1. Oracle Log Analyticsの使用
  2. Oracle Log Analyticsの管理
  3. パーサーの作成
  4. 正規表現タイプ・パーサーの手動作成
機械翻訳について

正規表現タイプ・パーサーの手動作成

ログのパーサー式を特定したら、「手動」タブをクリックします。

警告:

「正規表現タイプ」では、パーサーの作成のための「手動」モードの選択後は、「ガイド付き」モードに変更できません。

  1. 「Parser」フィールドに解析名を入力します。 たとえば、「Database Audit Log Entries」と入力します。

    識別しやすくするために、パーサーに適切な説明を提供します。

  2. 「ログ・コンテンツの例」フィールドで、解析するログ・ファイルの内容を次のように貼り付けます: 

    Tue May  6 23:51:23 2014
LENGTH : '157'
ACTION :[7] 'CONNECT'
DATABASE USER:[3] 'sys'
PRIVILEGE :[6] 'SYSDBA'
CLIENT USER:[8] 'user1'
CLIENT TERMINAL:[0] ''
STATUS:[1] '0'
DBID:[9] '592398530'

Tue May  6 23:51:23 2014 +08:00
LENGTH : '157'
ACTION :[7] 'CONNECT'
DATABASE USER:[3] 'sys'
PRIVILEGE :[6] 'SYSDBA'
CLIENT USER:[8] 'user1'
CLIENT TERMINAL:[0] ''
STATUS:[1] '0'
DBID:[9] '592398530'

    必要に応じて、「ファイル全体を単一のログ・エントリとして扱う」チェックボックスをオンにします。 その場合は、チェック・ボックスの「このコンテンツを下付きテキスト検索を有効にします」を選択することを検討してください。 このオプションでは、「RAWテキスト」フィールドを使用してログ・レコードを検索できます。 有効にすると、元のログ・コンテンツをRawテキストで表示できます。

  3. 「Parse Expression」フィールドに、式を区切って入力します。

    解析式は各ログ・タイプに対して一意で、実際のログ・エントリの形式によって異なります。 この例では、次のように入力します。 

    \w+\s+(\w{3})\s+(\d{1,2})\s+(\d{2})\:(\d{2})\:(\d{2})\s+(\d{4})(?:\s+([+-]\d{2}\:?\d{2}))?.*

    ノート:

    • Oracle Log Analyticsを使用すると、TIMEDATE式の形式を使用して、ログ・ファイルで使用可能なローカルの時間と日付を解析することもできます。

      そのため、TIMEDATE式形式を使用するログの場合、先行する解析式を次のように記述する必要があります。 

      {TIMEDATE}\s+(\d{1,2})\s+(\d{2})\:(\d{2})\:(\d{2})\s+(\d{4})(?:\s+([+-]\d{2}\:?\d{2}))?.*

    • 一部のログ・イベントにログに割り当てられた年がない場合、Oracle Log Analyticsはそれらのイベントに年を割り当てます。

    • 1つのログ・レコードとして解析されるログ・ファイルのパーサーで時間と日付が指定されていない場合、ログ・ファイルの「最終変更時間」Oracle Log Analyticsによって考慮され、対応するデータが取得されます。 日付と時間のデータは、エージェント経由のログ・ファイルでのみ取得でき、オンデマンドでアップロードされたログ・ファイルでは取得できないことに注意してください。

    ノート:

    • コンテンツの前後にスペースを入れないでください。

    • 解析された式に隠れた文字が含まれていると、「パーサーを作成」インタフェースはエラー・メッセージを出します:

      Parser expression has some hidden control characters.

      このデフォルトのレスポンスを無効にするには、エラー・メッセージが表示された時点で「隠れた制御文字を表示」チェック・ボックスの選択を解除します。

    解析式の作成についてさらに学習するには、「解析式のサンプル」を参照してください。

  4. 適切な「ログ・レコード・スパン」を選択します。

    ログ・エントリは1行または複数行のどちらも可能です。 複数の行を選択した場合は、ログ・レコードの開始式を入力します。

    この例では、開始式は次のようになります。
    \w+\s+(\w{3})\s+(\d{1,2})\s+(\d{2})\:(\d{2})\:(\d{2})\s+(\d{4})

    必要に応じて、終了式も入力できます。 「式の終了」を使用して、ログ・レコードの終了を指定します。 ログ・レコードが複数のチャンクでファイルに書き込まれ、エージェントがすべてのチャンクを含む完全なログ・レコードを取得するようにするには、end regexを使用します。 エージェントは終了正規表現パターンが一致するまで待機してから、ログ・レコードを収集します。 「エントリ開始式」と同じ書式ルールが終了式に適用されます。

    「ログ・レコード・スパン」として「複数行」を選択した場合、「ファイル全体を単一のログ・エントリとして扱う」を選択できます。 このオプションを使用すると、ログ・ファイル全体を1つのログ・レコードとして解析できます。 これは、Java Hotspot Dumpログ、パッケージのRPMリストなどのログ・ソースを解析するときに特に便利です。

  5. 「Fields」タブで、ログ・エントリの各コンポーネントに対する関連タイプを選択します。

    各コンポーネントに対し、名前を選択します。 例の最初のコンポーネントは、次のように入力できます。

    • Field Name: 月(短縮名)

    • Field Data Type: STRING

    • Field Description: Janなどの短縮名としての、ログ・エントリ時間の月コンポーネント

    • Field Expression: (\w{3})

    フィールド名にカーソルを合わせると、情報アイコンが表示されます。 アイコンをホバーすると、フローティング・ウィンドウ内のフィールドの説明が表示されます。

  6. 「関数」タブで、「追加」をクリックして、必要に応じてログ・イベントを前処理する関数を追加します。 「ログ・イベントの前処理」を参照してください。

  7. 「Parser Test」タブをクリックし、新しく作成されたパーサーがログ・コンテンツから値を抽出する方法を表示します。

    パーサー・テストに失敗したイベントのリストと失敗の詳細を表示できます。

「保存」をクリックして、作成した新規パーサーを保存します。

regexタイプのパーサーの作成を中止し、JSONタイプ・パーサーの作成に切り替えるには、「タイプ」JSONを選択します。