requêtes afin d'éviter les résultats trop larges et d'utiliser des filtres précis pour améliorer les performances. De plus, il est recommandé de définir des fréquences adaptées au volume de données traitées et de partager les requêtes sauvegardées pour standardiser l’usage entre différentes équipes. Enfin, corréler plusieurs objets Search permet d'enrichir l'analyse et d'obtenir des résultats plus complets et précis.

Dans l'exemple suivant, nous allons rechercher et compter les événements Windows avec l'ID 1102 ou 104 (Windows Event Logs Cleared). Ces Windows Events mettent en avant les activités d'effacement des journaux. Un tel comportement est significatif, car il peut indiquer une tentative de dissimulation des traces après des activités malveillantes. Si elle s'avère malveillante, cette action pourrait entraver les enquêtes judiciaires et permettre aux attaquants de passer inaperçus.

L'événement Sécurité ID 1102 est un événement de sécurité indiquant que le journal d'audit a été effacé.
L'événement Système ID 104 indique quant à lui que les journaux d'application ont été effacés.

Ces évènements ne devraient normalement pas apparaître, sauf si les journaux sont effacés manuellement par un administrateur ou par un processus. Il est donc recommandé de les surveiller régulièrement afin de détecter d'éventuelles failles de sécurité.

Étape 1 : tester la requête de recherche

  • Aller sur l’interface "Explorateur de données"
  • Choisir la collection "WindowsEvent" sous la catégorie "Object Log"
  • Tester la requête "EventID:(1102 OR 104)" pour vérifier les résultats
Requête dans l'explorateur de données ServicePilot

Étape 2 : configurer l’objet Search

  • Aller sur "Provisioning" et déployer un package "misc-search"
  • Indiquer le nom de la recherche, éventuellement une description
  • Renseigner la source "Object Log" et la classe "WindowsEvent"
  • Insérer la requête que l'on a créé dans l'étape 1 "EventID:(1102 OR 104)"
  • Ajuster la fréquence d’exécution et si besoin, choisir les opérations statistiques (count, avg, sum, min, max, etc.) à appliquer. Dans ce cas-ci, nous pouvons laisser le Count par défaut
  • Cliquer sur les boutons "OK" puis "Save" pour déployer l'objet Search
Paramétrage de l'objet Search ServicePilot

Étape 3 : valider et exploiter les données

  • Vérifier la cohérence des métriques et ajuster si nécessaire. Pour davantage de granularité, nous pourrions vouloir définir une seconde requête dans le même objet pour compter les évènements 1002 puis une troisième ciblant le nombre d'évènements 104
  • Visualiser l’évolution dans le temps pour définir un seuil dans une Policy de type Seuil
  • Intégrer l'objet Search dans des dashboards personnalisés et dans les cartographies
  • Paramétrer une Policy de type Alerte pour être notifié par email lors du dépassement du seuil défini
Description et graphe de l'objet Search ServicePilot

Transformer la donnée brute en insights opérationnels

Les objets ServicePilot Search représentent une brique essentielle pour tirer pleinement parti des données accumulées dans vos environnements IT.

Ils permettent de :

  • Transformer des données brutes en objets et en indicateurs standards
  • Créer des alertes intelligentes
  • Surveiller et visualiser des tendances
  • Intégrer les données dans les tableaux de bord et les cartographies
  • Accélérer les analyses et les diagnostics
  • Améliorer la précision de la supervision

Ils offrent un moyen simple, puissant et flexible d’exploiter vos logs, métriques et événements pour améliorer la qualité de la supervision et la performance opérationnelle.

Vous avez aimé cet article ? N'hésitez pas à le partager

plus de ressources

Explorateur de DonnéesAnalyse et gestion des logsAlerting & IA