Après avoir collecté des données provenant de plusieurs sources, vous devez déterminer comment ces données peuvent vous aider à résoudre votre incident.
Pour analyser les données, effectuez les actions suivantes :
- Déterminez quelles sources de données sont les plus susceptibles d'apporter des informations sur l'incident et démarrez votre analyse à partir de celles-ci. Par exemple, si votre incident est lié à l'installation, démarrez votre analyse par les fichiers journaux de l'installation (s'il y en a), plutôt que par les fichiers journaux du système d'exécution ou du produit général.
- Vous devez comprendre clairement les relations existant entre les différents éléments de données. Par exemple, si les données sont étendues à plus d'un système, vos données doivent être bien organisées afin que vous connaissiez les éléments de données et les sources qui vont ensemble.
- Assurez-vous que chaque élément des données de diagnostic respecte les délais de l'incident en contrôlant les horodatages. Vous remarquerez que les données provenant de différentes sources peuvent avoir des formats d'horodatage différents ; veillez à bien comprendre la séquence des différents éléments dans chaque format d'horodatage afin de pouvoir dire à quel moment les événements se sont produits.
Même si la méthode d'analyse est propre à chaque source de données, le conseil qu'on peut appliquer à la plupart des traces et des fichiers journaux est de démarrer en identifiant le point des données où l'incident s'est produit. Après l'identification de ce point, vous pouvez travailler en amont dans le temps sur les données afin de retrouver la cause d'origine de l'incident.
Si vous cherchez à résoudre un incident pour lequel vous avez des données comparatives entre un environnement d'exécution et un environnement de non-exécution, commencez par comparer les informations de configuration du produit et du système d'exécution de chaque environnement.