Begriffe und Konzepte von Log Analytics

• Quelle

• Entität

• Loggruppe

• Quellen-Entity-Verknüpfung

• Parser

• Logpartitionierung

Quelle

Das ist die Definition, die angibt, wo sich die Logdateien befinden, wie sie erfasst werden, wie die Daten mit Datenmasken maskiert werden, wie sie mit Parsern geparst werden, wie Daten mit erweiterten Felddefinitionen extrahiert werden, wie sie mit Labels und Funktionsdefinitionen für Anreicherungen angereichert werden und wie Metrikdaten aus einer Logdatei extrahiert werden. Logquellen können verwendet werden, um Logs kontinuierlich von einem Oracle Cloud Infrastructure Management Agent zu erfassen. Sie können auch Quellen angeben, wenn Sie eine Logdatei bei Bedarf in die Oracle Log Analytics- oder Oracle Cloud Infrastructure-Objektspeichererfassungsregeln hochladen. Wenn Logs erfasst oder an Oracle Log Analytics gesendet wurden, muss eine Quelle angegeben werden, die den Kontext für die Verarbeitung der Logs angibt.

Oracle Log Analytics wird mit Hunderten von von Oracle definierten Quellen geliefert, die eine Vielzahl von Oracle- und Nicht-Oracle-Produkten abdecken, und es werden kontinuierlich weitere Quellen in die Liste aufgenommen.

Entität

Bei der Arbeit mit On-Premise-Assets, z.B. einer Fusion Middleware Server-Instanz, können Sie eine Entity in Oracle Log Analytics definieren, die dieses reale Asset auf dem On-Premise-Host referenziert. Um die Logerfassung über den Oracle Cloud Infrastructure Management Agent zu aktivieren, können Sie eine Logquelle mit einer bereits erstellten Entity verknüpfen. Dadurch wird die kontinuierliche Erfassung von Logs über den Agent gestartet. Für die kontinuierliche Logerfassung über einen Agent ist eine Entitydefinition erforderlich. Wenn Sie die Logs über eine REST-API in Oracle Log Analytics hochladen, ist die Angabe der Entity optional. Es wird jedoch empfohlen, mit dem Entitymodell zu definieren, woher die Logs kommen, damit die Analyse effizienter wird.

Eine Entity muss einen Entitytyp aufweisen. Fast 100 von Oracle definierte Entitytypen sind bereits verfügbar. Sie können auch benutzerdefinierte Entitytypen erstellen.

Wenn eine Entity für einen bestimmten Typ erstellt wird, definiert der Entitytyp die Eigenschaften, die für den Typ angegeben werden sollen. Diese Eigenschaften werden zum Ermitteln des Speicherorts der Logdateien verwendet. Beispiel: Im Entitytyp Oracle Database müssen Sie Pfadwerte für Eigenschaften wie ADR_HOME, ORACLE_HOME und INSTALL_HOME angeben.

Loggruppe

Wenn Sie Logs mit einer der verfügbaren Methoden erfassen, müssen Sie angeben, in welcher Loggruppe die Logs gespeichert werden sollen. Mit der Loggruppe wird definiert, wer Zugriff auf die Abfrage der Logs im Log Explorer oder in Dashboards hat und Logs löschen kann. Beispiel: Ihre Organisation nutzt separate Loggruppen für sichere Logs und nicht sichere Logs. Diese werden in separaten OCI-Compartments abgelegt. Sie können Policys schreiben, um verschiedenen Benutzergruppen unterschiedliche Zugriffsebenen zu erteilen.

Quellen-Entity-Verknüpfung

Die Verknüpfung einer Logquelle mit einer Entity startet den kontinuierlichen Logerfassungsprozess über den Oracle Cloud Infrastructure Management Agent. Wenn Quelle und Entity korrekt definiert sind, werden die Verknüpfungsmetadaten an den Agent gesendet, um die Logerfassung auszuführen. Die Logs werden zur Indexierung und Anreicherung an die Cloud gesendet, bevor sie für die Suche verfügbar gemacht werden.

Die Quellen-Entity-Verknüpfung ist nur für die kontinuierliche Logerfassung über den Oracle Cloud Infrastructure Management Agent anwendbar. Wenn Sie die Verknüpfung durchführen, werden alle parametrisierten Dateipfade in der Logquelle durch den tatsächlichen Eigenschaftswert für die angegebene Entityinstanz ersetzt. Beispiel: Wenn Sie die Quelle Datenbankalertlogs für myDatabaseInstance1 überwachen, sucht die Quelldefinition für Datenbankalertlogs nach Logs unter einem Pfad wie {ADR_HOME}/alert/log*.log. Die Entitydefinition für myDatabaseInstance1 enthält einen Wert für ADR_HOME, der von Ihnen angegeben wird. Beim Ausführen der Verknüpfung wird diese Variable ADR_HOME im Pfad ersetzt, um den absoluten Pfad der Logeinträge zu ermitteln. Mit diesem Modell können Sie über eine einzige Logquelle Logs aus mehreren Entityinstanzen überwachen, in denen die Dateipfade für jede Entity unterschiedlich sind.

Parser

Ein Parser ist eine Definition zum Parsen einer Logdatei in Logeinträge und zum Parsen der Logeinträge in Felder. Parser können in einem regulären Ausdruck für halbstrukturierte oder unstrukturierte Logs geschrieben werden. JSON- und XML-Parser können für Logs in diesen Formaten geschrieben werden.

Logpartitionierung

Oracle Log Analytics kann täglich sehr große Mengen an Logdaten pro Mandant aufnehmen. Wenn Sie erwarten, dass mehr als 6 TB Logdaten pro Tag für einen einzelnen Mandanten in einer einzelnen Region dauerhaft aufgenommen werden, empfiehlt Oracle, dass Sie das Logpartitionierungsfeature verwenden. Durch die Partitionierung können Sie die Logdaten, die ein gemeinsames Merkmal aufweisen, physisch segmentieren, um die parallele Aufnahme und parallele Abfrage von Daten zu ermöglichen und so die Suchperformance zu optimieren.

Die Partitionierungsfunktion hängt vom Schlüssel ab, der beim Aufnehmen der Logdaten angegeben wurde. Dieser Schlüssel wird als Logset bezeichnet. Dabei kann es sich um einen beliebigen logischen Zeichenfolgenwert handeln, der mit der Verwendung der Logs in der Regel basierend auf Ihrer Infrastruktur, Anwendungsarchitektur oder Organisationsstruktur übereinstimmt.

Bei der Abfrage der Daten wird die beste Performance erzielt, wenn die Abfragen auf eine kleine Gruppe von Logsets beschränkt sind. Die Logs der zugrunde liegenden Anwendungen in jedem Logset sind isoliert und unabhängig von IT-Betrieb und Geschäftsperspektive. Die meisten Suchen sind auf ein Logset ausgerichtet, was zu einer verbesserten Suchleistung führt. Sie können zwar alle Logsets abfragen, doch diese Abfragen benötigen mehr Zeit, um Daten zurückzugeben.

Siehe Beispiele für die Verwendung des Logpartitionierungsfeatures.