Oracle Cloud Infrastructure-Dokumentation

Logging-Suche

Auf der Seite Suchen von Logging können Sie Logs durchsuchen.

Logging bietet ein leistungsstarkes Tool zum Durchsuchen indexierter Logs. Mit der Konsole können Sie folgende Aufgaben ausführen:

  • Logs durchsuchen, entweder in einem einfachen Benutzeroberflächenmodus oder durch die Eingabe benutzerdefinierter Abfragen in einem erweiterten Modus.
  • Werte in Logs filtern, sei es nach Logfeldern, Textsuche oder Zeitintervallen, und zwar in Bezug auf ausgewählte Compartments oder Loggruppen.
  • Logdaten in einer Balkendiagrammansicht mit den zugehörigen tabellarischen Daten visualisieren.
  • Jede einzelne Logzeile ausführlicher untersuchen. Raw-JSON-Payload und Vorher/Nachher-Informationen anzeigen.
  • Suchergebnisse in eine JSON-Datei exportieren.

Logs sind standardmäßig indexiert, sodass sie mit der Konsole durchsucht werden können.

Hinweis

Damit Logs verfügbar sind und die Suche in einem bestimmten Zeitrahmen möglich ist, müssen sie zuerst aktiviert werden. Sie können erst nach Beginn der Aufnahme nach Logs suchen.

Sie können Logsuchen entweder mit den Basismodus-Filtersteuerelementen in der Schnittstelle oder über die Schnittstelle Erweiterter Modus für benutzerdefinierte Abfragesprachen ausführen. Weitere Informationen finden Sie unter Einfache Suchabfragen und Erweiterte Suchabfragen. Suchen können auch gespeichert werden, und Sie können auch mehrere Regionen durchsuchen.

Hinweis

Bei Logsuchabfragen ist nur ein 14-Tage-Bereich verfügbar.

Erforderliche IAM-Policy

Um Oracle Cloud Infrastructure verwenden zu können, muss ein Administrator Mitglied einer Gruppe sein, der Sicherheitszugriff in einer Policy von einem Mandantenadministrator erteilt wurde. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Meldung erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen sie den Mandantenadministrator, welcher Zugriffstyp Ihnen zugewiesen wurde und In welchem Compartment Ihr Zugriff funktioniert.

Administratoren: Spezifische Policy-Beispiele finden Sie unter Erforderliche Berechtigungen für das Durchsuchen von Logs.

Wenn Sie mit Policys neu sind, finden Sie weitere Informationen unter Identitätsdomains verwalten und Allgemeine Policys. Weitere Informationen zum Schreiben von Policys für Logging finden Sie unter Details zu Logging.

Erforderliche Berechtigungen für das Durchsuchen von Logs

Damit ein Benutzer indexierte Logs durchsuchen kann, muss er die read-Berechtigung für den Loginhalt und den read-Zugriff auf die Loggruppe besitzen. 

allow group GroupA to read log-groups in tenancy
allow group GroupA to read log-content in tenancy

Damit Sie indexierte Logs durchsuchen können, müssen Sie Zugriff auf die Loggruppe haben, die die indexierten Logs enthält. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für die Arbeit mit Logs und Loggruppen.

Damit Sie Auditlogs anzeigen und durchsuchen können, benötigen Sie ebenfalls die entsprechenden auditbezogenen Berechtigungen. Weitere Informationen finden Sie unter Details zum Audit-Service. Beispiel:

  • search "compartment" erfordert AUDIT_EVENT_READ. Wenn Logobjekte vorhanden sind, ist auch LOG_CONTENT_READ erforderlich.
  • search "compartment/_Audit" erfordert nur AUDIT_EVENT_READ.
  • search "compartmentOcid/logGroupNameOrOcid/logNameOrOcid" erfordert nur LOG_CONTENT_READ.
  • search "compartmentOcid1/_Audit" "compartmentOcid2/logGroupNameOrOcid/logNameOrOcid" erfordert LOG_CONTENT_READ für logGroupNameOrOcid und AUDIT_EVENT_READ für compartmentOcid1.

Einfache Suchabfragen

So durchsuchen und filtern Sie Logs:

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Observability and Management aus. Wählen Sie unter Logging die Option Suchen aus.
  2. Wenn Sie unter Benutzerdefinierte Filter mit der Eingabe beginnen, werden sowohl Filtereinstellungen als auch Operatoren automatisch angezeigt. Beispiel: Wenn Sie d eingeben, werden Filter angezeigt, die mit diesem Buchstaben beginnen. Verwenden Sie die Nach-oben- bzw. Nach-unten-Pfeiltaste, um einen Eintrag in der Liste auszuwählen, oder setzen Sie die Eingabe fort, um das zu filternde Element zu bestimmen. Beispiel: data.compartmentName='<tenancy_name>'.
  3. Unter Zu suchende Logs auswählen ist das Root Compartment bereits standardmäßig zum Filtern ausgewählt. Wählen Sie dieses Feld aus, um den Fensterbereich Zu suchende Protokolle auswählen zu eröffnen, in dem Sie nur nach Compartments filtern können, für die Sie berechtigt sind, aber auch nach Loggruppen und Logs. Sie können nach mehreren Compartments und Loggruppen filtern. Wählen Sie bei allen Filtern, die Sie in diesem Fensterbereich erstellen und die Sie entfernen möchten, im Feld Zu suchende Logs auswählen das Filtersymbol X aus.
  4. Sie können die Ergebnisse auf einen bestimmten Zeitraum beschränken. Wählen Sie unter Nach Zeit filtern einen vordefinierten Zeitraum in der Liste aus, oder wählen Sie Benutzerdefiniert aus, um einen Datumsbereich in den Kalendern Startdatum und Enddatum anzugeben. Sie können auch einen Zeitwert in dem Feld neben dem Kalender angeben. Mit einer Endzeit können Sie das Zeitfenster eingrenzen.
  5. Die Logdaten in den Registerkarten Explorieren und Visualisieren werden gemäß Ihren Filtereinstellungen neu geladen. Oder Sie können Suchen auswählen, um den Filter anzuwenden.
Hinweis

Da die Seite Suchen nach dem Anwenden von Filtern und Auswählen von Logs automatisch aktualisiert wird, müssen Sie nicht die Schaltfläche Suchen auswählen, wenn Sie verschiedene Filter auswählen. Sie müssen jedoch erneut auf Suchen klicken, nachdem einige Zeit vergangen ist und neue Logs angezeigt werden. Bei Abfragen im erweiterten Modus müssen Sie jedoch immer diese Schaltfläche wählen, um eine Abfrage weiterzuleiten.
Hinweis

Die Filtereinstellungen werden beibehalten, wenn Sie in den Erweiterten Modus wechseln.

Um Filter von der Seite Suchen zu entfernen, wählen Sie unter Filter das Symbol X neben dem Filter aus.

Weitere Informationen zu Suchergebnissen finden Sie unter Suchergebnisse anzeigen und mit Suchergebnissen arbeiten und Suchergebnisse visualisieren für weitere Informationen zur Visualisierung von Suchen im Einfachmodus.

Erweiterte Suchabfragen

Wenn sie auf der Seite Loggingsuche eine Suche durchführen, können Sie auf die Option Erweiterten Modus anzeigen klicken, um Ihre eigenen benutzerdefinierten Logsuchabfragen einzugeben. Darüber hinaus bietet das Suchen im Erweiterten Modus umfassendere Suchoptionen, die im Basismodus nicht verfügbar ist.

Standardmäßig wird im Feld Abfrage Folgendes angezeigt, nachdem Sie die Option Erweiterten Modus anzeigen ausgewählt haben:

search "ocid1.tenancy.oc1..<unique_id>" | sort by datetime desc

Sie können diese Standardsuche ändern, indem Sie Folgendes eingeben:

search "ocid1.tenancy.oc1..<unique_id>" | sort by datetime desc
| summarize count() as cnt by rounddown(datetime,  '15m') as interval

Dadurch werden {"interval": 1600364700000,"cnt": 31} und {"interval": 1600365600000,"cnt": 220} unter Logdaten in der Registerkarte Explorieren zurückgegeben.

Bei der Eingabe von Suchabfragen werden automatisch vervollständigte Hinweise bereitgestellt (die Sie während der Eingabe in einem Popup-Menü auswählen können). Außerdem wird bei der Eingabe einer Abfrage die Syntaxvalidierung in Echtzeit im Hintergrund ausgeführt.

Hinweis

Wenn Sie vom Erweiterten Modus in den Basismodus wechseln, geht die Abfrage verloren, was bedeutet, dass sie im Basismodus nicht verfügbar ist. In diesem Fall wird eine Warnmeldung angezeigt, in der Sie aufgefordert werden, Ihre Entscheidung zu bestätigen.

Die Suche im Erweiterten Modus verwendet eine bestimmte Syntax, die auf der Loggingabfragesprache basiert. Informationen hierzu finden Sie unter Spezifikation der Loggingsprache.

Weitere Informationen zu Suchergebnissen finden Sie unter Suchergebnisse anzeigen und mit Suchergebnissen arbeiten und Suchergebnisse visualisieren für weitere Informationen zur Visualisierung von Suchen im erweiterten Modus.