Hinweis:

Beispiellogs mit OCI Logging Analytics analysieren

Einführung

Eine typische Unternehmensumgebung hat große Mengen an Logtelemetrie. Es kann schwierig sein, interessante Logdaten und Ereignisse zu finden und sie mit einem bestimmten Geschäftsablauf aus allen Anwendungen zu korrelieren oder ungewöhnliches Verhalten zu identifizieren. OCI Logging Analytics ist eine Cloud-Lösung, mit der eine Vielzahl von Logdaten aus On-Premise- und Multi-Cloud-Umgebungen aggregiert, indexiert und analysiert werden kann. Damit können Sie diese Daten suchen, explorieren und korrelieren, betriebliche Einblicke ableiten und fundierte Entscheidungen treffen. Logging Analytics kann Logs aus nahezu jeder Quelle erfassen, analysieren und korrelieren. Korrelationsaktivitäten nutzen sowohl vordefiniertes maschinelles Lernen als auch eine anspruchsvolle Abfragesprache.
In diesem Tutorial erfahren Sie, wie Sie mit OCI Logging Analytics in einer vorkonfigurierten Umgebung derartige Aufgaben einfach ausführen können, einschließlich Ausreißererkennung, Ereignisclustering, Logkorrelation und Anomalieerkennung.

Ziele

Erfahren Sie, wie Sie Probleme beheben können, indem Sie Logdateien anhand von vordefinierten Algorithmen für maschinelles Lernen, kontextbezogenen und interaktiven Dashboards analysieren, um Probleme schnell aufzurufen und Ursachen mit OCI Logging Analytics zu identifizieren.

Voraussetzungen

Bevor Sie beginnen

Sobald Sie das Labor starten, werden Sie mit Ihrem eigenen Desktop präsentiert. Über einen Browser melden Sie sich bei einer Oracle Cloud Infrastructure-Umgebung an, die zur Ausführung bestimmter Logging Analytics-Aufgaben entwickelt und konfiguriert wurde.

Sie melden sich als OCI-Administratorbenutzer an und führen die Übungsschritte in einer einzelnen Region aus.

Bei der OCI-Umgebung anmelden

  1. Wenn Sie dies noch nicht getan haben, navigieren Sie zu Ihrem Desktop, öffnen Sie die Datei Luna-Lab.html, indem Sie auf die Datei doppelklicken. Wenn ein Dialogfeld angezeigt wird, stellen Sie sicher, dass Chrome als Standardbrowser aktiviert ist, und deaktivieren Sie das Senden von Statistiken und Absturzberichten an Google.

  2. Beachten Sie die Details in dieser Datei, scrollen Sie nach unten, um alle anzuzeigen: einen Quicklink zu OCI, Ihren Benutzernamen und Ihr Kennwort sowie andere Übungsdetails. Klicken Sie auf die Schaltfläche OCI CONSOLE. Die OCI-Anmeldeschnittstelle wird in einer separaten Registerkarte geöffnet. Klicken Sie auf die Schaltfläche OCI-Konsole, und eine Anmeldung bei der OCI-Konsole wird auf einer neuen Browserregisterkarte angezeigt. Wenn eine Nachricht zu Cookies auf der Site angezeigt wird, klicken Sie auf die Schaltfläche Ich akzeptiere alle Cookies.

  3. Navigieren Sie zur ersten Registerkarte, kopieren Sie Ihren Benutzernamen, und fügen Sie ihn in das Feld Benutzername der zweiten Registerkarte ein.

  4. Wiederholen Sie Schritt 3 oben, kopieren Sie dieses Mal das Kennwort, und klicken Sie dann auf Anmelden. Speichern Sie das Kennwort, wenn Sie möchten, und ignorieren Sie alle weiteren Meldungen, die möglicherweise angezeigt werden.

    Da Ihr Compartment über eine Superadministratorengruppe verfügt und Sie ein Superadministrator in dieser Gruppe sind, müssen Sie vom Root Compartment in das spezifische Compartment, dem Sie zugewiesen wurden, wechseln. Daher wird die rote Ressourcenfehlermeldung beim Abrufen der Abfrageergebnisse angezeigt. Scrollen Sie in der ersten Registerkarte "Luna Lab" nach unten, und beachten Sie, welcher OCI-Compartment-Name Ihnen zugewiesen wurde.

  5. Klicken Sie oben links in der OCI-Konsole auf das Navigationssymbol, klicken Sie auf Observability & Management, navigieren Sie zu Logging Analytics, und klicken Sie dann auf Log Explorer. Ignorieren Sie den Fehler beim Registrieren des Abrufs der Abfrageergebnisse.

  6. Klicken Sie rechts neben dem Log-Explorer auf das Symbol Filter.

    Navigieren Sie dann zur ersten Browserregisterkarte, suchen Sie den OCI-Compartment-Namen, und klicken Sie auf Kopieren. Fügen Sie zur OCI-Umgebung den Compartment-Namen in das Suchfeld Loggruppen-Compartment ein, und wählen Sie Ihr Compartment aus. Klicken Sie auf Apply.

  7. Wählen Sie im Zeitfenster (oben rechts) die Option Letzte 14 Tage.

  8. Um zu prüfen, ob alle Entitys, aus denen Sie Logs erfassen, korrekt eingerichtet sind, navigieren Sie zum oberen linken Menü, und wählen Sie Administration. Legen Sie auf der Seite Administrationsüberblick das Feld Compartment auf das Feld fest, dem Sie wie im vorherigen Schritt zugewiesen wurden. Schließen Sie alle roten Fehlerfelder, und klicken Sie auf Entitys. Die Liste der Entitys sollte dem folgenden Bild ähneln.

    Beachten Sie, dass Ihre Umgebung möglicherweise über mehr Logs verfügt als hier dargestellt, und Ihre Analysediagramme können unterschiedliche Zahlen anzeigen. Die vordefinierten Umgebungen werden regelmäßig erweitert. Die Explorationsschritte bleiben jedoch gleich.

    Bild 2

Jetzt können Sie Logging Analytics kennenlernen.

Machen Sie sich vertraut

  1. Navigieren Sie zurück zu Log Explorer (oben links).

  2. Wählen Sie unter "Visualisierungen" die Option Datensätze mit Histogramm aus. Im Folgenden werden die Hauptteile der Benutzeroberfläche aufgeführt, die in diesem Tutorial verwendet werden.

    1) Abfrageleiste mit den Schaltflächen Löschen, Hilfe suchen und Ausführen am rechten Ende der Leiste.

    2) Menü Zeitbereich und Menü Aktionen, in denen Sie nach Aktionen wie Öffnen, Speichern und Speichern unter suchen können.

    3) Bereich "Felder", in dem Sie Quellen und Felder zum Filtern Ihrer Daten auswählen können.

    4) Fensterbereich "Visualisierung", in dem Sie die Möglichkeit wählen können, Suchdaten in einem Formular anzuzeigen, das Ihnen hilft.

    5) Hauptbereich, in dem die Visualisierungsausgaben über den Ergebnissen der Abfrage angezeigt werden.

  3. Der Zeitraum sollte im gesamten Tutorial "Benutzerdefiniert" bleiben. Wenn der Zeitraum nicht auf "Benutzerdefiniert" zurückgesetzt werden kann, können Sie ihn neu starten, indem Sie zur Seite "Hochgeladene Dateien" zurückkehren und auf Im Log Explorer anzeigen klicken.

    Hinweis: Wenn Sie einen Schritt verlieren, können Sie die Browserschaltfläche "Zurück" verwenden. Verwenden Sie jedoch nicht die Schaltfläche "Aktualisieren".

Logs mit Clustering untersuchen

  1. Klicken Sie im Diagramm auf OCI-VCN-Flowlogs, um einen Drilldown zu VCN-Flowdaten durchzuführen.

  2. Navigieren Sie zu Aktionen, und klicken Sie auf Speichern unter, um diese Suche als "Widget" zu speichern.

  3. Schließen Sie "Save Search" ab, und klicken Sie auf "Save".

    Zu diesem Zeitpunkt kann das Widget direkt von hier aus oder später aus dem Dashboard-Menü zu einem Dashboard hinzugefügt werden.

  4. Erstellen Sie ein paar weitere Widgets, indem Sie die verschiedenen anderen Logs anzeigen.

    Später fügen Sie sie einem Dashboard hinzu.

  5. Kehren Sie zum Anzeigen aller Logdaten zurück.

    Hinweis: Löschen Sie die Abfrageleiste, und klicken Sie auf Ausführen.

    Sie arbeiten mit ~74k Gesamtdatensätzen. Es ist einfacher, große Datenmengen als zugehörige Cluster zu visualisieren. Logging Analytics - Clustering (Nicht überwachtes ML) verwendet die Logdaten und das erweiterte Domain-Know-how, um Muster in den Daten zu finden. Das Clustering arbeitet sowohl an Text als auch an Zahlen, sodass große Datenmengen auf weniger Muster für die Anomalieerkennung reduziert werden können. Klicken Sie auf die Schaltfläche Cluster im Visualisierungsbereich.

  6. Führen Sie einen Drilldown in verschiedene Cluster, potenzielle Probleme, Ausreißer und Trends durch.

    Logging Analytics verwendet nicht überwachte ML, um zugehörige Cluster in Daten zu suchen. Dadurch werden die ~74k-Logs in Echtzeit auf 629 Clustermuster reduziert.

    Hinweis: Die angezeigten Zahlen unterscheiden sich möglicherweise geringfügig von den Zahlen im Tutorial.

  7. Klicken Sie auf die Registerkarte Potenzielle Probleme.

    Von den 629 Clustern wurden 76 automatisch als potenzielle Probleme identifiziert.

  8. Klicken Sie auf die Registerkarte Ausreißer.

    Diese Probleme traten nur einmal auf und geben eine Anomalie im System an.

  9. Klicken Sie jetzt auf die Registerkarte Trends.

    Hierbei handelt es sich um Clustermuster, die zeitlich korreliert sind. Klicken Sie auf 8 Ähnliche Trends, um eine Gruppe zugehöriger Logs aus den Alert Logs der Datenbank anzuzeigen. Beachten Sie, dass die genaue Anzahl der angezeigten Trends je nach ausgewähltem Zeitfenster variieren kann.

  10. Speichern Sie diese Suche nach den Schritten, die Sie oben in Schritt 3 ausgeführt haben.

  11. Erstellen Sie eine weitere Visualisierung, um die Verteilung des Netzwerkverkehrs zu verstehen.

    Ändern Sie zunächst die Visualisierung in Kreisdiagramm, und wählen Sie ein neues Datenset aus, OCI VCN Flow Logs.

    Suchen Sie im Suchfeld im Feld "Feldbereich" nach der Zeichenfolge "Quelle". Ziehen Sie anschließend "Quell-IP" per Drag-and-Drop aus dem Feld "Andere" in das Feld "Gruppieren nach" im Visualization-Bereich, und klicken Sie auf Anwenden.

    Hier sehen Sie die Logverteilung nach "Quell-IP".

  12. Suchen Sie die Verteilung von "Ziel-IPs" in der Abfragesprache.

    Geben Sie die folgende Abfrage in die Abfrageleiste ein, und klicken Sie auf Ausführen.

    Hinweis: Alle außerhalb der Umgebung kopierten Elemente, die in der Umgebung eingefügt werden sollen, müssen zuerst in das Clipboard eingefügt werden, das sich in der Aktionsleiste der Umgebung befindet.

    'Log Source' = 'OCI VCN Flow Logs’ | stats count('Destination IP') by 'Destination IP'

    Ein Kreisdiagramm (standardmäßig festgelegt) mit Datensätzen wird angezeigt.

  13. Ändern Sie die Visualisierung in eine Baumstruktur, indem Sie im Visualisierungsmenü die Option "Baumzuordnung" auswählen.

    Wählen Sie im Visualisierungsmenü die Option "Baumzuordnung".

    Auf dieser Seite können Sie die Verteilung der Ziel-IPs visualisieren. Speichern unter Sie diese Suche/dieses Widget.

  1. Korrelieren Sie Daten mit anderen Datenquellen mithilfe der Funktion für nicht überwachte Links. Geben Sie Folgendes in die Abfrageleiste ein, und klicken Sie auf Ausführen. Navigieren Sie zu Administration, und klicken Sie unter Ressourcen auf Uploads. Wählen Sie den Namen des Uploads aus, und kopieren Sie ihn (Strg-C). Navigieren Sie zurück zu Log Explorer, und ersetzen Sie in der Abfrageleiste logging-analytics-demo den Namen des kopierten Uploads (wählen Sie logging-analytics-demo aus, und drücken Sie Strg-V), und klicken Sie auf Ausführen.

    Hinweis: Drücken Sie Strg-I in der Abfrageleiste, um die Abfrage zu formatieren.

    'Upload Name' = 'logging-analytics-demo' and 'Log Source' = 'OCI VCN Flow Logs' 
| eval 'Source Name' = if('Source Port' = 80,
                       HTTP,
                       'Source Port' = 443,
                       HTTPS,
                       'Source Port' = 21,
                       FTP,
                       'Source Port' = 22,
                       SSH,
                       'Source Port' = 137,
                       NetBIOS,
                       'Source Port' = 648,
                       RRP,
                       'Source Port' = 9006,
                       Tomcat,
                       'Source Port' = 9042,
                       Cassandra,
                       'Source Port' = 9060,
                       'Websphere Admin. Console',
                       'Source Port' = 9100,
                       'Network  Printer',
                       'Source Port' = 9200,
                       'Elastic Search',
                       Other) 
 | eval 'Destination Name' = if('Destination Port' = 80,
                            HTTP,
                            'Destination Port' = 443,
                            HTTPS,
                            'Destination Port' = 21,
                            SSH,
                            'Destination Port' = 22,
                            FTP,
                            'Destination Port' = 137,
                            NetBIOS,
                            'Destination Port' = 648,
                            RRP,
                            'Destination Port' = 9006,
                            Tomcat,
                            'Destination Port' = 9042,
                            Cassandra,
                            'Destination Port' = 9060,
                            'Websphere Admin. Console',
                            'Destination Port' = 9100,
                            'Network  Printer',
                            'Destination Port' = 9200,
                            'Elastic Search',
                            Other) 
 | eval Source = 'Source IP' || ':' || 'Source Port' 
 | eval Destination = 'Destination IP' || ':' || 'Destination Port' 
 | link Source,
    Destination 
 | stats avg('Content Size Out') as 'Transfer Size (bytes)',
    unique('Source Name') as 'Traffic From',
    unique('Destination Name') as 'Traffic To' 
 | classify topcount = 300 correlate = -*,
    Source,
    Destination 'Start Time',
    'Traffic From',
    'Transfer Size (bytes)',
    'Traffic To' as Network

    Die eval-Funktionalität übersetzt die Portnamen in Anwendungen.

    Im letzten Teil der Abfrage werden weitere Felder zur Abfragezeitauswertung hinzugefügt, die eine eindeutige Zeile für jede Quelle und jedes Ziel erstellen und die durchschnittliche Netzwerkübertragung zwischen diesen Endpunkten berechnen. Außerdem erhalten Sie einen übersetzten Namen für die Quell- und Zielports als "Traffic von" und "Traffic an".

  2. Navigieren Sie zu Analysieren, klicken Sie auf Diagramm erstellen, und füllen Sie die Felder wie unten dargestellt aus:

  3. Analysieren Sie Cluster, und analysieren Sie die angegebenen Datenpunkte, und erstellen Sie die folgende Analyse:

  4. Sie können verschiedene Felder auswählen, um die Größe und Farben der Elemente im Diagramm zu steuern.

  5. Bewegen Sie den Mauszeiger über Artikel, um detaillierte Informationen zu ihnen anzuzeigen.

  6. Sie können auf Elemente klicken, um Zugriff auf den Inhalt zu erhalten.

  7. Speichern Sie dies als Widget.

    Navigieren Sie zu Optionen, und klicken Sie auf Anzeigeoptionen. Heben Sie im Abschnitt "Dashboard-Optionen" des Bereichs die Auswahl aller Optionen auf, und aktivieren Sie nur "Analysieren" und "Datentabelle". Klicken Sie auf Änderungen speichern. Navigieren Sie anschließend zu Aktionen, und klicken Sie auf Speichern unter, um diese Analyse als Widget zu speichern.

Dashboards erstellen

  1. Navigieren Sie zu Logging Analytics, und klicken Sie auf Dashboards.

  2. Klicken Sie auf Erstellen.

    Geben Sie einen Dashboard-Namen, das zuvor erstellte Compartment (logging-analytics-demo) ein, und verwenden Sie die gespeicherten Suchen, die als Widgets für das Dashboard auf der rechten Seite verfügbar sind. Verschieben Sie ein Widget per Drag-and-Drop auf der Leinwand. Die Bereiche können skaliert und auf der Leinwand verschoben werden. Weitere zuvor erstellte Widgets hinzufügen. Das Dashboard könnte wie folgt aussehen:

    Oder wie folgt:

Weitere Informationen

Um kontinuierlich Logdaten von Ihren On-Premise-Entitys zu erfassen, können Sie Management-Agents auf Ihren Hosts, On Premise oder in einer Cloud-Infrastruktur installieren. Weitere Informationen finden Sie unter Oracle Management Agents verwenden.

Weitere Informationen zu Entityverknüpfungen, die zum Erstellen von Beziehungen verwendet werden, finden Sie unter:

Entitys erstellen

Neue Quell-Entity-Zuordnung konfigurieren

In Logging Analytics modellierte Entitytypen

Weitere technische Informationen finden Sie unter Logging Analytics.

Sehen Sie sich andere Übungen zu Oracle Learn an, oder greifen Sie auf weitere Inhalte im Oracle Learning YouTube-Kanal zu. Außerdem besuchen Sie Oracle University, um Oracle Learning Explorer zu werden.

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere Inhalte für kostenloses Lernen im Oracle Learning YouTube-Kanal zu. Außerdem besuchen Sie education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Produktdokumentation finden Sie im Oracle Help Center.