Oracle Cloud Infrastructure-Dokumentation

Quelle erstellen

Quellen definieren den Speicherort der Entitylogs und die Anreicherung der Logeinträge. Um die kontinuierliche Logerfassung über die OCI-Management-Agent zu starten, muss eine Quelle mit mindestens einer Entity verknüpft sein.

Hinweis

Für spezifischere Schritte

Weitere Themen:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Log Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

    Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.

    Die Seite Quellen wird geöffnet. Klicken Sie auf Quelle erstellen.

  2. Geben Sie im Feld Name den Namen der Quelle ein.

    Fügen Sie optional eine Beschreibung hinzu.

  3. Wählen Sie in der Liste Quelltyp den Typ für die Logquelle aus.
    Oracle Log Analytics unterstützt drei Logquellentypen für benutzerdefinierte Quellen:

    • Datei: Verwenden Sie diesen Typ, um die meisten Logtypen wie Datenbank-, Anwendungs- und Infrastrukturlogs zu erfassen.

    • Oracle Diagnostic Logging (ODL): Verwenden Sie diesen Typ für Logs, die dem Oracle-Diagnoselogformat entsprechen. Diese werden in der Regel für Diagnoselogs für Oracle Fusion Middleware und Oracle Applications verwendet.

    • Syslog-Listener: Wird normalerweise für Netzwerkgeräte wie Intrusion Detection Appliance, Firewall oder andere Geräte verwendet, auf denen kein Management-Agent installiert werden konnte.

    • Microsoft Windows: Verwenden Sie diesen Typ, um Windows-Ereignismeldungen zu erfassen. Oracle Log Analytics kann alle historischen Windows-Ereignislogeinträge sammeln. Der Service unterstützt Windows sowie benutzerdefinierte Ereigniskanäle.

      Hinweis

      Für diesen Quelltyp ist das Feld Logparser nicht erforderlich.

    • Datenbank: Mit diesem Quelltyp können Sie die Logs erfassen, die in den Tabellen in einer On-Premise-Datenbank gespeichert sind. Bei diesem Quelltyp wird eine SQL -Abfrage ausgeführt, um die Tabellendetails als Logeinträge zu erfassen.

    • REST-API: Mit diesem Quelltyp können Sie eine kontinuierliche REST-API-basierte Logerfassung aus Endpunkt-URLs einrichten, die mit Logmeldungen antworten. Bei diesem Quelltyp wird ein GET- oder POST-API-Aufruf an der Endpunkt-URL vorgenommen, die Sie zum Abrufen der Logs angeben.

  4. Klicken Sie auf das Feld Entitytyp, und wählen Sie den Entitytyp für diese Logquelle aus. Wenn Sie diese Quelle später mit einer Entity verknüpfen, um die Logerfassung über den Management Agent zu aktivieren, sind nur Entitys dieses Typs für die Verknüpfung verfügbar. Eine Quelle kann einen oder mehrere Entitytypen aufweisen.

    • Wenn Sie Datei, REST-API oder Oracle Diagnostic Log (ODL) ausgewählt haben, wird empfohlen, den Entitytyp für die Logquelle auszuwählen, die am besten zu dem zu überwachenden Element passt. Vermeiden Sie die Auswahl von Mischentitytypen wie Datenbankcluster, und wählen Sie stattdessen den Entitytyp "Datenbankinstanz" aus, da die Logs auf Instanzebene generiert werden.

    • Wenn Sie den Quelltyp Syslog Listener ausgewählt haben, wählen Sie eine der Varianten von Host aus.

    • Wenn Sie den Quelltyp Datenbank ausgewählt haben, ist der Entitytyp auf die berechtigten Datenbanktypen beschränkt.

    • Wenn Sie den Quelltyp Windows-Ereignissystem ausgewählt haben, wird der Standardentitytyp Host (Windows) automatisch ausgewählt und kann nicht geändert werden.

  5. Klicken Sie auf das Feld Parser, und wählen Sie den entsprechenden Parsernamen aus, wie z.B. Database Audit Log Entries Format.
    Sie können mehrere Dateiparser für die Logdateien auswählen. Das ist besonders hilfreich, wenn eine Logdatei Einträge mit unterschiedlicher Syntax enthält und nicht von einem einzelnen Parser geparst werden kann.

    Achten Sie darauf, in welcher Reihenfolge Sie die Parser hinzufügen. Wenn Oracle Log Analytics eine Logdatei liest, wird der erste Parser benutzt und zum zweiten Parser gewechselt, wenn der erste nicht funktioniert. Dieser Vorgang wird fortgesetzt, bis ein funktionsfähiger Parser gefunden wird. Wählen Sie zuerst den gängigsten Parser für diese Quelle aus.

    Für den ODL-Quelltyp ist nur der Parser Oracle Diagnostic Logging Format verfügbar.

    Beim Syslog-Quelltyp wird in der Regel einer der Variantenparser wie "Syslog Standard Format" oder "Syslog RFC5424 Format" verwendet. Sie können auch einen von Oracle definierten Syslog-Parser für bestimmte Netzwerkgeräte auswählen.

    Das Feld "Dateiparser" ist für die Quelltypen Windows-Ereignissystem und REST-API nicht verfügbar. Für den Quelltyp Windows-Ereignissystem ruft Oracle Log Analytics bereits geparste Logdatenab.

    Um nur die Zeitinformationen aus den Logeinträgen zu parsen, können Sie den automatischen Zeitparser auswählen. Siehe Automatischen Zeitparser verwenden.

  6. Geben Sie je nach Quelltyp die folgenden Informationen ein:

    • Syslog-Quelltyp: Geben Sie den Listener-Port an.

    • Windows-Quelltyp: Geben Sie einen Ereignisservicekanalnamen an. Der Kanalname muss mit dem Namen des Windows-Ereignisses übereinstimmen, damit der Agent die Verknüpfung bilden kann, um Logs abzurufen.

    • Datenbankquelltyp: Geben Sie SQL-Anweisungen an, und klicken Sie auf "Konfigurieren". Ordnen Sie die SQL-Tabellenspalten den im Menü verfügbaren Feldern zu. Um ein neues Feld für die Zuordnung zu erstellen, klicken Sie auf das Symbol Symbol "Hinzufügen".

    • REST-API-Quelltyp: Klicken Sie auf Logendpunkt hinzufügen, um eine einzelne Logendpunkt-URL anzugeben, oder auf Loglistenendpunkt für mehrere Logs hinzufügen, um eine Loglistenendpunkt-URL für mehrere Logs anzugeben, aus denen die Logs basierend auf der Zeitkonfiguration in der UI regelmäßig erfasst werden können. Weitere Informationen zum Einrichten der REST-API-Logerfassung finden Sie unter REST-API-Logerfassung festlegen.

    • Datei- und ODL-Quelltypen: Verwenden Sie die Registerkarten "Aufnehmen" und "Ausschließen".

      • Klicken Sie auf der Registerkarte Enthaltene Muster auf Hinzufügen, um Dateinamensmuster für diese Quelle anzugeben.

        Geben Sie das Dateinamensmuster und die Beschreibung ein.

        Sie können Parameter in geschweiften Klammern {}, wie {AdrHome}, als Teil des Dateinamensmusters eingeben. Oracle Log Analytics ersetzt diese Parameter im Aufnahmemuster mit Entityeigenschaften, wenn die Quelle mit einer Entity verknüpft ist. Die Liste der möglichen Parameter wird durch den Entitytyp bestimmt. Wenn Sie Ihre eigenen Entitytypen erstellen, können Sie eigene Eigenschaften definieren. Beim Erstellen einer Entity werden Sie aufgefordert, für jede Eigenschaft für diese Entity einen Wert anzugeben. Bei Bedarf können Sie auch Ihre eigenen benutzerdefinierten Eigenschaften pro Entity hinzufügen. Alle diese Eigenschaften können hier in Enthaltene Muster als Parameter verwendet werden.

        Beispiel: Bei einer Entity, bei der die Eigenschaft {AdrHome} auf /u01/oracle/database/ gesetzt ist, wird das Aufnahmemuster {AdrHome}/admin/logs/*.log für diese Entity durch /u01/oracle/database/admin/logs/*.log ersetzt. Jede andere Entity auf demselben Host kann einen anderen Wert für {AdrHome} aufweisen. Dadurch würde für jede Entity ein ganz anderes Set von Logdateien erfasst.

        Sie können eine Quelle nur dann mit einer Entity verknüpfen, wenn die Parameter, die die Quelle in den Mustern erfordert, einen Wert für die angegebene Entity aufweisen.

        Sie können Warnungen bei der Logerfassung für die Muster konfigurieren. Wählen Sie in der Dropdown-Liste "Warnung senden" die Situation aus, in der die Warnung ausgegeben werden soll:

        • Für jedes Muster, das ein Problem aufweist: Wenn Sie mehrere Aufnahmemuster festgelegt haben, wird für jedes nicht übereinstimmende Dateinamensmuster eine Logerfassungswarnung gesendet.

        • Nur wenn alle Muster Probleme aufweisen: Wenn Sie mehrere Aufnahmemuster festgelegt haben, wird nur dann eine Logerfassungswarnung gesendet, wenn kein Dateinamensmuster übereinstimmt.

      • Sie können ein ausgeschlossenes Muster verwenden, wenn sich Dateien in demselben Speicherort befinden, die Sie nicht in die Quelldefinition aufnehmen möchten. Klicken Sie auf der Registerkarte Ausgeschlossene Muster auf Hinzufügen, um Muster von Logdateinamen zu definieren, die aus dieser Logquelle ausgeschlossen werden sollen.

        Beispiel: Das Verzeichnis, das Sie als Aufnahmequelle konfiguriert haben (/u01/app/oracle/admin/rdbms/diag/trace/), enthält die Datei audit.aud. In demselben Verzeichnis ist eine weitere Datei mit dem Namen audit-1.aud vorhanden. Sie können alle Dateien mit dem Muster audit-*.aud ausschließen.

  7. Fügen Sie Datenfilter hinzu. Siehe Datenfilter in Quellen verwenden.
  8. Fügen Sie erweiterte Felder hinzu. Siehe Erweiterte Felder in Quellen verwenden.
  9. Konfigurieren Sie Optionen für die Feldanreicherung. Siehe Feldanreicherungsoptionen konfigurieren.
  10. Labels hinzufügen. Siehe Labels in Quellen verwenden.
  11. Klicken Sie auf Speichern.

Datenfilter in Quellen verwenden

Mit Oracle Log Analytics können Sie sensible Informationen in Logeinträgen maskieren und ausblenden sowie ganze Logeinträge verbergen, bevor die Logdaten in die Cloud hochgeladen werden.

Auf der Registerkarte Datenfilter können Sie beim Bearbeiten oder Erstellen einer Quelle IP-Adresse, Benutzer-ID, Hostname und andere sensible Informationen mit Ersetzungszeichenfolgen maskieren, bestimmte Schlüsselwörter und Werte aus einem Logeintrag ausblenden und einen gesamten Logeintrag ausblenden.

Sie können Datenfilter beim Erstellen einer Logquelle oder beim Bearbeiten einer vorhandenen Quelle hinzufügen. Weitere Informationen zum Bearbeiten vorhandener Logquellen finden Sie unter Von Oracle definierte Quelle anpassen.

Wenn die Logdaten mit On-Demand-Upload oder -Erfassung aus dem Objektspeicher an Oracle Log Analytics gesendet werden, erfolgt die Maskierung auf Cloud-Seite, bevor die Daten indiziert werden. Wenn Sie Logs mit dem Management Agent erfassen, werden die Logs maskiert, bevor der Inhalt Ihren Standort verlässt.

Themen:

Logdaten maskieren

Bei der Maskierung wird vorhandener Text durch anderen statischen Text ersetzt, um den ursprünglichen Inhalt zu verbergen.

Wenn Sie Informationen wie den Benutzernamen und den Hostnamen aus den Logeinträgen maskieren möchten, gehen Sie wie folgt vor:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Log Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

  2. Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.

  3. Klicken Sie auf den Namen der Quelle, die Sie bearbeiten möchten. Die Seite mit den Quellendetails wird geöffnet. Klicken Sie auf Bearbeiten, um die Quelle zu bearbeiten.

  4. Klicken Sie auf die Registerkarte Datenfilter und dann auf Hinzufügen.

  5. Geben Sie die Maske Name ein, und wählen Sie Maskieren als Typ aus. Geben Sie dann den Wert für Find-Ausdruck und den zugehörigen Wert für Replace-Ausdruck ein.

    Der Wert für "Find-Ausdruck" kann eine Klartext oder ein regulärer Standardausdruck sein. Der Text, der mit dem Find-Ausdruck übereinstimmt, wird im gesamten Logeintrag durch den Replace-Ausdruck ersetzt.

    Name Find-Ausdruck Replace-Ausdruck
    Benutzername maskieren User=\S User=confidential
    Host maskieren Host=\S+ Host=mask_host
    Hinweis

    Die Syntax der Ersetzungszeichenfolge muss mit der Syntax der zu ersetzenden Zeichenfolge übereinstimmen. Beispiel: Eine Zahl darf nicht durch eine Zeichenfolge ersetzt werden. Eine IP-Adresse im Format 123.45.67.89 muss durch 000.000.000.000 und nicht durch 000.000 ersetzt werden. Wenn die Syntaxen nicht übereinstimmen, funktionieren die Parser möglicherweise nicht.

  6. Klicken Sie auf Speichern.

Wenn Sie die maskierten Logeinträge für diese Logquelle anzeigen, werden Sie feststellen, dass Oracle Log Analytics die Werte der von Ihnen angegebenen Felder maskiert hat.

  • Benutzer = confidential

  • Host = mask_host

Logdaten per Hash maskieren

Wenn Sie die Logdaten wie im vorherigen Abschnitt beschrieben mit der Maske maskieren, werden die maskierten Informationen durch eine statische Zeichenfolge ersetzt, die im Replace-Ausdruck angegeben ist. Beispiel: Wenn der Benutzername mit der Zeichenfolge confidential maskiert wird, wird der Benutzername immer durch den Ausdruck confidential in den Logdatensätzen für jedes Vorkommen ersetzt. Mit der Hashmaske können Sie den gefundenen Wert mit einem eindeutigen Wert hashen. Beispiel: Wenn die Logdatensätze mehrere Benutzernamen enthalten, wird jeder Benutzername mit einem eindeutigen Wert gehasht. Wenn also die Zeichenfolge user1 bei jedem Vorkommen durch den Texthash ebdkromluceaqie ersetzt wird, kann immer noch anhand des Hashs identifiziert werden, dass diese Logeinträge für denselben Benutzer gelten. Der tatsächliche Benutzername wird jedoch nicht angezeigt.

Zugehöriges Risiko: Da es sich hierbei um einen Hash handelt, können Sie den tatsächlichen Wert des maskierten Originaltexts nicht wiederherstellen. Wenn Sie jedoch einen Hash einer beliebigen Zeichenfolge erstellen, wird dabei jedes Mal der gleiche Hash erzeugt. Berücksichtigen Sie dieses Risiko bei der Hashmaskierung der Logdaten. Beispiel: Die Zeichenfolge oracle hat den MD5-Hash a189c633d9995e11bf8607170ec9a4b8. Jedes Mal, wenn jemand versucht, einen MD5-Hash der Zeichenfolge oracle zu erstellen, wird immer derselbe Wert erzeugt. Sie können diesen MD5-Hash nicht wieder in die ursprüngliche Zeichenfolge oracle umwandeln. Wenn aber jemand versucht, den Wert oracle zu erraten, und seinen Hash erstellt, stimmt dieser Hash mit dem im Logeintrag überein.

So wenden Sie den Datenfilter der Hashmaske auf Logdaten an:

  1. Gehen Sie zur Seite Quelle erstellen. Die Schritte finden Sie unter Quelle erstellen.

  2. Sie können auch eine bereits vorhandene Quelle bearbeiten. Die Schritte zum Öffnen der Seite "Quelle bearbeiten" finden Sie unter Quelle bearbeiten.

  3. Klicken Sie auf die Registerkarte Datenfilter und dann auf Hinzufügen.

  4. Geben Sie die Maske Name ein, und wählen Sie Hashmaske als Typ aus. Geben Sie dann den Wert für Find-Ausdruck und den zugehörigen Wert für Replace-Ausdruck ein.

    Name Find-Ausdruck Replace-Ausdruck
    Benutzername maskieren User=(\S+)s+ Textbasierter Hashwert
    Port maskieren Port=(\d+)s+ Numerischer Hashwert

  5. Klicken Sie auf Speichern.

Wenn Sie "Hashmaske" für ein Feld verwenden möchten, das zeichenfolgenbasiert ist, können Sie einen textbasierten oder numerischen Hashwert als Zeichenfolgenfeld verwenden. Wenn Ihr Datenfeld jedoch numerisch ist, z.B. eine Ganzzahl, ein Long-Wert oder eine Gleitkommazahl, müssen Sie einen numerischen Hashwert verwenden. Wenn Sie keinen numerischen Hashwert verwenden, führt der Ersetzungstext dazu, dass Ihre regulären Ausdrücke, für die dieser Wert eine Zahl sein muss, nicht funktionieren. Der Wert wird auch nicht gespeichert.

Werte werden ersetzt, bevor die Daten geparst werden. Wenn die Daten maskiert werden müssen, ist es normalerweise nicht klar, ob sie immer numerisch sind. Daher müssen Sie beim Erstellen der Maskendefinition den Hashtyp bestimmen.

Als Ergebnis der obigen Hashmaskierung wird jeder Benutzername durch einen eindeutigen Texthash ersetzt und jede Portnummer durch einen eindeutigen numerischen Hashwert.

Sie können die Hashmaske beim Filtern oder Analysieren der Logdaten verwenden. Siehe Logs nach Hashmaske filtern.

Bestimmte Schlüsselwörter oder Werte aus Logdatensätzen ausblenden

Mit Oracle Log Analytics können Sie nach einem bestimmten Schlüsselwort oder Wert in Logdatensätzen suchen und das übereinstimmende Schlüsselwort oder den übereinstimmenden Wert löschen, wenn dieses Schlüsselwort in den Logdatensätzen vorhanden ist.

Beispiellogdatensatz:

ns5xt_119131: NetScreen device_id=ns5xt_119131  [Root]system-notification-00257(traffic): start_time="2017-02-07 05:00:03" duration=4 policy_id=2 service=smtp proto=6 src zone=Untrust dst zone=mail_servers action=Permit sent=756 rcvd=756 src=192.0.2.1 dst=203.0.113.1 src_port=44796 dst_port=25 src-xlated ip=192.0.2.1 port=44796 dst-xlated ip=203.0.113.1 port=25 session_id=18738

Wenn Sie das Schlüsselwort device_id und seinen Wert aus dem Logdatensatz ausblenden möchten:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Log Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

  2. Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.

  3. Klicken Sie auf den Namen der Quelle, die Sie bearbeiten möchten. Die Seite mit den Quellendetails wird geöffnet. Klicken Sie auf Bearbeiten, um die Quelle zu bearbeiten.

  4. Klicken Sie auf die Registerkarte Datenfilter und dann auf Hinzufügen.

  5. Geben Sie den Filter Name ein, wählen Sie Ausblendzeichenfolge als Typ aus, und geben Sie den Wert für Find-Ausdruck ein, z.B. device_id=\S*.

  6. Klicken Sie auf Speichern.

Wenn Sie die Logdatensätze für diese Quelle anzeigen, werden Sie feststellen, dass Oracle Log Analytics die von Ihnen angegebenen Schlüsselwörter oder Werte gelöscht hat.

Hinweis

Stellen Sie sicher, dass Ihr regulärer Parserausdruck mit dem Logdatensatzmuster übereinstimmt. Andernfalls kann Oracle Log Analytics die Datensätze nach Löschen des Schlüsselworts möglicherweise nicht korrekt parsen.

Hinweis

Sie können nicht nur Datenfilter beim Erstellen einer Quelle hinzufügen, sondern auch eine vorhandene Quelle bearbeiten, um Datenfilter hinzuzufügen. Weitere Informationen zum Bearbeiten vorhandener Quellen finden Sie unter Von Oracle definierte Quelle anpassen.

Gesamten Logeintrag basierend auf bestimmten Schlüsselwörtern ausblenden

Mit Oracle Log Analytics können Sie nach einem bestimmten Schlüsselwort oder Wert in Logdatensätzen suchen und einen ganzen Logeintrags in einem Logdatensatz löschen, wenn dieses Schlüsselwort vorhanden ist.

Beispiellogdatensatz:

ns5xt_119131: NetScreen device_id=ns5xt_119131  [Root]system-notification-00257(traffic): start_time="2017-02-07 05:00:03" duration=4 policy_id=2 service=smtp proto=6 src zone=Untrust dst zone=mail_servers action=Permit sent=756 rcvd=756 src=198.51.100.1 dst=203.0.113.254 src_port=44796 dst_port=25 src-xlated ip=198.51.100.1 port=44796 dst-xlated ip=203.0.113.254 port=25 session_id=18738

Angenommen, Sie möchten den gesamten Logeintrag ausblenden, wenn das Schlüsselwort device_id darin vorhanden ist:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Log Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

  2. Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.

  3. Klicken Sie auf den Namen der Quelle, die Sie bearbeiten möchten. Die Seite mit den Quellendetails wird geöffnet. Klicken Sie auf Bearbeiten, um die Quelle zu bearbeiten.

  4. Klicken Sie auf die Registerkarte Datenfilter und dann auf Hinzufügen.

  5. Geben Sie den Filter Name ein, wählen Sie Logeintrag ausblenden als Typ aus, und geben Sie den Wert für Find-Ausdruck ein, z.B. .*device_id=.*.

    Der reguläre Ausdruck muss unbedingt mit dem gesamten Logeintrag übereinstimmen. Wenn Sie .* vor und am Ende des regulären Ausdrucks verwenden, wird sichergestellt, dass er mit jedem weiteren Text im Logeintrag übereinstimmt.

  6. Klicken Sie auf Speichern.

Wenn Sie die Logeinträge für diese Logquelle anzeigen, werden Sie feststellen, dass Oracle Log Analytics alle Logeinträge gelöscht hat, in denen die Zeichenfolge device_id enthalten ist.

Hinweis

Sie können nicht nur Datenfilter beim Erstellen einer Quelle hinzufügen, sondern auch eine vorhandene Quelle bearbeiten, um Datenfilter hinzuzufügen. Weitere Informationen zum Bearbeiten vorhandener Quellen finden Sie unter Von Oracle definierte Quelle anpassen.

Erweiterte Felder in Quellen verwenden

Mit der Funktion "Erweiterte Felder" in Oracle Log Analytics können Sie zusätzlich zu allen Feldern, die vom Parser geparst wurden, weitere Felder aus einem Logdatensatz extrahieren.

In der Quelldefinition wird ein Parser ausgewählt, der eine Logdatei in Logdatensätze und jeden Logdatensatz in ein Set aus Basisfeldern aufteilt kann. Diese Basisfelder müssen für alle Logdatensätze konsistent sein. Ein Basisparser extrahiert allgemeine Felder aus einem Logdatensatz. Wenn Sie jedoch zusätzliche Felder aus dem Inhalt der Logeinträge extrahieren müssen, können Sie die erweiterte Felddefinition verwenden. Beispiel: Der Parser kann so definiert sein, dass der gesamte Text am Ende der allgemeinen Felder eines Logeintrags geparst und in einem Feld mit dem Namen Meldung gespeichert werden.

Wenn Sie mit der aktualisierten Quelle nach Logs suchen, werden Werte der erweiterten Felder zusammen mit den vom Basisparser extrahierten Feldern angezeigt.

Hinweis

Um die Loggruppe als Eingabefeld hinzuzufügen, geben Sie die zugehörige OCID für den Wert anstelle des Namens an.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Log Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

    Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.

  2. Klicken Sie auf den Namen der Quelle, die Sie bearbeiten möchten. Die Seite mit den Quellendetails wird geöffnet. Klicken Sie auf Bearbeiten, um die Quelle zu bearbeiten.
  3. Klicken Sie auf die Registerkarte Erweiterte Felder und dann auf Hinzufügen.
  4. Eine Bedingung kann angegeben werden, sodass die Feldextraktion nur erfolgt, wenn der ausgewertete Logeintrag einer vordefinierten Bedingung entspricht. Um dem erweiterten Feld eine Bedingung hinzuzufügen, blenden Sie den Abschnitt Bedingungen ein.
    • Vorhandene wiederverwenden: Um eine Bedingung wiederzuverwenden, die bereits für die Logquelle definiert ist, aktivieren Sie das Optionsfeld Vorhandene wiederverwenden. Wählen Sie dann im Menü Bedingung die zuvor definierte Bedingung aus.
    • Neue Bedingung erstellen: Aktivieren Sie diese Schaltfläche, wenn Sie eine neue Bedingung definieren möchten. Geben Sie das Bedingungsfeld, den Operator und den Wert an.

      Beispiel: Die folgende erweiterte Felddefinition extrahiert den Wert des Feldes Sicherheitsressourcenname nur dann aus dem Wert des Feldes Meldung, wenn das Feld Service einen der folgenden Werte aufweist: NetworkManager, dhclient oder dhcpd:

      • Basisfeld: Message
      • Beispiel für Inhalt des Basisfeldes: DHCPDISCOVER from b8:6b:23:b5:c1:bd (HOST1-LAP) via eth0
      • Extract-Ausdruck: ^DHCPDISCOVER\s+from\s+{Security Resource Name:\S+}\s+.+

      Die Bedingung für diese erweiterte Felddefinition sollte wie folgt definiert werden:

      • Bedingungsfeld: service
      • Bedingungsoperator: IN
      • Bedingungswert: NetworkManager,dhclient,dhcpd

      Im obigen Beispiel lautet der extrahierte Wert des Feldes Sicherheitsressourcenname b8:6b:23:b5:c1:bd.

      Um mehrere Werte für das Feld Bedingungswert anzugeben, geben Sie den Wert ein, und drücken Sie die Eingabetaste für jeden Wert.

    Durch Hinzufügen einer Bedingung können Sie die Verarbeitung regulärer Ausdrücke in einem Logdatensatz reduzieren, der den zu extrahierenden Wert wahrscheinlich nicht enthält. So können Sie die Verarbeitungszeit und die Verzögerung bei der Verfügbarkeit der Logeinträge im Log Explorer effektiv reduzieren.

  5. Wählen Sie das Basisfeld aus, das den Wert enthält, den Sie weiter in die Felder extrahieren möchten.

    Im Basisfeld werden die Felder angezeigt, die vom Basisparser geparst werden, sowie einige Standardfelder, die von der Logerfassung aufgefüllt werden, wie Logentity (Dateiname, Datenbanktabelle oder anderes ursprüngliches Verzeichnis, von dem der Logeintrag stammt) und Ursprünglicher Loginhalt.

  6. Geben Sie einen allgemeinen Beispielwert für das Basisfeld, das Sie zum Extrahieren in weitere Felder ausgewählt haben, im Bereich Beispielinhalt für Basisfeld ein. Dieser wird bei der Testphase verwendet, um zu zeigen, dass die erweiterte Felddefinition ordnungsgemäß funktioniert.
  7. Geben Sie den Extract-Ausdruck in das Feld Extract-Ausdruck ein, und aktivieren Sie das Kontrollkästchen Aktiviert.

    Ein Extract-Ausdruck folgt der normalen Syntax für reguläre Ausdrücke. Bei der Angabe des Extraktionselements müssen Sie allerdings ein Makro verwenden, das durch geschweifte Klammern { und } angegeben ist. In den geschweiften Klammern sind zwei Werte durch einen Doppelpunkt : getrennt. Der erste Wert in den geschweiften Klammern ist das Feld, in dem die extrahierten Daten gespeichert werden. Der zweite Wert ist der reguläre Ausdruck, der mit dem vom Basisfeld zu erfassenden Wert übereinstimmen muss.

    Um mehrere Felder innerhalb des Extraktionsausdrucksblocks einzuschließen, stellen Sie sicher, dass diese durch Komma (,) getrennt sind. Im folgenden Beispiel werden den erweiterten Feldern eventcount, readycount und resultcnt derselbe Wert zugewiesen. 

    Tx\\s+Msg[:]{eventcount,readycount,resultcnt:\\d+}

    Komma (,) ist das einzige Trennzeichen, das Sie zwischen mehreren Feldern verwenden können, die im Extraktausdruck hinzugefügt wurden.

    Hinweis

    Wenn Sie mehrere Werte mit den erweiterten Feldern aus einem Feld extrahieren möchten:

    1. Erstellen Sie zunächst ein Feld für den Loginhalt, das mehrere Werte für ein Feld enthalten kann, z.B. Error IDs. Siehe Feld erstellen.

    2. Wählen Sie im Dialogfeld Erweiterte Felddefinition hinzufügen für das Basisfeld ein Basisfeld aus, das aus einem Parser extrahiert wird und mehrwertige Daten enthält, z.B. Message, Original Log Content.

    3. Geben Sie Beispielinhalt für Basisfeld ein, das mehrere Werte eines Feldes enthält, das Sie extrahieren möchten.

    4. Geben Sie unter Extract-Ausdruck den regulären Ausdruck an, um jeden Wert aus dem Feld zu extrahieren. Klicken Sie auf Hinzufügen.


    EFD für mehrere Werte eines Feldes

  8. Klicken Sie auf Testdefinition, um zu prüfen, ob der Extract-Ausdruck die gewünschten Felder erfolgreich aus dem angegebenen Beispielinhalt des Basisfeldes extrahieren kann. Bei erfolgreicher Übereinstimmung wird die Anzahl Schritte angezeigt (eine nützliche Kennzahl für die Effektivität des Extract-Ausdrucks). Wenn der Ausdruck ineffizient ist, kann es zu einem Timeout bei der Extraktion kommen, und das Feld wird nicht aufgefüllt.
    Hinweis

    Verwenden Sie für optimale Performance eine Schrittanzahl unter 1.000. Je höher diese Zahl ist, desto länger dauert es, die Logs zu verarbeiten und im Log Explorer verfügbar zu machen.
  9. Klicken Sie auf Speichern.

Wenn Sie die Option Nur automatische Parsezeit in der Quelldefinition verwenden, anstatt einen Parser zu erstellen, ist nur das Feld Ursprünglicher Loginhalt zum Erstellen von erweiterten Felddefinitionen verfügbar, da keine anderen Felder vom Parser aufgefüllt werden. Siehe Automatischen Zeitparser verwenden.

Mit Oracle Log Analytics können Sie nach erweiterten Feldern suchen, nach denen Sie suchen. Sie können Felder nach der Art der Erstellung, dem Typ des Basisfeldes oder anhand von Beispielinhalt des Feldes suchen. Geben Sie den Beispielinhalt in das Feld Suchen ein, oder klicken Sie auf den Abwärtspfeil für das Suchdialogfeld. Wählen Sie im Suchdialogfeld unter Erstellungstyp aus, ob die erweiterten Felder, nach denen Sie suchen, von Oracle definiert oder benutzerdefiniert sind. Unter Basisfeld können Sie eine der verfügbaren Optionen auswählen. Sie können auch den Beispielinhalt oder den Extraktionsfeldausdruck angeben, der für die Suche verwendet werden kann. Klicken Sie auf Filter anwenden.

Tabelle 9-1: Beispielinhalt und Extract-Ausdruck für erweitertes Feld

Beschreibung Basisfeld Beispielinhalt Extract-Ausdruck für erweitertes Feld
So extrahieren Sie die Endpunktdateierweiterung aus dem URI-Feld einer Fusion Middleware-Zugriffslogdatei.

URI

/service/myservice1/endpoint/file1.jpg

{Content Type:\.(jpg|html|png|ico|jsp|htm|jspx)}

Dadurch wird das Dateisuffix wie JPG oder HTML extrahiert und der Wert im Feld Inhaltstyp gespeichert. Es werden nur Suffixe extrahiert, die im Ausdruck aufgeführt sind.

So extrahieren Sie den Benutzernamen aus dem Dateipfad einer Logentity.

Log Entity

/u01/oracle/john/audit/134fa.xml

/\w+/\w+/{User Name:\w+}/\w+/\w+

So extrahieren Sie die Startzeit aus dem Feld Meldung.

Hinweis: Die Ereignisstartzeit ist ein Feld vom Datentyp Zeitstempel. Wenn es ein numerisches Feld wäre, würde die Startzeit einfach als Zahl und nicht als Zeitstempel gespeichert.

Message

Backup transaction finished. Start=1542111920

Start={Event Start Time:\d+}

Quelle: /var/log/messages

Parsername: Linux Syslog Format

Message

authenticated mount request from 10.245.251.222:735 for /scratch (/scratch)

authenticated {Action:\w+} request from {Address:[\d\.]+}:{Port:\d+} for {Directory:\S+}\s(

Quelle: /var/log/yum.log

Parsername: Yum Format

Message

Updated: kernel-headers-2.6.18-371.0.0.0.1.el5.x86_64

{Action:\w+}: {Package:.*}

Quelle: Database Alert Log

Parsername: Database Alert Log Format (Oracle DB 11.1+)

Message

Errors in file /scratch/cs113/db12101/diag/rdbms/pteintg/pteintg/trace/pteintg_smon_3088.trc (incident=4921): ORA-07445: exception encountered: core dump [semtimedop()+10] [SIGSEGV] [ADDR:0x16F9E00000B1C] [PC:0x7FC6DF02421A] [unknown code] []

Errors in file {Trace File:\S+} (incident={Incident:\d+}): {Error ID:ORA-\d+}: exception encountered: core dump [semtimedop()+10] [SIGSEGV] [ADDR:{Address:[\w\d]+] [PC:{Program Counter:[\w\d]+}] [unknown code] []

Quelle: FMW WLS Server Log

Parsername: WLS Server Log Format

Message

Server state changed to STARTING

Server state changed to {Status:\w+}

Feldanreicherungsoptionen konfigurieren

Mit Oracle Log Analytics können Sie Optionen zur Feldanreicherung konfigurieren, sodass Sie aussagekräftige Informationen aus den Daten erweiterter Felder extrahieren und anzeigen können.

Eine der Optionen für die Feldanreicherung ist Geolokation. Damit werden IP-Adressen oder Standortkoordinaten, die in den Logdatensätzen vorhanden sind, in ein Land oder einen Ländercode konvertiert. Dies kann in Logquellen wie Web Access Logs mit externen Client-IP-Adressen verwendet werden.

Mit der Feldanreicherungsoption Lookup können Sie Feld/Wert-Kombinationen aus Logs mit einer externen Lookup-Tabelle vergleichen.

Fügen Sie zusätzliche Informationen in Ihre Logeinträge ein, indem Sie die Option Zusätzliche Felder verwenden. Diese Informationen werden zu jedem Logeintrag zur Verarbeitungszeit hinzugefügt.

Um eine Zeichenfolge/einen Ausdruck in einem Feld durch einen alternativen Ausdruck zu ersetzen und das Ergebnis in einem Ausgabefeld zu speichern, verwenden Sie die Option Ersetzen.

Hinweis

  • Für eine Quelle können Sie maximal drei Feldanreicherungen mit jeweils unterschiedlichem Typ definieren.

  • Um die Loggruppe als Eingabefeld hinzuzufügen, geben Sie die zugehörige OCID für den Wert anstelle des Namens an.

Themen:

Erfassungszeit-Lookups in der Quelle

Mit Oracle Log Analytics können Sie Logdaten mit zusätzlichen Feld/Wert-Kombinationen aus Lookups anreichern, indem Sie die Option Lookup-Feldanreicherungsoption in der Quelle einrichten. Oracle Log Analytics vergleicht den Wert des angegebenen Felds mit einer externen Lookup-Tabelle und hängt bei Übereinstimmung andere Feld/Wert-Kombinationen aus dem übereinstimmenden Lookup-Datensatz an die Logdatenan. Siehe Lookups verwalten.

Sie können Daten aus mehreren Lookups hinzufügen, indem Sie die Option Lookup-Feldanreicherung mehrmals einrichten. Die Lookup-Feldanreicherung wird in derselben Reihenfolge verarbeitet, in der sie erstellt wurde. Wenn Sie also verwandte Lookups haben, bei denen sich die Schlüssel überschneiden, und beim Hinzufügen weiterer Anreicherungen mit der Verarbeitung jedes Lookups helfen, stellen Sie sicher, dass die sich überschneidenden Schlüssel in die Eingabe- und Ausgabeauswahl der Definition Lookup-Feldanreicherung aufgenommen werden. Ein Beispiel für die Verwendung mehrerer zugehöriger Lookups zum Anreichern von Logdaten finden Sie unter Beispiel für das Hinzufügen mehrerer Lookup-Feldanreicherungen.

Schritte zum Hinzufügen der Lookup-Feldanreicherung

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Log Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

    Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.

    Die Seite Quellen wird geöffnet. Klicken Sie auf Quelle erstellen.

    Klicken Sie alternativ auf das Menüsymbol "Aktionen" Symbol "Aktionen" neben dem Quelleneintrag, den Sie bearbeiten möchten, und wählen Sie Bearbeiten aus. Die Seite Quelle bearbeiten wird angezeigt.

    Hinweis

    Stellen Sie sicher, dass auf der Quelldefinitionsseite ein Parser ausgewählt ist, damit die Schaltfläche Hinzufügen für die Feldanreicherung aktiviert werden kann.

  2. Klicken Sie auf die Registerkarte Feldanreicherung und anschließend auf Hinzufügen.

    Das Dialogfeld Feldanreicherung hinzufügen wird geöffnet.

  3. Führen Sie im Dialogfeld "Feldanreicherung hinzufügen" folgende Aktionen aus:

    1. Wählen Sie das Compartment aus, in dem sich der Lookup befindet.
    2. Wählen Sie Lookup als Funktion aus.
    3. Wählen Sie den Lookup-Tabellennamen im Dropdown-Menü aus.
    4. Wählen Sie unter Eingabefelder die Lookup-Tabellenspalte und das Logquellenfeld aus, dem diese zugeordnet werden soll. Dadurch wird der Schlüssel aus der Lookup-Tabelle einem Feld zugeordnet, das vom Parser in Logquellenfeld aufgefüllt wird. Beispiel: Die Spalte errid in der Lookup-Tabelle kann dem Feld Error ID in den Logs zugeordnet werden.

      Die Liste der Eingabefelder in Logquellenfeld ist auf die Felder beschränkt, die von der Logquelle aufgefüllt werden.

    5. Wählen Sie unter Aktionen das neue Logquellfeld und den Feldwert in der Lookup-Tabellenspalte aus, dem diese zugeordnet werden soll. Wenn ein übereinstimmender Datensatz in der angegebenen Lookup-Tabelle basierend auf der oben angegebenen Eingabezuordnung gefunden wird, wird das im Logquellenfeld angegebene Ausgabefeld mit einem Wert der in Feldwert angegebenen Ausgabesuchspalte zum Log hinzugefügt. Beispiel: Die Spalte erraction in der Lookup-Tabelle kann dem Feld Action zugeordnet werden.

      Klicken Sie optional auf + Weiteres Element, um weitere Ausgabefelder zuzuordnen.

    6. Klicken Sie auf Feldanreicherung hinzufügen.

    Der Lookup wurde nun der Tabelle "Feldanreicherung" hinzugefügt.

  4. Aktivieren Sie das Kontrollkästchen Aktiviert.

  5. Um weitere Lookups hinzuzufügen, wiederholen Sie die Schritte 3 und 4.

Wenn Sie die Logdatensätze der Logquelle anzeigen, für die Sie die Feldanreicherung für den Erfassungszeit-Lookup erstellt haben, sehen Sie, dass im Ausgabefeld Werte angezeigt werden, die aufgrund der Lookup-Tabellenreferenz, die Sie beim Erstellen der Feldanreicherung verwendet haben, für die Logeinträge aufgefüllt werden. Siehe Lookups verwalten.

Beispiel für das Hinzufügen mehrerer Lookup-Feldanreicherungen

Sie können einer Quelle bis zu drei Lookup-Feldanreicherungen hinzufügen. Die einzelnen Lookups können miteinander verbunden sein oder auch nicht.

Das folgende Beispiel veranschaulicht, wie drei zugehörige Lookups so eingerichtet werden können, dass die Logdaten mit Informationen aus allen drei Lookups angereichert werden können. Beachten Sie die folgenden drei zugehörigen Lookups mit Informationen zu mehreren Hosts:

Lookup1: SystemConfigLookup

Seriennummer Hersteller  Betriebssystem Arbeitsspeicher Prozessortyp Laufwerk Host-ID
SERIEN-NR. 01 Manuf1 OS1 256TB Proc1 Festplatte 1.001
SERIEN-02 Manuf2 OS2 7.5TB Proc3 Solid State-Laufwerk 1.002
SER-NR. 03 Manuf2 OS3 16TB Proc2 Solid State-Laufwerk 1.003
SERIEN-04 Manuf3 OS1 512TB Proc5 Festplatte 1.004
SERIEN-NR. 05 Manuf1 OS1 128TB Proc4 Festplatte 1.001

Lookup2: GeneralHostConfigLookup

Host-ID Hostverantwortlicher Einsatzort Hostbeschreibung Host-IP-Adresse
1.001 Jack San Francisco Beschreibung für Jack host 192.0.2.76
1.002 Alexis Denver Beschreibung für Alexis host 203.0.113.58
1.003 John Seattle Beschreibung für John host 198.51.100.11
1.004 Jane San José Beschreibung für Jane host 198.51.100.164

Lookup3: NetworkConfigLookup

IP-Adresse Subnetzmaske Gateway DNS-Server
192.0.2.76 255.255.255.252 192.0.2.1 Rekursiver Server
203.0.113.58 255.255.255.0 203.0.113.1 Autoritativer Server
198.51.100.11 255.255.255.224 198.51.100.1 Stammserver
198.51.100.164 255.255.255.192 198.51.100.1 Rekursiver Server

Zwischen den Lookups Lookup1 und Lookup2 ist Host ID der allgemeine Schlüssel, der als Ausgabe in der ersten Lookup-Feldanreicherung und als Eingabe in der zweiten Lookup-Feldanreicherung ausgewählt werden kann. Entsprechend ist IP Address zwischen den Lookups Lookup2 und Lookup3 der allgemeine Schlüssel, der als Ausgabe in der ersten Lookup-Feldanreicherung und als Eingabe in der zweiten Lookup-Feldanreicherung ausgewählt werden kann.

Mit der obigen Einstellung können die Lookup-Feldanreicherungen in der Reihenfolge 1, 2 und 3 konfiguriert werden:

Lookup-Feldanreicherung Lookup-Tabellenname Eingabefelder Aktionen
1 SystemConfigLookup
  • Logquellenfeld: Serial Number
  • Lookup-Tabellenspalte: Serial Number
  • Neues Logquellenfeld 1: Operating System
  • Feldwert 1: Operating System
  • Neues Logquellenfeld 2: Memory
  • Feldwert 2: Memory
  • Neues Logquellenfeld 3: Host ID
  • Feldwert 3: Host ID
2 GeneralHostConfigLookup
  • Logquellenfeld: Host ID
  • Lookup-Tabellenspalte: Host ID
  • Neues Logquellenfeld 1: Host Owner
  • Feldwert 1: Host Owner
  • Neues Logquellenfeld 2: Host IP Address
  • Feldwert 2: Host IP Address
3 NetworkConfigLookup
  • Logquellenfeld: Host IP Address
  • Lookup-Tabellenspalte: IP Address
  • Neues Logquellenfeld 1: Gateway
  • Feldwert 1: Gateway
  • Neues Logquellenfeld 2: DNS Server
  • Feldwert 2: DNS Server

Wenn die obige Anreicherungskonfiguration abgeschlossen ist und das Feld Serial Number in den Logdaten erkannt wird, wird es aus den drei Lookups weiter mit Operating System, Memory, Host ID, Host Owner, Host IP Address, Gateway und DNS Server angereichert. So, for the serial number SER-NUM-01 detected in the log, it is enriched with additional information OS1, 256TB, 1001, Jack, 192.0.2.76, 192.0.2.1, and Recursive server.

Geolocation-Feld zum Gruppieren von Logs verwenden

Nachdem Sie die Anreicherung für das Feld "Standort" eingerichtet haben, können Sie Logdatensätze nach Land oder Ländercode gruppiert anzeigen. Dies ist nützlich, wenn Sie Logs mit wichtigen Standortinformationen wie IP-Adresse oder Standortkoordinaten analysieren, z.B. Zugriffslogs, Tracelogs oder Anwendungstransportlogs.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Log Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

    Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.

    Die Seite Quellen wird geöffnet. Klicken Sie auf Quelle erstellen.

    Klicken Sie alternativ auf das Menüsymbol "Aktionen" Symbol "Aktionen" neben dem Quelleneintrag, den Sie bearbeiten möchten, und wählen Sie Bearbeiten aus. Die Seite Quelle bearbeiten wird angezeigt.

  2. Fügen Sie die Definition für erweiterte Felder für das Basisfeld hinzu, das die länderspezifischen Datensätze für IP-Adressen oder Hostnamen enthält, wie z.B. Host-IP-Adresse.
  3. Klicken Sie auf die Registerkarte Feldanreicherung und anschließend auf Hinzufügen.
  4. Wählen Sie im Dialogfeld "Feldanreicherung hinzufügen" als Funktion die Option Geolokation aus.
  5. Wählen Sie im Abschnitt Eingabefelder die Option IP-Feld aus. Dies ist der Gelocation-Feldname, der vom Parser aus den Logs extrahiert wird, z.B. Client Coordinates oder Host IP Address (Client).

    Um Bedrohungen mit den Geolokalisierungsinformationen zu erkennen, aktivieren Sie das Kontrollkästchen Threat Intelligence-Anreicherung. Wenn bei der Aufnahme der Logdaten der mit dem Eingabefeld Quelladresse verknüpfte IP-Adresswert im Loginhalt als Bedrohung gekennzeichnet ist, wird er dem Feld Bedrohungs-IPs hinzugefügt. Anschließend können Sie das Feld verwenden, um die Logs zu filtern, denen eine Bedrohung zugeordnet ist. Darüber hinaus weisen diese Logdatensätze auch das Label Threat-IP mit der Problempriorität Hoch auf. Sie können das Label in Ihrer Suche verwenden.

    Die Logdatensätze, denen die Problempriorität Hoch zugewiesen ist, weisen einen roten Punkt in der Zeile auf. Dadurch werden diese Logdatensätze in ihrer Darstellung in der Tabelle hervorgehoben, sodass Sie sie leicht erkennen und analysieren können. Anschließend können Sie die Bedrohungs-IPs in der Oracle Threat Intelligence-Konsole öffnen und weitere Informationen über die Bedrohung erhalten.

  6. Klicken Sie auf Hinzufügen.

Fügen Sie zur Verarbeitungszeit weitere Daten zu Ihren Logeinträgen hinzu

Möglicherweise möchten Sie weitere Informationen in jeden Ihrer Einträge als zusätzliche Metadaten aufnehmen. Diese Informationen sind nicht Teil des Logeintrags, werden aber zur Verarbeitungszeit hinzugefügt, z.B. Container-ID, Knoten. Ein Beispiel für das Hinzufügen von Metadaten beim On-Demand-Upload von Logs finden Sie unter Logs on Demand hochladen.

Die so hinzugefügten Informationen sind möglicherweise nicht direkt im Log Explorer sichtbar. Gehen Sie folgendermaßen vor, um sie im Log Explorer für Ihre Loganalyse sichtbar zu machen:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Log Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

    Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.

    Die Seite Quellen wird geöffnet. Klicken Sie auf das Menüsymbol "Aktionen" Symbol "Aktionen" neben dem Quelleneintrag, den Sie bearbeiten möchten, und wählen Sie die Option Bearbeiten aus. Die Seite Quelle bearbeiten wird angezeigt.

    Hinweis

    Stellen Sie sicher, dass auf der Quelldefinitionsseite ein Parser ausgewählt ist, damit die Schaltfläche Hinzufügen für die Feldanreicherung aktiviert werden kann.

  2. Klicken Sie auf die Registerkarte Feldanreicherung und anschließend auf Hinzufügen.

    Das Dialogfeld Feldanreicherung hinzufügen wird geöffnet.

  3. Führen Sie im Dialogfeld "Feldanreicherung hinzufügen" folgende Aktionen aus:

    1. Wählen Sie Zusätzliche Felder als Funktion aus.
    2. Wählen Sie unter Felder zuordnen die Felder aus, die Sie der Quelle zuordnen möchten. Die Felder, die in den Parsern ausgewählt sind, die dieser Quelle zugeordnet sind, sind hier nicht verfügbar.
    3. Klicken Sie auf Hinzufügen.

Nachdem Sie die zusätzlichen Felder angegeben haben, werden sie im Log Explorer für die Loganalyse angezeigt. Sie können auch beim Konfigurieren der erweiterten Felder oder Labels für Quellen ausgewählt werden.

Mit der Substitutionsfunktion einen Ausdruck in einem Feld ersetzen

Wenn Sie während der Logverarbeitung einen Teil des Feldwertes durch eine alternative Zeichenfolge oder einen alternativen Ausdruck ersetzen möchten, verwenden Sie die Ersetzungsfunktion, und speichern Sie den resultierenden Ausdruck des Feldes in einem anderen Ausgabefeld.

Berücksichtigen Sie das Szenario, in dem Sie alle Logdatensätze erfassen möchten, die das Feld URI mit dem Inhalt des Formats http://www.example.com/forum/books?<ISBN> enthalten, und der Wert von ISBN variiert je nach Logdatensatz. In solchen Fällen können Sie den Wert ISBN im Feld jedes Logdatensatzes durch eine Zeichenfolge allExampleBooks ersetzen und in einem Feld modified_URI speichern. Daher haben alle Logdatensätze, die mit URI im obigen Format erfasst wurden, auch das Feld modified_URI mit dem Wert http://www.example.com/forum/books?allExampleBooks. Sie können jetzt das Feld modified_URI in Ihrer Suchabfrage verwenden, um diese Logs zur weiteren Analyse im Log Explorer zu filtern.

Verwenden Sie außerdem die Option Alle Übereinstimmungen ersetzen, um alle Vorkommen des Werts im Feld zu ersetzen. Beispiel: Wenn das Feld Original log content mehrere Vorkommen von IP-Adressen aufweist, die Sie durch eine Zeichenfolge ersetzen möchten, können Sie diese Option verwenden. Das Ergebnis kann in einem Feld gespeichert werden, z.B. Altered log content. Sie können jetzt das Feld Altered log content in der Abfrage verwenden, um alle Logdatensätze zu filtern, die IP-Adressen im Feld Original log content aufweisen.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Log Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

    Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.

    Die Seite Quellen wird geöffnet. Klicken Sie auf Quelle erstellen.

    Klicken Sie alternativ auf das Menüsymbol "Aktionen" Symbol "Aktionen" neben dem Quelleneintrag, den Sie bearbeiten möchten, und wählen Sie Bearbeiten aus. Die Seite Quelle bearbeiten wird angezeigt.

  2. Geben Sie einen Namen für die Quelle und eine geeignete Beschreibung ein, und wählen Sie den Quelltyp aus. Wählen Sie einen Parser aus, der zum Parsen der Logs verwendet werden muss. Diese Auswahl bestimmt die Felder, die für die Feldanreicherung verfügbar sind.

  3. Klicken Sie auf die Registerkarte Feldanreicherung und anschließend auf Feldanreicherung hinzufügen.

  4. Wählen Sie im Dialogfeld "Feldanreicherung hinzufügen" als Funktion die Option Ersetzen aus.

  5. Gehen Sie im Abschnitt Eingabefelder wie folgt vor:

    1. Wählen Sie das Logquellenfeld aus, das Werte enthält, die Sie ersetzen möchten, z.B. URI.

    2. Geben Sie unter Ausdruck für Übereinstimmung den regulären Ausdruck an, der für die Zeichenfolge im zu ersetzenden Feld abgeglichen werden soll.

    3. Geben Sie die Ersatzzeichenfolge/-ausdruck an, die anstelle des ursprünglichen Wertes des Eingabefeldes ersetzt werden muss.

    4. Wenn das Feld mehrere Vorkommen der Zeichenfolge enthält, die ersetzt werden soll, aktivieren Sie das Kontrollkästchen Alle Übereinstimmungen ersetzen.

  6. Wählen Sie im Abschnitt Ausgabefeld das Feld aus, in dem der neue Wert des Eingabefeldes gespeichert werden muss, nachdem der ursprüngliche Wert durch den Ersetzungswert ersetzt wurde.

  7. Klicken Sie auf Feldanreicherung hinzufügen.

Labels in Quellen verwenden

Mit Oracle Log Analytics können Sie basierend auf definierten Bedingungen Labels oder Tags zu Logdatensätzen hinzufügen.

Wenn ein Logeintrag mit der von Ihnen definierten Bedingung übereinstimmt, wird ein Label mit diesem Logeintrag aufgefüllt. Dieses Label ist in den Log Explorer-Visualisierungen sowie zum Suchen und Filtern von Logeinträgen verfügbar.

Sie können von Oracle definierte oder benutzerdefinierte Labels in den Quellen verwenden. Informationen zum Erstellen eines benutzerdefinierten Labels zum Taggen eines bestimmten Logeintrags finden Sie unter Label erstellen.

  1. Um Labels in einer vorhandenen Quelle zu verwenden, bearbeiten Sie diese Quelle. Die Schritte zum Öffnen der Seite Quelle bearbeiten finden Sie unter Quelle bearbeiten.

  2. Klicken Sie auf die Registerkarte Labels.

  3. Um ein bedingtes Label hinzuzufügen, klicken Sie auf Bedingtes Label hinzufügen.

    Gehen Sie im Abschnitt Bedingungen wie folgt vor:

    1. Wählen Sie in der Liste Eingabefeld das Logfeld aus, auf dem die Bedingung angewendet werden soll.

    2. Select the operator from the Operator list Contains, Contains Ignore Case, Contains Regex, Contains one of Regexes, Ends With, Equal, Equal Ignore Case, In, In Ignore Case, Is Null, Not Contains, Not Equal, Not In, Not Null, and Starts With.

    3. Geben Sie im Feld Bedingungswert den Wert der Bedingung an, die zum Anwenden des Labels übereinstimmen muss.

      Hinweis

      Um die Loggruppe als Eingabefeld hinzuzufügen, geben Sie die zugehörige OCID für den Wert anstelle des Namens an.

    4. Um weitere Bedingungen hinzuzufügen, klicken Sie auf das Symbol "Bedingung hinzufügen" Symbol "Bedingung hinzufügen", und wiederholen Sie die Schritte 3a bis 3c. Wählen Sie den logischen Vorgang, der auf mehrere Bedingungen angewendet werden soll. Wählen Sie unter UND, ODER, NOT AND oder NOT OR aus.

      Um eine Gruppe von Bedingungen hinzuzufügen, klicken Sie auf das Symbol "Gruppenbedingung" Symbol "Gruppenbedingung", und wiederholen Sie die Schritte 3a bis 3c, um jede Bedingung hinzuzufügen. Eine Gruppe von Bedingungen muss mehr als eine Bedingung haben. Wählen Sie den logischen Vorgang, der für die Bedingungsgruppe angewendet werden soll. Wählen Sie unter UND, ODER, NOT AND oder NOT OR aus.

      Um eine Bedingung zu entfernen, klicken Sie auf das Symbol "Bedingung entfernen" Symbol "Bedingung entfernen".

      Um die Liste der Bedingungen in Form einer Anweisung anzuzeigen, klicken Sie auf Bedingungsübersicht anzeigen.

  4. Wählen Sie unter Aktionen eine der bereits verfügbaren, von Oracle definierten oder benutzerdefinierten Labels aus. Bei Bedarf können Sie ein neues Label erstellen, indem Sie auf Label erstellen klicken.

    Aktivieren Sie das Kontrollkästchen Aktiviert.

  5. Klicken Sie auf Hinzufügen.

Mit Oracle Log Analytics können Sie nach Labels suchen, die Sie im Log Explorer suchen. Sie können anhand eines der für die Labels definierten Parameter suchen. Geben Sie die Suchzeichenfolge in das Feld Suchen ein. Sie können die Suchkriterien im Suchdialogfeld angeben. Legen Sie unter Erstellungstyp fest, ob die Labels, nach denen Sie suchen, von Oracle definiert oder benutzerdefiniert sind. Unter den Feldern Eingabefeld, Operator und Ausgabefeld können Sie eine der verfügbaren Optionen auswählen. Sie können auch den Bedingungswert oder den Ausgabewert angeben, der für die Suche verwendet werden kann. Klicken Sie auf Filter anwenden.

Jetzt können Sie Logdaten basierend auf den von Ihnen erstellten Labels durchsuchen. Siehe Logs nach Labels filtern.

Dataset mit bedingten Feldern anreichern

Wenn Sie optional ein beliebiges Feld auswählen und einen Wert darin schreiben möchten, können Sie optional die bedingten Felder verwenden. Das Auffüllen eines Wertes in einem beliebigen Feld mit der Funktion "Bedingte Felder" ähnelt dem Verwenden von Lookups. Die Verwendung der bedingten Felder bietet jedoch mehr Flexibilität für den Abgleichsbedingungen und eignet sich ideal bei einer kleinen Anzahl von Bedingungen - Feldauffüllungsdefinitionen. Beispiel: Wenn Sie wenige Bedingungen zum Auffüllen eines Feldes verwenden, können Sie durch Verwendung von bedingten Feldern das Erstellen und Verwalten eines Lookups vermeiden.

Die Schritte zum Hinzufügen der bedingten Felder ähneln denen im obigen Workflow zum Hinzufügen bedingter Labels.

  • Klicken Sie im 3. Schritt auf Bedingtes Label hinzufügen, anstatt auf Bedingtes Feld hinzufügen zu klicken. Der Rest des 3. Schrittes zur Auswahl der Bedingungen bleibt derselbe wie der oben genannte Workflow.

  • In Schritt 4 oben,

    1. Wählen Sie für das Ausgabefeld aus den bereits verfügbaren von Oracle definierten oder benutzerdefinierten Feldern im Menü aus. Falls erforderlich, können Sie ein neues Feld erstellen, indem Sie auf Neues Feld erstellen klicken.

    2. Geben Sie einen Ausgabewert ein, der für das Ausgabefeld geschrieben werden soll, wenn die Eingabebedingung wahr ist.

      Beispiel: Die Quelle kann so konfiguriert werden, dass der Ausgabewert authentication.login für das Ausgabefeld Security Category angehängt wird, wenn der Logdatensatz das Eingabefeld Method enthält, das auf den Wert CONNECT gesetzt ist.

      Aktivieren Sie das Kontrollkästchen Aktiviert.

Automatischen Zeitparser verwenden

Mit Oracle Log Analytics können Sie die Quelle konfigurieren, sodass ein generischer Parser verwendet wird und nicht ein Parser für Ihre Logs erstellt wird. Dabei wird in Ihren Logs nur die Logzeit aus den Logeinträgen geparst, wenn die Zeit von Oracle Log Analytics identifiziert werden kann.

Das ist besonders hilfreich, wenn Sie nicht sicher sind, wie Sie Logs parsen oder reguläre Ausdrücke zum Parsen der Logs schreiben, und Sie nur die Raw-Logdaten übergeben möchten, um eine Analyse durchzuführen. In der Regel definiert ein Parser, wie die Felder aus einem Logeintrag für einen bestimmten Logdateityp extrahiert werden. Der generische Parser in Oracle Log Analytics kann jedoch:

  • Zeitstempel und Zeitzone aus Logeinträgen erkennen

  • Einen Zeitstempel mit der aktuellen Uhrzeit erstellen, wenn die Logeinträge keinen Zeitstempel aufweisen

  • Erkennen, ob die Logeinträge mehrzeilig oder einzeilig sind

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Log Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

    Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.

  2. Klicken Sie auf der Seite Quellen auf Quelle erstellen.
    Das Dialogfeld "Quelle erstellen" wird angezeigt.
  3. Geben Sie im Feld Quelle den Namen für die Quelle ein.
  4. Wählen Sie im Feld Quelltyp die Option Datei aus.
  5. Klicken Sie auf Entitytyp, und wählen Sie den Entitytyp für diese Quelle aus.
  6. Wählen Sie Nur Zeit automatisch parsen aus. Oracle Log Analytics wendet automatisch den generischen Parsertyp an.
  7. Klicken Sie auf Speichern.
Wenn Sie auf die Logdatensätze der neu erstellten Quelle zugreifen, extrahiert Oracle Log Analytics die folgenden Informationen aus den Logeinträgen und zeigt sie an:

  • Zeitstempel:

    • Wenn ein Logeintrag keinen Zeitstempel aufweist, erstellt der generische Parser den Zeitstempel basierend auf dem Zeitpunkt, zu dem die Logdaten erfasst wurden, und zeigt diesen an.

    • Wenn ein Logdatensatz einen Zeitstempel enthält, die Zeitzone jedoch nicht definiert ist, verwendet der generische Parser die Zeitzone des Management Agent.

      Wenn Sie Management Agent verwenden und die Zeitzone nicht richtig erkannt wird, können Sie die Zeitzone manuell in den Agent-Konfigurationsdateien festlegen. Siehe Zeitzone und Zeichencodierung für Dateien manuell angeben.

      Wenn Sie Logs mit On-Demand-Upload hochladen, können Sie die Zeitzone zusammen mit dem Upload angeben, um die Zeitzone zu erzwingen, wenn sie nicht richtig erkannt werden kann. Wenn Sie die CLI verwenden, finden Sie Informationen unter Befehlszeilenreferenz: Log Analytics- Upload. Wenn Sie die REST-API verwenden, finden Sie Informationen unter Log Analytics-API - Upload.

    • Wenn eine Logdatei Logdatensätze mit mehreren Zeitzonen enthält, kann der generische Parser bis zu 11 Zeitzonen unterstützen.

    • Wenn eine Logdatei einige Logeinträge mit einer Zeitzone und einige ohne anzeigt, verwendet der generische Parser die zuvor gefundene Zeitzone für die Einträge, die keine Zeitzone aufweisen.

    • Wenn Sie Logs mit Management Agent erfassen und nicht in den Logdatensätzen die Zeitzone oder der Zeitzonenoffset angegeben ist, vergleicht Oracle Log Analytics die letzte Änderungszeit des Betriebssystems mit dem Zeitstempel des letzten Logeintrags, um die richtige Zeitzone zu bestimmen.

  • Mehrere Zeilen: Wenn ein Logeintrag mehrere Zeilen umfasst, kann der generische Parser den mehrzeiligen Inhalt korrekt erfassen.