Oracle Cloud Infrastructure-Dokumentation

Quelle erstellen

Quellen definieren den Speicherort der Entitylogs und die Anreicherung der Logeinträge. Um die kontinuierliche Logerfassung über die OCI-Management-Agent zu starten, muss eine Quelle mit mindestens einer Entity verknüpft sein.

Hinweis

Für genauere Schritte zu

Weitere Themen:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Logging Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

    Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.

    Die Seite Quellen wird geöffnet. Klicken Sie auf Quelle erstellen.

  2. Geben Sie im Feld Name den Namen der Quelle ein.

    Fügen Sie optional eine Beschreibung hinzu.

  3. Wählen Sie in der Liste Quelltyp den Typ für die Logquelle aus.
    Oracle Log Analytics unterstützt drei Logquellentypen für benutzerdefinierte Quellen:

    • Datei: Verwenden Sie diesen Typ, um die meisten Logtypen wie Datenbank-, Anwendungs- und Infrastrukturlogs zu erfassen.

    • Oracle Diagnostic Logging (ODL): Verwenden Sie diesen Typ für Logs, die dem Oracle-Diagnoselogformat entsprechen. Diese werden in der Regel für Diagnoselogs für Oracle Fusion Middleware und Oracle Applications verwendet.

    • Syslog-Listener: Wird normalerweise für Netzwerkgeräte wie Intrusion Detection Appliance, Firewall oder andere Geräte verwendet, auf denen kein Management-Agent installiert werden konnte.

    • Microsoft Windows: Verwenden Sie diesen Typ, um Windows-Ereignismeldungen zu erfassen. Oracle Logging Analytics kann alle historischen Windows-Ereignislogeinträge erfassen. Der Service unterstützt Windows sowie benutzerdefinierte Ereigniskanäle.

      Hinweis

      Für diesen Quelltyp ist das Feld Logparser nicht erforderlich.

    • Datenbank: Mit diesem Quelltyp können Sie die Logs erfassen, die in den Tabellen in einer On-Premise-Datenbank gespeichert sind. Bei diesem Quelltyp wird regelmäßig eine SQL-Abfrage ausgeführt, um die Tabellendaten als Log-Einträge zu erfassen.

    • REST-API: Mit diesem Quelltyp können Sie eine kontinuierliche REST-API-basierte Logerfassung aus Endpunkt-URLs einrichten, die mit Logmeldungen antworten. Bei diesem Quelltyp wird ein GET- oder POST-API-Aufruf an die Endpunkt-URL vorgenommen, die Sie zum Abrufen der Logs angeben.

  4. Klicken Sie auf das Feld Entitytyp, und wählen Sie den Entitytyp für diese Logquelle aus. Wenn Sie diese Quelle später mit einer Entity verknüpfen, um die Logerfassung über den Management Agent zu aktivieren, sind nur Entitys dieses Typs für die Verknüpfung verfügbar. Eine Quelle kann einen oder mehrere Entitytypen aufweisen.

    • Wenn Sie Datei, REST-API oder Oracle Diagnostic Log (ODL) ausgewählt haben, wird empfohlen, den Entitytyp für die Logquelle auszuwählen, der am besten zu den zu überwachenden Elementen passt. Vermeiden Sie die Auswahl von Mischentitytypen wie Datenbankcluster, und wählen Sie stattdessen den Entitytyp "Datenbankinstanz" aus, da die Logs auf Instanzebene generiert werden.

    • Wenn Sie den Quelltyp Syslog Listener ausgewählt haben, wählen Sie eine der Varianten von Host aus.

    • Wenn Sie den Quelltyp Datenbank ausgewählt haben, ist der Entitytyp auf die berechtigten Datenbanktypen beschränkt.

    • Wenn Sie den Quelltyp Windows-Ereignissystem ausgewählt haben, wird der Standardentitytyp Host (Windows) automatisch ausgewählt und kann nicht geändert werden.

  5. Klicken Sie auf das Feld Parser, und wählen Sie den entsprechenden Parsernamen aus, wie z.B. Database Audit Log Entries Format.
    Sie können mehrere Dateiparser für die Logdateien auswählen. Das ist besonders hilfreich, wenn eine Logdatei Einträge mit unterschiedlicher Syntax enthält und nicht von einem einzelnen Parser geparst werden kann.

    Achten Sie darauf, in welcher Reihenfolge Sie die Parser hinzufügen. Wenn Oracle Logging Analytics eine Logdatei liest, wird der erste Parser verwendet und zum zweiten Parser gewechselt, wenn der erste nicht funktioniert. Dieser Vorgang wird fortgesetzt, bis ein funktionsfähiger Parser gefunden wird. Wählen Sie zuerst den gängigsten Parser für diese Quelle aus.

    Für den ODL-Quelltyp ist nur der Parser Oracle Diagnostic Logging Format verfügbar.

    Beim Syslog-Quelltyp wird in der Regel einer der Variantenparser wie "Syslog Standard Format" oder "Syslog RFC5424 Format" verwendet. Sie können auch einen von Oracle definierten Syslog-Parser für bestimmte Netzwerkgeräte auswählen.

    Das Feld "Dateiparser" ist für die Quelltypen Windows-Ereignissystem und REST-API nicht verfügbar. Für den Quelltyp Windows-Ereignisssystem ruft Oracle Logging Analytics bereits analysierte Logdaten ab.

    Um nur die Zeitinformationen aus den Logeinträgen zu parsen, können Sie den automatischen Zeitparser auswählen. Siehe Automatischen Zeitparser verwenden.

  6. Geben Sie je nach Quelltyp die folgenden Informationen ein:

    • Syslog-Quelltyp: Geben Sie den Listener-Port an.

    • Windows-Quelltyp: Geben Sie einen Ereignisservicekanalnamen an. Der Kanalname muss mit dem Namen des Windows-Ereignisses übereinstimmen, damit der Agent die Verknüpfung bilden kann, um Logs abzurufen.

    • Datenbankquelltyp: Geben Sie SQL-Anweisungen an, und klicken Sie auf "Konfigurieren". Ordnen Sie die SQL-Tabellenspalten den im Menü verfügbaren Feldern zu. Um ein neues Feld für die Zuordnung zu erstellen, klicken Sie auf das Symbol Hinzufügen-Symbol.

    • REST-API-Quelltyp: Klicken Sie auf Logendpunkt hinzufügen, um eine einzelne Logendpunkt-URL anzugeben, oder auf Loglistenendpunkt für mehrere Logs hinzufügen, um eine Loglistenendpunkt-URL für mehrere Logs anzugeben, aus denen die Logs regelmäßig basierend auf der Zeitkonfiguration in der UI erfasst werden können. Weitere Informationen zum Einrichten der REST-API-Logerfassung finden Sie unter REST-API-Logerfassung einrichten.

    • Datei- und ODL-Quelltypen: Verwenden Sie die Registerkarten "Aufnehmen" und "Ausschließen".

      • Klicken Sie auf der Registerkarte Enthaltene Muster auf Hinzufügen, um Dateinamensmuster für diese Quelle anzugeben.

        Geben Sie das Dateinamensmuster und die Beschreibung ein.

        Sie können Parameter in geschweiften Klammern {}, wie {AdrHome}, als Teil des Dateinamensmusters eingeben. Oracle Logging Analytics ersetzt diese Parameter im Aufnahmemuster durch Entityeigenschaften, wenn die Quelle mit einer Entity verknüpft ist. Die Liste der möglichen Parameter wird durch den Entitytyp bestimmt. Wenn Sie Ihre eigenen Entitytypen erstellen, können Sie eigene Eigenschaften definieren. Beim Erstellen einer Entity werden Sie aufgefordert, für jede Eigenschaft für diese Entity einen Wert anzugeben. Bei Bedarf können Sie auch Ihre eigenen benutzerdefinierten Eigenschaften pro Entity hinzufügen. Alle diese Eigenschaften können hier in Enthaltene Muster als Parameter verwendet werden.

        Beispiel: Bei einer Entity, bei der die Eigenschaft {AdrHome} auf /u01/oracle/database/ gesetzt ist, wird das Aufnahmemuster {AdrHome}/admin/logs/*.log für diese Entity durch /u01/oracle/database/admin/logs/*.log ersetzt. Jede andere Entity auf demselben Host kann einen anderen Wert für {AdrHome} aufweisen. Dadurch würde für jede Entity ein ganz anderes Set von Logdateien erfasst.

        Sie können eine Quelle nur dann mit einer Entity verknüpfen, wenn die Parameter, die die Quelle in den Mustern erfordert, einen Wert für die angegebene Entity aufweisen.

        Sie können Warnungen bei der Logerfassung für die Muster konfigurieren. Wählen Sie in der Dropdown-Liste "Warnung senden" die Situation aus, in der die Warnung ausgegeben werden soll:

        • Für jedes Muster, das ein Problem aufweist: Wenn Sie mehrere Aufnahmemuster festgelegt haben, wird für jedes nicht übereinstimmende Dateinamensmuster eine Logerfassungswarnung gesendet.

        • Nur wenn alle Muster Probleme aufweisen: Wenn Sie mehrere Aufnahmemuster festgelegt haben, wird nur dann eine Logerfassungswarnung gesendet, wenn kein Dateinamensmuster übereinstimmt.

      • Sie können ein ausgeschlossenes Muster verwenden, wenn sich Dateien in demselben Speicherort befinden, die Sie nicht in die Quelldefinition aufnehmen möchten. Klicken Sie auf der Registerkarte Ausgeschlossene Muster auf Hinzufügen, um Muster von Logdateinamen zu definieren, die aus dieser Logquelle ausgeschlossen werden sollen.

        Beispiel: Das Verzeichnis, das Sie als Aufnahmequelle konfiguriert haben (/u01/app/oracle/admin/rdbms/diag/trace/), enthält die Datei audit.aud. In demselben Verzeichnis ist eine weitere Datei mit dem Namen audit-1.aud vorhanden. Sie können alle Dateien mit dem Muster audit-*.aud ausschließen.

  7. Fügen Sie Datenfilter hinzu. Siehe Datenfilter in Quellen verwenden.
  8. Fügen Sie erweiterte Felder hinzu. Siehe Erweiterte Felder in Quellen verwenden.
  9. Konfigurieren Sie Optionen für die Feldanreicherung. Siehe Feldanreicherungsoptionen konfigurieren.
  10. Labels hinzufügen. Siehe Labels in Quellen verwenden.
  11. Klicken Sie auf Speichern.

Datenfilter in Quellen verwenden

Mit Oracle Logging Analytics können Sie sensible Informationen in Logeinträgen maskieren und ausblenden sowie ganze Logeinträge ausblenden, bevor die Logdaten in die Cloud hochgeladen werden.

Auf der Registerkarte Datenfilter können Sie beim Bearbeiten oder Erstellen einer Quelle IP-Adresse, Benutzer-ID, Hostname und andere sensible Informationen mit Ersetzungszeichenfolgen maskieren, bestimmte Schlüsselwörter und Werte aus einem Logeintrag ausblenden und einen gesamten Logeintrag ausblenden.

Sie können Datenfilter beim Erstellen einer Logquelle oder beim Bearbeiten einer vorhandenen Quelle hinzufügen. Weitere Informationen zum Bearbeiten vorhandener Logquellen finden Sie unter Von Oracle definierte Quelle anpassen.

Wenn die Logdaten mit On-Demand-Upload oder -Erfassung aus dem Objektspeicher an Oracle Logging Analytics gesendet werden, wird die Maskierung auf Cloud-Seite ausgeführt, bevor die Daten indexiert werden. Wenn Sie Logs mit dem Management Agent erfassen, werden die Logs maskiert, bevor der Inhalt Ihren Standort verlässt.

Topics:

Logdaten maskieren

Bei der Maskierung wird vorhandener Text durch anderen statischen Text ersetzt, um den ursprünglichen Inhalt zu verbergen.

Wenn Sie Informationen wie den Benutzernamen und den Hostnamen aus den Logeinträgen maskieren möchten, gehen Sie wie folgt vor:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Logging Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

  2. Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.

  3. Klicken Sie auf den Namen der Quelle, die Sie bearbeiten möchten. Die Seite mit den Quellendetails wird geöffnet. Klicken Sie auf Bearbeiten, um die Quelle zu bearbeiten.

  4. Klicken Sie auf die Registerkarte Datenfilter und dann auf Hinzufügen.

  5. Geben Sie die Maske Name ein, und wählen Sie Maskieren als Typ aus. Geben Sie dann den Wert für Find-Ausdruck und den zugehörigen Wert für Replace-Ausdruck ein.

    Der Wert für "Find-Ausdruck" kann eine Klartext oder ein regulärer Standardausdruck sein. Der Text, der mit dem Suchausdruck übereinstimmt, wird im gesamten Logeintrag durch den Ersetzungsausdruck ersetzt.

    Name Find-Ausdruck Replace-Ausdruck
    Benutzername maskieren User=\S User=confidential
    Host maskieren Host=\S+ Host=mask_host
    Hinweis

    Die Syntax der Ersetzungszeichenfolge muss mit der Syntax der zu ersetzenden Zeichenfolge übereinstimmen. Beispiel: Eine Zahl darf nicht durch eine Zeichenfolge ersetzt werden. Eine IP-Adresse im Format 123.45.67.89 muss durch 000.000.000.000 und nicht durch 000.000 ersetzt werden. Wenn die Syntaxen nicht übereinstimmen, funktionieren die Parser möglicherweise nicht.

  6. Klicken Sie auf Speichern.

Wenn Sie die maskierten Logeinträge für diese Logquelle anzeigen, werden Sie feststellen, dass Oracle Logging Analytics die Werte der von Ihnen angegebenen Felder maskiert hat.

  • Benutzer = confidential

  • Host = mask_host

Logdaten per Hash maskieren

Wenn Sie die Logdaten wie im vorherigen Abschnitt beschrieben mit der Maske maskieren, werden die maskierten Informationen durch eine statische Zeichenfolge ersetzt, die im Replace-Ausdruck angegeben ist. Beispiel: Wenn der Benutzername mit der Zeichenfolge confidential maskiert wird, wird der Benutzername immer durch den Ausdruck confidential in den Logdatensätzen für jedes Vorkommen ersetzt. Mit der Hashmaske können Sie den gefundenen Wert mit einem eindeutigen Wert hashen. Beispiel: Wenn die Logdatensätze mehrere Benutzernamen enthalten, wird jeder Benutzername mit einem eindeutigen Wert gehasht. Wenn also die Zeichenfolge user1 bei jedem Vorkommen durch den Texthash ebdkromluceaqie ersetzt wird, kann immer noch anhand des Hashs identifiziert werden, dass diese Logeinträge für denselben Benutzer gelten. Der tatsächliche Benutzername wird jedoch nicht angezeigt.

Zugehöriges Risiko: Da es sich hierbei um einen Hash handelt, können Sie den tatsächlichen Wert des maskierten Originaltexts nicht wiederherstellen. Wenn Sie jedoch einen Hash einer beliebigen Zeichenfolge erstellen, wird dabei jedes Mal der gleiche Hash erzeugt. Berücksichtigen Sie dieses Risiko bei der Hashmaskierung der Logdaten. Beispiel: Die Zeichenfolge oracle hat den MD5-Hash a189c633d9995e11bf8607170ec9a4b8. Jedes Mal, wenn jemand versucht, einen MD5-Hash der Zeichenfolge oracle zu erstellen, wird immer derselbe Wert erzeugt. Sie können diesen MD5-Hash nicht wieder in die ursprüngliche Zeichenfolge oracle umwandeln. Wenn aber jemand versucht, den Wert oracle zu erraten, und seinen Hash erstellt, stimmt dieser Hash mit dem im Logeintrag überein.

So wenden Sie den Datenfilter der Hashmaske auf Logdaten an:

  1. Gehen Sie zur Seite Quelle erstellen. Die Schritte finden Sie unter Quelle erstellen.

  2. Sie können auch eine bereits vorhandene Quelle bearbeiten. Die Schritte zum Öffnen der Seite "Quelle bearbeiten" finden Sie unter Quelle bearbeiten.

  3. Klicken Sie auf die Registerkarte Datenfilter und dann auf Hinzufügen.

  4. Geben Sie die Maske Name ein, und wählen Sie Hashmaske als Typ aus. Geben Sie dann den Wert für Find-Ausdruck und den zugehörigen Wert für Replace-Ausdruck ein.

    Name Find-Ausdruck Replace-Ausdruck
    Benutzername maskieren User=(\S+)s+ Textbasierter Hashwert
    Port maskieren Port=(\d+)s+ Numerischer Hashwert

  5. Klicken Sie auf Speichern.

Wenn Sie "Hashmaske" für ein Feld verwenden möchten, das zeichenfolgenbasiert ist, können Sie einen textbasierten oder numerischen Hashwert als Zeichenfolgenfeld verwenden. Wenn Ihr Datenfeld jedoch numerisch ist, z.B. eine Ganzzahl, ein Long-Wert oder eine Gleitkommazahl, müssen Sie einen numerischen Hashwert verwenden. Wenn Sie keinen numerischen Hashwert verwenden, führt der Ersetzungstext dazu, dass Ihre regulären Ausdrücke, für die dieser Wert eine Zahl sein muss, nicht funktionieren. Der Wert wird auch nicht gespeichert.

Werte werden ersetzt, bevor die Daten geparst werden. Wenn die Daten maskiert werden müssen, ist es normalerweise nicht klar, ob sie immer numerisch sind. Daher müssen Sie beim Erstellen der Maskendefinition den Hashtyp bestimmen.

Als Ergebnis der obigen Hashmaskierung wird jeder Benutzername durch einen eindeutigen Texthash ersetzt und jede Portnummer durch einen eindeutigen numerischen Hashwert.

Sie können die Hashmaske beim Filtern oder Analysieren der Logdaten verwenden. Siehe Logs nach Hashmaske filtern.

Bestimmte Schlüsselwörter oder Werte aus Logdatensätzen ausblenden

Mit Oracle Logging Analytics können Sie nach einem bestimmten Schlüsselwort oder Wert in Logdatensätzen suchen und das übereinstimmende Schlüsselwort oder den übereinstimmenden Wert löschen, wenn dieses Schlüsselwort in den Logdatensätzen vorhanden ist.

Beispiellogdatensatz:

ns5xt_119131: NetScreen device_id=ns5xt_119131  [Root]system-notification-00257(traffic): start_time="2017-02-07 05:00:03" duration=4 policy_id=2 service=smtp proto=6 src zone=Untrust dst zone=mail_servers action=Permit sent=756 rcvd=756 src=192.0.2.1 dst=203.0.113.1 src_port=44796 dst_port=25 src-xlated ip=192.0.2.1 port=44796 dst-xlated ip=203.0.113.1 port=25 session_id=18738

Wenn Sie das Schlüsselwort device_id und seinen Wert aus dem Logdatensatz ausblenden möchten:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Logging Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

  2. Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.

  3. Klicken Sie auf den Namen der Quelle, die Sie bearbeiten möchten. Die Seite mit den Quellendetails wird geöffnet. Klicken Sie auf Bearbeiten, um die Quelle zu bearbeiten.

  4. Klicken Sie auf die Registerkarte Datenfilter und dann auf Hinzufügen.

  5. Geben Sie den Filter Name ein, wählen Sie Ausblendzeichenfolge als Typ aus, und geben Sie den Wert für Find-Ausdruck ein, z.B. device_id=\S*.

  6. Klicken Sie auf Speichern.

Wenn Sie die Logdatensätze für diese Quelle anzeigen, werden Sie feststellen, dass Oracle Logging Analytics die von Ihnen angegebenen Schlüsselwörter oder Werte gelöscht hat.

Hinweis

Stellen Sie sicher, dass der reguläre Parserausdruck mit dem Logdatensatzmuster übereinstimmt. Andernfalls kann Oracle Logging Analytics die Datensätze nach dem Ausblenden des Schlüsselworts möglicherweise nicht korrekt parsen.

Hinweis

Sie können nicht nur Datenfilter beim Erstellen einer Quelle hinzufügen, sondern auch eine vorhandene Quelle bearbeiten, um Datenfilter hinzuzufügen. Weitere Informationen zum Bearbeiten vorhandener Quellen finden Sie unter Von Oracle definierte Quelle anpassen.

Gesamten Logeintrag basierend auf bestimmten Schlüsselwörtern ausblenden

Mit Oracle Logging Analytics können Sie nach einem bestimmten Schlüsselwort oder Wert in Logdatensätzen suchen und einen gesamten Logeintrag in einem Logdatensatz löschen, wenn dieses Schlüsselwort vorhanden ist.

Beispiellogdatensatz:

ns5xt_119131: NetScreen device_id=ns5xt_119131  [Root]system-notification-00257(traffic): start_time="2017-02-07 05:00:03" duration=4 policy_id=2 service=smtp proto=6 src zone=Untrust dst zone=mail_servers action=Permit sent=756 rcvd=756 src=198.51.100.1 dst=203.0.113.254 src_port=44796 dst_port=25 src-xlated ip=198.51.100.1 port=44796 dst-xlated ip=203.0.113.254 port=25 session_id=18738

Angenommen, Sie möchten den gesamten Logeintrag ausblenden, wenn das Schlüsselwort device_id darin vorhanden ist:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Logging Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

  2. Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.

  3. Klicken Sie auf den Namen der Quelle, die Sie bearbeiten möchten. Die Seite mit den Quellendetails wird geöffnet. Klicken Sie auf Bearbeiten, um die Quelle zu bearbeiten.

  4. Klicken Sie auf die Registerkarte Datenfilter und dann auf Hinzufügen.

  5. Geben Sie den Filter Name ein, wählen Sie Logeintrag ausblenden als Typ aus, und geben Sie den Wert für Find-Ausdruck ein, z.B. .*device_id=.*.

    Der reguläre Ausdruck muss unbedingt mit dem gesamten Logeintrag übereinstimmen. Wenn Sie .* vor und am Ende des regulären Ausdrucks verwenden, wird sichergestellt, dass er mit jedem weiteren Text im Logeintrag übereinstimmt.

  6. Klicken Sie auf Speichern.

Wenn Sie die Logeinträge für diese Logquelle anzeigen, stellen Sie fest, dass Oracle Logging Analytics alle Logeinträge gelöscht hat, in denen die Zeichenfolge device_id enthalten ist.

Hinweis

Sie können nicht nur Datenfilter beim Erstellen einer Quelle hinzufügen, sondern auch eine vorhandene Quelle bearbeiten, um Datenfilter hinzuzufügen. Weitere Informationen zum Bearbeiten vorhandener Quellen finden Sie unter Von Oracle definierte Quelle anpassen.

Erweiterte Felder in Quellen verwenden

Mit dem Feature "Erweiterte Felder" in Oracle Logging Analytics können Sie zusätzlich zu den Feldern, die vom Parser analysiert wurden, weitere Felder aus einem Logdatensatz extrahieren.

In der Quelldefinition wird ein Parser ausgewählt, der eine Logdatei in Logeinträge und jeden Logeintrag in ein Set aus Basisfeldern aufteilen kann. Diese Basisfelder müssen für alle Logeinträge konsistent sein. Ein Basisparser extrahiert allgemeine Felder aus einem Logdatensatz. Wenn Sie jedoch zusätzliche Felder aus dem Inhalt der Logeinträge extrahieren müssen, können Sie die erweiterte Felddefinition verwenden. Beispiel: Der Parser kann so definiert sein, dass der gesamte Text am Ende der allgemeinen Felder eines Logeintrags geparst und in einem Feld mit dem Namen Meldung gespeichert wird.

Wenn Sie mit der aktualisierten Quelle nach Logs suchen, werden Werte der erweiterten Felder zusammen mit den vom Basisparser extrahierten Feldern angezeigt.

Hinweis

Um die Loggruppe als Eingabefeld hinzuzufügen, geben Sie die OCID für den Wert anstelle des Namens an.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Logging Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

    Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.

  2. Klicken Sie auf den Namen der Quelle, die Sie bearbeiten möchten. Die Seite mit den Quellendetails wird geöffnet. Klicken Sie auf Bearbeiten, um die Quelle zu bearbeiten.
  3. Klicken Sie auf die Registerkarte Erweiterte Felder und dann auf Hinzufügen.
  4. Eine Bedingung kann angegeben werden, sodass die Feldextraktion nur erfolgt, wenn der ausgewertete Logeintrag einer vordefinierten Bedingung entspricht. Um dem erweiterten Feld eine Bedingung hinzuzufügen, blenden Sie den Abschnitt Bedingungen ein.
    • Vorhandene wiederverwenden: Um eine Bedingung wiederzuverwenden, die bereits für die Logquelle definiert ist, aktivieren Sie das Optionsfeld Vorhandene wiederverwenden. Wählen Sie dann im Menü Bedingung die zuvor definierte Bedingung aus.
    • Neue Bedingung erstellen: Aktivieren Sie diese Schaltfläche, wenn Sie eine neue Bedingung definieren möchten. Geben Sie das Bedingungsfeld, den Operator und den Wert an.

      Beispiel: Die folgende erweiterte Felddefinition extrahiert den Wert des Feldes Sicherheitsressourcenname nur dann aus dem Wert des Feldes Meldung, wenn das Feld Service einen der folgenden Werte aufweist: NetworkManager, dhclient oder dhcpd:

      • Basisfeld: Message
      • Beispiel für Inhalt des Basisfeldes: DHCPDISCOVER from b8:6b:23:b5:c1:bd (HOST1-LAP) via eth0
      • Extract-Ausdruck: ^DHCPDISCOVER\s+from\s+{Security Resource Name:\S+}\s+.+

      Die Bedingung für diese erweiterte Felddefinition sollte wie folgt definiert werden:

      • Bedingungsfeld: service
      • Bedingungsoperator: IN
      • Bedingungswert: NetworkManager,dhclient,dhcpd

      Im obigen Beispiel lautet der extrahierte Wert des Feldes Sicherheitsressourcenname b8:6b:23:b5:c1:bd.

      Um mehrere Werte für das Feld Bedingungswert anzugeben, geben Sie den Wert ein, und drücken Sie die Eingabetaste für jeden Wert.

    Durch Hinzufügen einer Bedingung können Sie die Verarbeitung regulärer Ausdrücke für einen Logeintrag reduzieren, der den zu extrahierenden Wert wahrscheinlich nicht enthält. So können Sie die Verarbeitungszeit und die Verzögerung bei der Verfügbarkeit der Logeinträge im Log Explorer effektiv reduzieren.

  5. Wählen Sie das Basisfeld aus, das den Wert enthält, den Sie weiter in die Felder extrahieren möchten.

    Die im Basisfeld angezeigten Felder sind die Felder, die vom Basisparser geparst werden, sowie einige Standardfelder, die von der Logerfassung aufgefüllt werden, wie Logentity (Dateiname, Datenbanktabelle oder ein anderes ursprüngliches Verzeichnis, von dem der Logeintrag stammt) und Ursprünglicher Loginhalt.

  6. Geben Sie einen allgemeinen Beispielwert für das Basisfeld, das Sie zum Extrahieren in weitere Felder ausgewählt haben, im Bereich Beispielinhalt für Basisfeld ein. Dieser wird bei der Testphase verwendet, um zu zeigen, dass die erweiterte Felddefinition ordnungsgemäß funktioniert.
  7. Geben Sie den Extract-Ausdruck in das Feld Extract-Ausdruck ein, und aktivieren Sie das Kontrollkästchen Aktiviert.

    Ein Extract-Ausdruck folgt der normalen Syntax für reguläre Ausdrücke. Bei der Angabe des Extraktionselements müssen Sie allerdings ein Makro verwenden, das durch geschweifte Klammern { und } angegeben ist. In den geschweiften Klammern sind zwei Werte durch einen Doppelpunkt : getrennt. Der erste Wert in den geschweiften Klammern ist das Feld, in dem die extrahierten Daten gespeichert werden. Der zweite Wert ist der reguläre Ausdruck, der mit dem vom Basisfeld zu erfassenden Wert übereinstimmen muss.

    Hinweis

    Wenn Sie mit den Erweiterten Feldern mehrere Werte aus einem Feld extrahieren möchten:

    1. Erstellen Sie zuerst ein Feld für den Loginhalt, das mehrere Werte für ein Feld haben kann, z.B. Error IDs. Siehe Feld erstellen.

    2. Wählen Sie im Dialogfeld Erweiterte Felddefinition hinzufügen für das Basisfeld ein Basisfeld aus, das aus einem Parser extrahiert wird und mehrwertige Daten enthält, z.B. Message, Original Log Content.

    3. Geben Sie den Beispielinhalt für Basisfelder ein, der mehrere Werte für ein Feld enthält, das Sie extrahieren möchten.

    4. Geben Sie unter Extract-Ausdruck den regulären Ausdruck an, um jeden Wert aus dem Feld zu extrahieren. Klicken Sie auf Hinzufügen.


    EFD für mehrere Werte eines Feldes

  8. Klicken Sie auf Testdefinition, um zu prüfen, ob der Extract-Ausdruck die gewünschten Felder erfolgreich aus dem angegebenen Beispielinhalt des Basisfeldes extrahieren kann. Bei erfolgreicher Übereinstimmung wird die Anzahl Schritte angezeigt (eine nützliche Kennzahl für die Effektivität des Extract-Ausdrucks). Wenn der Ausdruck ineffizient ist, kann es zu einem Timeout bei der Extraktion kommen, und das Feld wird nicht aufgefüllt.
    Hinweis

    Verwenden Sie für optimale Performance eine Schrittanzahl unter 1.000. Je höher diese Zahl ist, desto länger dauert es, die Logs zu verarbeiten und im Log Explorer verfügbar zu machen.
  9. Klicken Sie auf Speichern.

Wenn Sie die Option Nur automatische Parsezeit in der Quelldefinition verwenden, anstatt einen Parser zu erstellen, ist nur das Feld Ursprünglicher Loginhalt zum Erstellen von erweiterten Felddefinitionen verfügbar, da keine anderen Felder vom Parser aufgefüllt werden. Siehe Automatischen Zeitparser verwenden.

Mit Oracle Logging Analytics können Sie nach erweiterten Feldern suchen. Sie können Felder nach der Art der Erstellung, dem Typ des Basisfeldes oder anhand von Beispielinhalt des Feldes suchen. Geben Sie den Beispielinhalt in das Feld Suchen ein, oder klicken Sie auf den Abwärtspfeil für das Suchdialogfeld. Wählen Sie im Suchdialogfeld unter Erstellungstyp aus, ob die erweiterten Felder, nach denen Sie suchen, von Oracle definiert oder benutzerdefiniert sind. Unter Basisfeld können Sie eine der verfügbaren Optionen auswählen. Sie können auch den Beispielinhalt oder den Extraktionsfeldausdruck angeben, der für die Suche verwendet werden kann. Klicken Sie auf Filter anwenden.

Tabelle 8-1: Beispielinhalt und Extract-Ausdruck für erweitertes Feld

Beschreibung Basisfeld Beispielinhalt Extract-Ausdruck für erweitertes Feld
So extrahieren Sie die Endpunktdateierweiterung aus dem URI-Feld einer Fusion Middleware-Zugriffslogdatei.

URI

/service/myservice1/endpoint/file1.jpg

{Content Type:\.(jpg|html|png|ico|jsp|htm|jspx)}

Dadurch wird das Dateisuffix wie JPG oder HTML extrahiert und der Wert im Feld Inhaltstyp gespeichert. Es werden nur Suffixe extrahiert, die im Ausdruck aufgeführt sind.

So extrahieren Sie den Benutzernamen aus dem Dateipfad einer Logentity.

Log Entity

/u01/oracle/john/audit/134fa.xml

/\w+/\w+/{User Name:\w+}/\w+/\w+

So extrahieren Sie die Startzeit aus dem Feld Meldung.

Hinweis: Die Ereignisstartzeit ist ein Feld vom Datentyp Zeitstempel. Wenn es ein numerisches Feld wäre, würde die Startzeit einfach als Zahl und nicht als Zeitstempel gespeichert.

Message

Backup transaction finished. Start=1542111920

Start={Event Start Time:\d+}

Quelle: /var/log/messages

Parsername: Linux Syslog Format

Message

authenticated mount request from 10.245.251.222:735 for /scratch (/scratch)

authenticated {Action:\w+} request from {Address:[\d\.]+}:{Port:\d+} for {Directory:\S+}\s(

Quelle: /var/log/yum.log

Parsername: Yum Format

Message

Updated: kernel-headers-2.6.18-371.0.0.0.1.el5.x86_64

{Action:\w+}: {Package:.*}

Quelle: Database Alert Log

Parsername: Database Alert Log Format (Oracle DB 11.1+)

Message

Errors in file /scratch/cs113/db12101/diag/rdbms/pteintg/pteintg/trace/pteintg_smon_3088.trc (incident=4921): ORA-07445: exception encountered: core dump [semtimedop()+10] [SIGSEGV] [ADDR:0x16F9E00000B1C] [PC:0x7FC6DF02421A] [unknown code] []

Errors in file {Trace File:\S+} (incident={Incident:\d+}): {Error ID:ORA-\d+}: exception encountered: core dump [semtimedop()+10] [SIGSEGV] [ADDR:{Address:[\w\d]+] [PC:{Program Counter:[\w\d]+}] [unknown code] []

Quelle: FMW WLS Server Log

Parsername: WLS Server Log Format

Message

Server state changed to STARTING

Server state changed to {Status:\w+}

Feldanreicherungsoptionen konfigurieren

Mit Oracle Logging Analytics können Sie Optionen zur Feldanreicherung konfigurieren, sodass Sie aussagekräftige Informationen aus den Daten erweiterter Felder extrahieren und anzeigen können.

Eine der Optionen für die Feldanreicherung ist Geolokation, die IP-Adressen oder Standortkoordinaten in den Logdatensätzen in ein Land oder einen Ländercode konvertiert. Dies kann in Logquellen wie Web Access Logs mit externen Client-IP-Adressen verwendet werden.

Mit der Feldanreicherungsoption Lookup können Sie Feld/Wert-Kombinationen aus Logs mit einer externen Lookup-Tabelle vergleichen.

Fügen Sie mit der Option Zusätzliche Felder zusätzliche Informationen in Ihre Logeinträge ein. Diese Informationen werden bei der Verarbeitung zu jedem Logeintrag hinzugefügt.

Um eine Zeichenfolge/einen Ausdruck in einem Feld durch einen alternativen Ausdruck zu ersetzen und das Ergebnis in einem Ausgabefeld zu speichern, verwenden Sie die Option Ersetzung.

Hinweis

  • Für eine Quelle können Sie maximal drei Feldanreicherungen unterschiedlichen Typs definieren.

  • Um die Loggruppe als Eingabefeld hinzuzufügen, geben Sie die OCID für den Wert anstelle des Namens an.

Themen:

Erfassungszeit-Lookups in der Quelle verwenden

Mit Oracle Logging Analytics können Sie Logdaten mit zusätzlichen Feld/Wert-Kombinationen aus Lookups erweitern, indem Sie die Option Feldanreicherung suchen in der Quelle einrichten. Oracle Logging Analytics vergleicht den Wert des angegebenen Feldes mit einer externen Lookup-Tabelle und hängt bei Übereinstimmung andere Feld/Wert-Kombinationen aus dem übereinstimmenden Lookup-Datensatz an die Logdaten an. Siehe Lookups verwalten.

Sie können Daten aus mehreren Lookups hinzufügen, indem Sie die Option Anreicherung von Suchfeldern mehrmals einrichten. Die Anreicherung von Suchfeldern wird in derselben Reihenfolge verarbeitet, in der sie erstellt wird. Wenn Sie also verwandte Lookups haben, bei denen sich die Schlüssel überschneiden, und beim Hinzufügen weiterer Anreicherungen bei der Verarbeitung jedes Lookups helfen, stellen Sie sicher, dass die sich überschneidenden Schlüssel in die Eingabe- und Ausgabeauswahl der Definition Lookup-Feldanreicherung aufgenommen werden. Ein Beispiel für die Verwendung mehrerer zugehöriger Lookups zur Anreicherung von Logdaten finden Sie unter Beispiel für das Hinzufügen mehrerer Lookup-Feldanreicherungen.

Schritte zum Hinzufügen der Anreicherung von Lookup-Feldern

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Logging Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

    Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.

    Die Seite Quellen wird geöffnet. Klicken Sie auf Quelle erstellen.

    Klicken Sie alternativ auf das Menüsymbol "Aktionen" Symbol "Aktionen" neben dem Quelleneintrag, den Sie bearbeiten möchten, und wählen Sie Bearbeiten aus. Die Seite Quelle bearbeiten wird angezeigt.

    Hinweis

    Stellen Sie sicher, dass auf der Quelldefinitionsseite ein Parser ausgewählt ist, damit die Schaltfläche Hinzufügen für die Feldanreicherung aktiviert werden kann.

  2. Klicken Sie auf die Registerkarte Feldanreicherung und anschließend auf Hinzufügen.

    Das Dialogfeld Feldanreicherung hinzufügen wird geöffnet.

  3. Führen Sie im Dialogfeld "Feldanreicherung hinzufügen" folgende Aktionen aus:

    1. Wählen Sie das Compartment aus, in dem sich der Lookup befindet.
    2. Wählen Sie Lookup als Funktion aus.
    3. Wählen Sie den Lookup-Tabellennamen im Dropdown-Menü aus.
    4. Wählen Sie unter Eingabefelder die Lookup-Tabellenspalte und das Logquellenfeld aus, dem diese zugeordnet werden soll. Dadurch wird der Schlüssel aus der Lookup-Tabelle einem Feld zugeordnet, das vom Parser in Logquellenfeld aufgefüllt wird. Beispiel: Die Spalte errid in der Lookup-Tabelle kann dem Feld Error ID in den Logs zugeordnet werden.

      Die Liste der Eingabefelder in Logquellenfeld ist auf die Felder beschränkt, die von der Logquelle aufgefüllt werden.

    5. Wählen Sie unter Aktionen das neue Logquellenfeld und den Feldwert in der Lookup-Tabellenspalte aus, der dieses zugeordnet werden soll. Wenn ein übereinstimmender Datensatz in der angegebenen Lookup-Tabelle basierend auf der oben angegebenen Eingabezuordnung gefunden wird, wird das im Logquellenfeld angegebene Ausgabefeld mit dem Wert der in Feldwert angegebenen Ausgabesuchspalte zum Log hinzugefügt. Beispiel: Die Spalte erraction in der Lookup-Tabelle kann dem Feld Action zugeordnet werden.

      Klicken Sie optional auf + Weiteres Element, um weitere Ausgabefelder zuzuordnen.

    6. Klicken Sie auf Feldanreicherung hinzufügen.

    Der Lookup wurde nun der Tabelle "Feldanreicherung" hinzugefügt.

  4. Aktivieren Sie das Kontrollkästchen Aktiviert.

  5. Um weitere Lookups hinzuzufügen, wiederholen Sie die Schritte 3 und 4.

Wenn Sie die Logdatensätze der Logquelle anzeigen, für die Sie die Feldanreicherung für den Erfassungszeit-Lookup erstellt haben, sehen Sie, dass im Ausgabefeld Werte angezeigt werden, die aufgrund der Lookup-Tabellenreferenz, die Sie beim Erstellen der Feldanreicherung verwendet haben, für die Logeinträge aufgefüllt werden. Siehe Lookups verwalten.

Beispiel für das Hinzufügen mehrerer Lookup-Feldanreicherungen

Sie können einer Quelle bis zu drei Lookup-Feldanreicherungen hinzufügen. Die einzelnen Lookups können oder dürfen nicht miteinander verknüpft sein.

Das folgende Beispiel zeigt, wie drei zugehörige Lookups so eingerichtet werden können, dass die Logdaten mit Informationen aus allen drei Lookups angereichert werden können. Betrachten Sie die folgenden drei zugehörigen Lookups mit Informationen zu mehreren Hosts:

Lookup1: SystemConfigLookup

Seriennummer Hersteller  Betriebssystem Speicher Prozessortyp Laufwerk Host-ID
SER-NR. 01 Manuf1 OS1 256TB Proc1 Festplatte 1.001
SER-NR. 02 Manuf2 OS2 7.5TB Proc3 Solid-State-Laufwerk 1.002
SER-NR. 03 Manuf2 OS3 16TB Proc2 Solid-State-Laufwerk 1.003
SER-NR. 04 Manuf3 OS1 512TB Proc5 Festplatte 1.004
SER-NR. 05 Manuf1 OS1 128TB Proc4 Festplatte 1.001

Lookup2: GeneralHostConfigLookup

Host-ID Hosteigentümer Einsatzort Hostbeschreibung Host-IP-Adresse
1.001 Jack San Francisco Beschreibung für Jack host 192.0.2.76
1.002 Alexis Denver Beschreibung für Alexis host 203.0.113.58
1.003 John Seattle Beschreibung für John host 198.51.100.11
1.004 Jane San Jose Beschreibung für Jane host 198.51.100.164

Lookup3: NetworkConfigLookup

IP-Adresse Subnet Mask Gateway DNS-Server
192.0.2.76 255.255.255.252 192.0.2.1 Rekursiver Server
203.0.113.58 255.255.255.0 203.0.113.1 Übergeordneter Server
198.51.100.11 255.255.255.224 198.51.100.1 Root-Server
198.51.100.164 255.255.255.192 198.51.100.1 Rekursiver Server

Zwischen den Lookups Lookup1 und Lookup2 ist Host ID der allgemeine Schlüssel, der als Ausgabe in der ersten Lookup-Feldanreicherung und als Eingabe in der zweiten Lookup-Feldanreicherung ausgewählt werden kann. In ähnlicher Weise ist IP Address zwischen den Lookups Lookup2 und Lookup3 der allgemeine Schlüssel, der als Ausgabe in der ersten Lookup-Feldanreicherung und als Eingabe in der zweiten Lookup-Feldanreicherung ausgewählt werden kann.

Mit der obigen Einstellung können die Lookup-Feldanreicherungen in der Reihenfolge 1, 2 und 3 konfiguriert werden:

Lookup-Feldanreicherung Lookup-Tabellenname Eingabefelder Aktionen
1 SystemConfigLookup
  • Logquellenfeld: Serial Number
  • Lookup-Tabellenspalte: Serial Number
  • Neues Logquellenfeld 1: Operating System
  • Feldwert 1: Operating System
  • Neues Logquellenfeld 2: Memory
  • Feldwert 2: Memory
  • Neues Logquellenfeld 3: Host ID
  • Feldwert 3: Host ID
2 GeneralHostConfigLookup
  • Logquellenfeld: Host ID
  • Lookup-Tabellenspalte: Host ID
  • Neues Logquellenfeld 1: Host Owner
  • Feldwert 1: Host Owner
  • Neues Logquellenfeld 2: Host IP Address
  • Feldwert 2: Host IP Address
3 NetworkConfigLookup
  • Logquellenfeld: Host IP Address
  • Lookup-Tabellenspalte: IP Address
  • Neues Logquellenfeld 1: Gateway
  • Feldwert 1: Gateway
  • Neues Logquellenfeld 2: DNS Server
  • Feldwert 2: DNS Server

Wenn die oben genannte Anreicherungskonfiguration abgeschlossen ist und das Feld Serial Number in den Logdaten erkannt wird, wird es aus den drei Lookups weiter mit Operating System, Memory, Host ID, Host Owner, Host IP Address, Gateway und DNS Server angereichert. So, for the serial number SER-NUM-01 detected in the log, it is enriched with additional information OS1, 256TB, 1001, Jack, 192.0.2.76, 192.0.2.1, and Recursive server.

Geolokationsfeld zum Gruppieren von Logs verwenden

Nachdem Sie die Anreicherung des Feldes "Geolokation" eingerichtet haben, können Sie Logdatensätze nach Land oder Ländercode gruppiert anzeigen. Dies ist nützlich, wenn Sie Logs analysieren, die wichtige Standortinformationen wie IP-Adresse oder Standortkoordinaten enthalten, z.B. Zugriffslogs, Tracelogs oder Anwendungstransportlogs.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Logging Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

    Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.

    Die Seite Quellen wird geöffnet. Klicken Sie auf Quelle erstellen.

    Klicken Sie alternativ auf das Menüsymbol "Aktionen" Symbol "Aktionen" neben dem Quelleneintrag, den Sie bearbeiten möchten, und wählen Sie Bearbeiten aus. Die Seite Quelle bearbeiten wird angezeigt.

  2. Fügen Sie die erweiterte Felddefinition für das Basisfeld hinzu, das die länderspezifischen IP-Adress- oder Hostnamensdatensätze enthält, z.B. Host-IP-Adresse.
  3. Klicken Sie auf die Registerkarte Feldanreicherung und anschließend auf Hinzufügen.
  4. Wählen Sie im Dialogfeld "Feldanreicherung hinzufügen" die Option Geolokation als Funktion aus.
  5. Wählen Sie im Abschnitt Eingabefelder die Option IP-Feld aus. Dabei handelt es sich um den Gelocation-Feldnamen, der vom Parser aus den Logs extrahiert wird. Beispiel: Client Coordinates oder Host IP Address (Client).

    Um Bedrohungen mit den Geolokationsinformationen zu erkennen, aktivieren Sie das Kontrollkästchen Anreicherung von Bedrohungsinformationen. Wenn bei der Aufnahme der Logdaten der IP-Adresswert, der mit dem Eingabefeld Quelladresse im Loginhalt verknüpft ist, als Bedrohung gekennzeichnet ist, wird er dem Feld Bedrohungs-IPs hinzugefügt. Anschließend können Sie das Feld verwenden, um die Logs zu filtern, mit denen eine Bedrohung verknüpft ist. Darüber hinaus haben diese Logdatensätze auch das Label Bedrohungs-IP mit der Problempriorität Hoch. Sie können das Label in Ihrer Suche verwenden.

    Die Logdatensätze, denen die Problempriorität Hoch zugeordnet ist, haben einen roten Punkt in der Zeile. Dadurch werden diese Logdatensätze in ihrem Aussehen in der Tabelle prominenter, sodass Sie sie leicht erkennen und analysieren können. Anschließend können Sie die Bedrohungs-IPs in der Oracle Threat Intelligence-Konsole öffnen und weitere Informationen zur Bedrohung erhalten.

  6. Klicken Sie auf Hinzufügen.

Weitere Daten zu Ihren Logeinträgen zur Verarbeitungszeit hinzufügen

Sie können weitere Informationen in jeden Ihrer Einträge als zusätzliche Metadaten aufnehmen. Diese Informationen sind nicht Teil des Logeintrags, werden jedoch zur Verarbeitungszeit hinzugefügt, z.B. Container-ID, Knoten. Ein Beispiel für das Hinzufügen von Metadaten beim Hochladen von Logs bei Bedarf finden Sie unter Logs bei Bedarf hochladen.

Die so hinzugefügten Informationen sind möglicherweise nicht direkt im Log Explorer sichtbar. Gehen Sie folgendermaßen vor, um die Loganalyse im Log Explorer anzuzeigen:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Logging Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

    Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.

    Die Seite Quellen wird geöffnet. Klicken Sie auf das Aktionssymbol Symbol "Aktionen" neben dem Quelleneintrag, den Sie bearbeiten möchten, und wählen Sie Bearbeiten aus. Die Seite Quelle bearbeiten wird angezeigt.

    Hinweis

    Stellen Sie sicher, dass auf der Quelldefinitionsseite ein Parser ausgewählt ist, damit die Schaltfläche Hinzufügen für die Feldanreicherung aktiviert werden kann.

  2. Klicken Sie auf die Registerkarte Feldanreicherung und anschließend auf Hinzufügen.

    Das Dialogfeld Feldanreicherung hinzufügen wird geöffnet.

  3. Führen Sie im Dialogfeld "Feldanreicherung hinzufügen" folgende Aktionen aus:

    1. Wählen Sie Zusätzliche Felder als Funktion aus.
    2. Wählen Sie unter Felder zuordnen die Felder aus, die Sie der Quelle zuordnen möchten. Die Felder, die in den mit dieser Quelle verknüpften Parsern ausgewählt werden, sind hier nicht verfügbar.
    3. Klicken Sie auf Hinzufügen.

Nachdem Sie die zusätzlichen Felder angegeben haben, werden sie im Log Explorer für die Loganalyse angezeigt. Sie können auch beim Konfigurieren der erweiterten Felder oder Labels für Quellen ausgewählt werden.

Ersetzungsfunktion zum Ersetzen eines Ausdrucks in einem Feld verwenden

Wenn Sie während der Logverarbeitung einen Teil des Feldwerts durch eine alternative Zeichenfolge oder einen alternativen Ausdruck ersetzen möchten, verwenden Sie die Ersetzungsfunktion, und speichern Sie den resultierenden Ausdruck des Feldes in einem anderen Ausgabefeld.

Betrachten Sie das Szenario, in dem Sie alle Logdatensätze erfassen möchten, die das Feld URI mit dem Inhalt des Formats http://www.example.com/forum/books?<ISBN> enthalten, und der Wert von ISBN variiert mit jedem Logdatensatz. In solchen Fällen können Sie den Wert von ISBN im Feld jedes Logdatensatzes durch eine Zeichenfolge allExampleBooks ersetzen und in einem Feld modified_URI speichern. Daher haben alle Logdatensätze, die mit URI im obigen Format erfasst wurden, auch das Feld modified_URI mit dem Wert http://www.example.com/forum/books?allExampleBooks. Sie können jetzt das Feld modified_URI in der Suchabfrage verwenden, um diese Logs zur weiteren Analyse im Log Explorer zu filtern.

Verwenden Sie außerdem die Option Alle Übereinstimmungen ersetzen, um alle Vorkommen des Wertes im Feld zu ersetzen. Beispiel: Wenn im Feld Original log content mehrere Vorkommen von IP-Adressen vorhanden sind, die Sie durch eine Zeichenfolge ersetzen möchten, können Sie diese Option verwenden. Das Ergebnis kann in einem Feld gespeichert werden, z.B. Altered log content. Sie können jetzt das Feld Altered log content in der Abfrage verwenden, um alle Logdatensätze mit IP-Adressen im Feld Original log content zu filtern.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Logging Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

    Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.

    Die Seite Quellen wird geöffnet. Klicken Sie auf Quelle erstellen.

    Klicken Sie alternativ auf das Menüsymbol "Aktionen" Symbol "Aktionen" neben dem Quelleneintrag, den Sie bearbeiten möchten, und wählen Sie Bearbeiten aus. Die Seite Quelle bearbeiten wird angezeigt.

  2. Geben Sie einen Namen für die Quelle und eine geeignete Beschreibung ein, und wählen Sie die Herkunftsart aus. Wählen Sie einen Parser aus, mit dem die Logs geparst werden sollen. Diese Auswahl bestimmt die Felder, die für die Feldanreicherung verfügbar sind.

  3. Klicken Sie auf die Registerkarte Feldanpassung und anschließend auf Feldanreicherung hinzufügen.

  4. Wählen Sie im Dialogfeld "Feldanreicherung hinzufügen" die Option Ersetzung als Funktion aus.

  5. Gehen Sie im Abschnitt Eingabefelder wie folgt vor:

    1. Wählen Sie das Logquellenfeld aus, das Werte enthält, die Sie ersetzen möchten. Beispiel: URI.

    2. Geben Sie unter Ausdruck für Abgleich den regulären Ausdruck für die Zeichenfolge in dem Feld an, das ersetzt werden muss.

    3. Geben Sie die Ersatzzeichenfolge/Ausdruck an, die anstelle des ursprünglichen Wertes des Eingabefeldes ersetzt werden muss.

    4. Wenn das Feld mehrere Vorkommen der Zeichenfolge aufweist, die Sie ersetzen möchten, aktivieren Sie das Kontrollkästchen Alle Übereinstimmungen ersetzen.

  6. Wählen Sie im Abschnitt Ausgabefeld das Feld aus, in dem der neue Wert des Eingabefeldes gespeichert werden muss, nachdem der ursprüngliche Wert durch den Ersetzungswert ersetzt wurde.

  7. Klicken Sie auf Feldanreicherung hinzufügen.

Labels in Quellen verwenden

Mit Oracle Logging Analytics können Sie basierend auf definierten Bedingungen Labels oder Tags zu Logdatensätze hinzufügen.

Wenn ein Logeintrag mit der von Ihnen definierten Bedingung übereinstimmt, wird ein Label mit diesem Logeintrag aufgefüllt. Dieses Label ist in den Log Explorer-Visualisierungen sowie zum Suchen und Filtern von Logeinträgen verfügbar.

Sie können von Oracle definierte oder benutzerdefinierte Labels in den Quellen verwenden. Informationen zum Erstellen eines benutzerdefinierten Labels zum Taggen eines bestimmten Logeintrags finden Sie unter Label erstellen.

  1. Um Labels in einer vorhandenen Quelle zu verwenden, bearbeiten Sie diese Quelle. Die Schritte zum Öffnen der Seite Quelle bearbeiten finden Sie unter Quelle bearbeiten.

  2. Klicken Sie auf die Registerkarte Labels.

  3. Um ein bedingtes Label hinzuzufügen, klicken Sie auf Bedingtes Label hinzufügen.

    Gehen Sie im Bereich Bedingungen wie folgt vor:

    1. Wählen Sie in der Liste Eingabefeld das Logfeld aus, auf das Sie die Bedingung anwenden möchten.

    2. Wählen Sie den Operator in der Liste Operator aus.

    3. Geben Sie im Feld Bedingungswert den Wert der Bedingung an, die zum Anwenden des Labels übereinstimmen muss.

      Hinweis

      Um die Loggruppe als Eingabefeld hinzuzufügen, geben Sie die OCID für den Wert anstelle des Namens an.

    4. Um weitere Bedingungen hinzuzufügen, klicken Sie auf das Symbol "Bedingung hinzufügen" Bedingung hinzufügen (Symbol), und wiederholen Sie die Schritte 3a bis 3c. Wählen Sie den logischen Vorgang aus, der auf mehrere Bedingungen angewendet werden soll. Wählen Sie aus UND, ODER, NOT AND oder NOT OR.

      Um eine Gruppe von Bedingungen hinzuzufügen, klicken Sie auf das Symbol "Gruppenbedingung" Symbol "Gruppenbedingung", und wiederholen Sie die Schritte 3a bis 3c, um jede Bedingung hinzuzufügen. Eine Gruppe von Bedingungen muss mehrere Bedingungen aufweisen. Wählen Sie den logischen Vorgang aus, der auf die Bedingungsgruppe angewendet werden soll. Wählen Sie aus UND, ODER, NOT AND oder NOT OR.

      Um eine Bedingung zu entfernen, klicken Sie auf das Symbol "Bedingung entfernen" Symbol "Bedingung entfernen".

      Um die Liste der Bedingungen in Form einer Anweisung anzuzeigen, klicken Sie auf Bedingungsübersicht anzeigen.

  4. Wählen Sie unter Aktionen aus den bereits verfügbaren von Oracle definierten oder benutzerdefinierten Labels aus. Falls erforderlich, können Sie ein neues Label erstellen, indem Sie auf Label erstellen klicken.

    Aktivieren Sie das Kontrollkästchen Aktiviert .

  5. Klicken Sie auf Hinzufügen.

Mit Oracle Logging Analytics können Sie im Log Explorer nach Labels suchen. Sie können anhand eines der für die Labels definierten Parameter suchen. Geben Sie die Suchzeichenfolge in das Feld Suchen ein. Sie können die Suchkriterien im Suchdialogfeld angeben. Legen Sie unter Erstellungstyp fest, ob die Labels, nach denen Sie suchen, von Oracle definiert oder benutzerdefiniert sind. Unter den Feldern Eingabefeld, Operator und Ausgabefeld können Sie eine der verfügbaren Optionen auswählen. Sie können auch den Bedingungswert oder den Ausgabewert angeben, der für die Suche verwendet werden kann. Klicken Sie auf Filter anwenden.

Jetzt können Sie Logdaten basierend auf den von Ihnen erstellten Labels durchsuchen. Siehe Logs nach Labels filtern.

Dataset mit bedingten Feldern anreichern

Wenn Sie ein beliebiges Feld auswählen und einen Wert darin schreiben möchten, können Sie optional die bedingten Felder verwenden. Das Auffüllen eines Wertes in einem beliebigen Feld mit der Funktionalität für bedingte Felder ähnelt der Verwendung von Lookups. Die Verwendung der bedingten Felder bietet jedoch mehr Flexibilität für die Abgleichsbedingungen und eignet sich ideal bei einer kleinen Anzahl von Bedingungen - Feldauffüllungsdefinitionen. Beispiel: Wenn Sie wenige Bedingungen zum Auffüllen eines Feldes haben, können Sie durch Verwendung bedingter Felder das Erstellen und Verwalten eines Lookups vermeiden.

Die Schritte zum Hinzufügen der bedingten Felder ähneln denen im obigen Workflow zum Hinzufügen bedingter Labels.

  • Klicken Sie im 3. Schritt auf Bedingungslabel hinzufügen, anstatt auf Bedingungsfeld hinzufügen zu klicken. Der Rest des 3. Schrittes zur Auswahl der Bedingungen bleibt derselbe wie der obige Workflow.

  • In Schritt 4 oben,

    1. Wählen Sie für das Ausgabefeld aus den bereits verfügbaren von Oracle definierten oder benutzerdefinierten Feldern aus dem Menü aus. Bei Bedarf können Sie ein neues Feld erstellen, indem Sie auf Neues Feld erstellen klicken.

    2. Geben Sie einen Ausgabewert ein, der für das Ausgabefeld geschrieben werden soll, wenn die Eingabebedingung "true" ist.

      Beispiel: Die Quelle kann so konfiguriert werden, dass der Ausgabewert authentication.login für das Ausgabefeld Security Category angehängt wird, wenn der Logdatensatz das Eingabefeld Method enthält, das auf den Wert CONNECT gesetzt ist.

      Aktivieren Sie das Kontrollkästchen Aktiviert .

Automatischen Zeitparser verwenden

Mit Oracle Logging Analytics können Sie die Quelle so konfigurieren, dass ein generischer Parser verwendet wird, anstatt einen Parser für Ihre Logs zu erstellen. Dabei wird in den Logs nur die Logzeit aus den Logeinträgen analysiert, wenn die Zeit von Oracle Logging Analytics identifiziert werden kann.

Das ist besonders hilfreich, wenn Sie nicht sicher sind, wie Sie Logs parsen oder reguläre Ausdrücke zum Parsen der Logs schreiben, und Sie nur die Raw-Logdaten übergeben möchten, um eine Analyse durchzuführen. In der Regel definiert ein Parser, wie die Felder aus einem Logeintrag für einen bestimmten Logdateityp extrahiert werden. Der allgemeine Parser in Oracle Logging Analytics kann jedoch folgende Aufgaben ausführen:

  • Zeitstempel und Zeitzone aus Logeinträgen erkennen

  • Einen Zeitstempel mit der aktuellen Uhrzeit erstellen, wenn die Logeinträge keinen Zeitstempel aufweisen

  • Erkennen, ob die Logeinträge mehrzeilig oder einzeilig sind

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Logging Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

    Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.

  2. Klicken Sie auf der Seite Quellen auf Quelle erstellen.
    Das Dialogfeld "Quelle erstellen" wird angezeigt.
  3. Geben Sie im Feld Quelle den Namen für die Quelle ein.
  4. Wählen Sie im Feld Quelltyp die Option Datei aus.
  5. Klicken Sie auf Entitytyp, und wählen Sie den Entitytyp für diese Quelle aus.
  6. Wählen Sie Nur Zeit automatisch parsen aus. Oracle Logging Analytics verwendet automatisch den generischen Parsertyp.
  7. Klicken Sie auf Speichern.
Wenn Sie auf die Logdatensätze der neu erstellten Quelle zugreifen, extrahiert Oracle Logging Analytics die folgenden Informationen aus den Logeinträgen und zeigt diese an:

  • Zeitstempel:

    • Wenn ein Logeintrag keinen Zeitstempel aufweist, erstellt der generische Parser den Zeitstempel basierend auf dem Zeitpunkt, zu dem die Logdaten erfasst wurden, und zeigt diesen an.

    • Wenn ein Logdatensatz einen Zeitstempel enthält, die Zeitzone jedoch nicht definiert ist, verwendet der generische Parser die Zeitzone des Management Agent.

      Wenn Sie Management Agent verwenden und die Zeitzone nicht richtig erkannt wird, können Sie die Zeitzone manuell in den Agent-Konfigurationsdateien festlegen. Siehe Zeitzone und Zeichencodierung für Dateien manuell angeben.

      Wenn Sie Logs mit On-Demand-Upload hochladen, können Sie die Zeitzone zusammen mit dem Upload angeben, um die Zeitzone zu erzwingen, wenn sie nicht richtig erkannt werden kann. Wenn Sie die CLI verwenden, finden Sie weitere Informationen unter Befehlszeilenreferenz: Logging Analytics - Upload. Wenn Sie die REST-API verwenden, finden Sie weitere Informationen unter Logging Analytics-API - Upload.

    • Wenn eine Logdatei Logdatensätze mit mehreren Zeitzonen enthält, kann der generische Parser bis zu 11 Zeitzonen unterstützen.

    • Wenn eine Logdatei einige Logeinträge mit einer Zeitzone und einige ohne anzeigt, verwendet der generische Parser die zuvor gefundene Zeitzone für die Einträge, die keine Zeitzone aufweisen.

    • Wenn Sie Logs mit Management Agent erfassen und die Zeitzone oder der Zeitzonenoffset nicht in den Logdatensätze angegeben ist, vergleicht Oracle Logging Analytics die letzte Änderungszeit des Betriebssystems mit dem Zeitstempel des letzten Logeintrags, um die richtige Zeitzone zu bestimmen.

  • Mehrere Zeilen: Wenn ein Logeintrag mehrere Zeilen umfasst, kann der generische Parser den mehrzeiligen Inhalt korrekt erfassen.