Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zum Registrieren eines kostenlosen Accounts finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Er verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, Mandanten und Compartments. Ersetzen Sie diese Werte beim Durchführen Ihrer Übung durch spezifische Werte für Ihre Cloud-Umgebung.

Beispiellogs mit OCI Logging Analytics analysieren

Einführung

In einer typischen Unternehmensumgebung gibt es enorme Mengen an Logtelemetrie. Wie können Sie herausfinden, ob Ihre Logdaten über interessante Logereignisse verfügen? Wie korrelieren Sie Logereignisse, die zu einem bestimmten Geschäftsablauf gehören, von allen Anwendungen aus? Wie ermitteln Sie, welche Geschäftsabläufe sich anormal verhalten? OCI Logging Analytics ist eine Cloud-Lösung, mit der eine Vielzahl von Logdaten aus On-Premise- und Multi-Cloud-Umgebungen aggregiert, indexiert und analysiert werden kann. Damit können Sie diese Daten suchen, explorieren und korrelieren, betriebliche Einblicke ableiten und fundierte Entscheidungen treffen. Logging Analytics kann Logs aus nahezu jeder Quelle erfassen, analysieren und korrelieren. Korrelationsaktivitäten nutzen sowohl vordefiniertes maschinelles Lernen als auch eine anspruchsvolle Abfragesprache.
In diesem Tutorial erfahren Sie, wie Sie mit Oracle Cloud Infrastructure Logging Analytics diese Aufgaben einfach ausführen können, einschließlich Ausreißererkennung, Ereignisclustering, Logkorrelation und Anomalieerkennung.

Ziele

Erfahren Sie, wie Sie Probleme beheben können, indem Sie Logdateien anhand von vordefinierten Algorithmen für maschinelles Lernen, kontextbezogenen und interaktiven Dashboards analysieren, um Probleme schnell aufzurufen und Ursachen mit OCI Logging Analytics zu identifizieren.

Voraussetzungen

Hinweis: Sie können einen Testaccount für dieses Tutorial verwenden. Wenn Sie Ihren Account jedoch in "Immer kostenlos" konvertieren, werden Sie vom Service deaktiviert, und Sie können ihn nicht für dieses Tutorial verwenden.

Umgebung vorbereiten

Sie müssen ein OCI-Administrator sein und diese Schritte in einer einzelnen Region ausführen.

Allgemeine Konfigurationsaufgaben für Voraussetzungen ausführen, um Ihren Oracle Cloud Infrastructure-Mandanten einzurichten und Oracle Logging Analytics zu verwenden.

Logging Analytics aktivieren

Wenn Sie Logging Analytics zum ersten Mal in der aktuellen Umgebung verwenden, müssen Sie den Service aktivieren, indem Sie die folgenden Schritte ausführen. Wenn Sie Logging Analytics aktiviert haben, fahren Sie mit dem Abschnitt Beispiellogs hochladen fort.

1. Der Logging Analytics-Service ist über das OCI-Konsolenmenü der obersten Ebene verfügbar. Navigieren Sie zu Observability & Management, und klicken Sie auf Logging Analytics.

   

2. Wenn Sie den Service in dieser Region zum ersten Mal verwenden, prüfen Sie die Onboarding-Seite, die Ihnen detaillierte Details zum Service sowie eine Option zum Starten der Verwendung von Logging Analytics bietet. Klicken Sie auf Logginganalysen verwenden.

   

3. Prüfen Sie die automatisch erstellten Policys. Eine Loggruppe mit dem Namen Standard wird erstellt, wenn sie nicht vorhanden ist. Nachdem der Logging Analytics-Service erfolgreich aktiviert wurde, klicken Sie auf Aufnahme einrichten, um fortzufahren.

   

4. Wählen Sie OCI-Auditloganalyse in dieser Region konfigurieren aus, und klicken Sie auf Weiter.

   

5. Nachdem Sie die Änderungen geprüft haben, klicken Sie auf Aufnahme einrichten.

   

6. Nachdem die OCI-Auditloganalyse erfolgreich aktiviert wurde, klicken Sie auf Gehe zum OCI-Auditlog-Dashboard.

   

Beispiellogs hochladen

1. Melden Sie sich mit Ihren Mandantenzugangsdaten bei der OCI-Konsole an.

2. Stellen Sie sicher, dass Sie sich in Ihrer Hauptregion befinden.

   

3. Öffnen Sie eine Cloud-Shell, indem Sie auf das Symbol rechts neben dem Selektor "Region" klicken. Die Cloud-Shell wird unten im Browserfenster geöffnet und ist in einigen Minuten verfügbar.

4. Führen Sie die folgenden Befehle aus:

   wget https://objectstorage.us-phoenix-1.oraclecloud.com/p/RHMd3hXQ4v33Bm7YE6IONjSvsNPFBNAf7BkcVgysjr9wgNA3gzZEB5DevHqkMR1t/n/ax1zffkcg1fy/b/oci_quick_start_script_do_not_delete/o/logging-analytics-demo-v1.0.zip
   

   unzip logging-analytics-demo-v1.0.zip
   

   cd logging-analytics-demo
   

   ./setup.sh
   

   Beispielausgabe für ./setup.sh-Befehl:

   Running demo setup script: Jan-12-2021 
   Checking to see if compartment logging-analytics-demo already exists 
   Does not exist yet, create compartment 
   . . . 
   Create log directories 
   Update Log Record timestamps
   Loading files ...
   Processing source/cisco-asa (convert - I file(s)) - Cisco ASA Logs
   . . .
   Processed in 12 seconds
   Compressing files 
   Uploading Logs 
   . . .
   Uploading oci_api_gw_access.zip
   Uploading oci_api_gw_exec.zip
   

   Das Setupskript richtet alle erforderlichen OCI-Ressourcen ein und lädt die Beispiellogdaten.

   Hinweis: Das Setup-Skript kann erneut ausgeführt werden. Wenn Sie dieselben Dateien bereits hochgeladen haben, klicken Sie auf das Navigationssymbol, klicken Sie auf Verwaltbarkeit und Verwaltung, navigieren Sie zu Logging Analytics, und klicken Sie auf Administration. Klicken Sie unter Ressourcen auf Uploads. Wählen Sie logging-analytics-demo aus, und löschen Sie diesen Upload, bevor Sie das Skript erneut ausführen. Wenn Sie zum Dekomprimieren aufgefordert werden, "ersetzen" zu verwenden, antworten Sie mit "A" ([A]ll).

   Außerdem erstellt das Setup-Skript eine Superadministratorengruppe namens Logging-Analytics-SuperAdmins. Damit andere OCI-Benutzer Logging Analytics verwenden und diese Beispiellogs analysieren können, fügen Sie diese Benutzer wie folgt zu dieser Gruppe hinzu:

   a. Navigieren Sie im OCI-Konsolenmenü zu Identität > Benutzer.

   b. Klicken Sie auf den Namen des Benutzers, der Logging Analytics verwendet

   c. Klicken Sie in der unteren Hälfte des Bildschirms auf die Schaltfläche Benutzer zu Gruppe hinzufügen.

   d. Wählen Sie im Dialogfeld die Gruppe "Logging-Analytics-SuperAdmins", und klicken Sie auf die Schaltfläche Hinzufügen, um die Änderungen zu speichern.

5. Führen Sie die folgenden Schritte aus, um zu prüfen, ob die Beispiellogdatensätze korrekt hochgeladen wurden und ob Ihre Umgebung so eingerichtet ist:

   Prüfen Sie die Entityerstellung, indem Sie auf das Navigationssymbol klicken, auf Observability & Management klicken, zu Logging Analytics navigieren und auf Administration klicken. Klicken Sie unter Ressourcen auf Entitys. Wählen Sie das Compartment logging-analytics-demo aus. Die Liste der Entitys sollte wie folgt aussehen:

   

   Prüfen Sie den Upload, indem Sie zu Logging Analytics navigieren und auf Administration klicken. Klicken Sie unter Ressourcen auf Uploads. Klicken Sie auf logging-analytics-demo.

   Klicken Sie im Menü auf der linken Seite auf Warnungen, und bestätigen Sie, dass keine Warnungen oder Fehler vorliegen.

   Navigieren Sie als Nächstes zu Hochgeladene Dateien, klicken Sie auf Status, und wählen Sie diese Option aus, um nach Nicht erfolgreich zu filtern. Dies sollte keine Datensätze anzeigen. Ändern Sie den Status in In Bearbeitung. Es dürfen keine Datensätze angezeigt werden, die angeben, dass alle Dateien erfolgreich hochgeladen wurden.

   

Machen Sie sich vertraut

1. Klicken Sie im linken Menü der Seite "Hochgeladene Dateien" auf In Log Explorer anzeigen.

   

2. Die folgende Abbildung zeigt die Hauptteile der Benutzeroberfläche, die in diesem Tutorial verwendet werden.

   

   1) Abfrageleiste mit den Schaltflächen Löschen, Hilfe suchen und Ausführen am rechten Ende der Leiste.

   2) Menü Zeitbereich und Menü Aktionen, in denen Sie nach Aktionen wie Öffnen, Speichern und Speichern unter suchen können.

   3) Bereich "Felder", in dem Sie Quellen und Felder zum Filtern Ihrer Daten auswählen können.

   4) Visualisierungsbereich, in dem Sie Quellen und Felder zum Filtern Ihrer Daten auswählen können.

   5) Hauptbereich, in dem die Visualisierungsausgaben über den Ergebnissen der Abfrage angezeigt werden.

3. Der Zeitraum sollte im gesamten Tutorial "Benutzerdefiniert" bleiben. Wenn der Zeitraum nicht auf "Benutzerdefiniert" zurückgesetzt werden kann, können Sie ihn neu starten, indem Sie zur Seite "Hochgeladene Dateien" zurückkehren und auf Im Log Explorer anzeigen klicken.

   Hinweis: Wenn Sie einen Schritt verlieren, können Sie die Browserschaltfläche "Zurück" verwenden. Verwenden Sie die Schaltfläche "Aktualisieren" jedoch nicht.

Logs mit Clustering untersuchen

1. Klicken Sie auf OCI-VCN-Flowlogs, um einen Drilldown in VCN-Flowdaten durchzuführen.

   

2. Navigieren Sie zu Aktionen, und klicken Sie auf Speichern unter, um diese Suche als "Widget" zu speichern.

   

3. Schließen Sie "Save Search" ab, und klicken Sie auf "Save".

   Zu diesem Zeitpunkt kann das Widget direkt von hier aus oder später aus dem Dashboard-Menü zu einem Dashboard hinzugefügt werden.

   

4. Erstellen Sie ein paar weitere Widgets, indem Sie die verschiedenen anderen Logs anzeigen.

   Später fügen Sie sie einem Dashboard hinzu.

5. Kehren Sie zum Anzeigen aller Logdaten zurück.

   Hinweis: Löschen Sie die Abfrageleiste, und klicken Sie auf Ausführen.

   Sie arbeiten mit ~74k Gesamtdatensätzen. Es ist einfacher, große Datenmengen als zugehörige Cluster zu visualisieren. Logging Analytics - Clustering (Nicht überwachtes ML) verwendet die Logdaten und das erweiterte Domain-Know-how, um Muster in den Daten zu finden. Das Clustering arbeitet sowohl an Text als auch an Zahlen, sodass große Datenmengen auf weniger Muster für die Anomalieerkennung reduziert werden können. Klicken Sie auf die Schaltfläche Cluster im Visualisierungsbereich.

   

6. Führen Sie einen Drilldown in verschiedene Cluster, potenzielle Probleme, Ausreißer und Trends durch.

   Logging Analytics verwendet nicht überwachte ML, um zugehörige Cluster in Daten zu suchen. Dadurch werden die ~74k-Logs in Echtzeit auf 629 Clustermuster reduziert.

   Hinweis: Die angezeigten Zahlen unterscheiden sich möglicherweise geringfügig von den Zahlen im Tutorial.

   

7. Klicken Sie auf die Registerkarte Potenzielle Probleme.

   Von den 629 Clustern wurden 76 automatisch als potenzielle Probleme identifiziert.

   

8. Klicken Sie auf die Registerkarte Ausreißer.

   Diese Probleme traten nur einmal auf und geben eine Anomalie im System an.

   

9. Klicken Sie jetzt auf die Registerkarte Trends.

   Hierbei handelt es sich um Clustermuster, die zeitlich korreliert sind. Klicken Sie auf 8 Ähnliche Trends, um eine Gruppe zugehöriger Logs aus den Alert Logs der Datenbank anzuzeigen. Beachten Sie, dass die genaue Anzahl der angezeigten Trends je nach ausgewähltem Zeitfenster variieren kann.

   

10. Speichern Sie diese Suche nach den Schritten, die Sie oben in Schritt 3 ausgeführt haben.

11. Erstellen Sie eine weitere Visualisierung, um die Verteilung des Netzwerkverkehrs zu verstehen.

    Ändern Sie zunächst die Visualisierung in Kreisdiagramm, und wählen Sie ein neues Datenset aus, OCI VCN Flow Logs.

    

    Suchen Sie im Suchfeld im Feld "Feldbereich" nach der Zeichenfolge "Quelle". Ziehen Sie anschließend "Quell-IP" per Drag-and-Drop aus dem Feld "Andere" in das Feld "Gruppieren nach" im Visualization-Bereich, und klicken Sie auf Anwenden.

    

    Hier sehen Sie die Logverteilung nach "Quell-IP".

    

12. Suchen Sie die Verteilung von "Ziel-IPs" in der Abfragesprache.

    Geben Sie die folgende Abfrage in die Abfrageleiste ein, und klicken Sie auf Ausführen.

    'Log Source' = 'OCI VCN Flow Logs’ | stats count('Destination IP') by 'Destination IP' 
    

    

    Ein Kreisdiagramm (standardmäßig festgelegt) mit Datensätzen wird angezeigt.

    

13. Ändern Sie die Visualisierung in eine Baumstruktur, indem Sie im Visualisierungsmenü die Option "Baumzuordnung" auswählen.

    Wählen Sie im Visualisierungsmenü die Option "Baumzuordnung" aus.

    Auf dieser Seite können Sie die Verteilung der Ziel-IPs visualisieren. Speichern unter Sie diese Suche/dieses Widget.

    

Logs mit "Link" untersuchen

1. Korrelieren Sie Daten mit anderen Datenquellen mithilfe der Funktion für nicht überwachte Links. Geben Sie Folgendes in die Abfrageleiste ein, und klicken Sie auf Ausführen.

   Hinweis: Drücken Sie Strg-I in der Abfrageleiste, um die Abfrage zu formatieren.

   'Upload Name' = 'logging-analytics-demo' and 'Log Source' = 'OCI VCN Flow Logs' 
   | eval 'Source Name' = if('Source Port' = 80,
                          HTTP,
                          'Source Port' = 443,
                          HTTPS,
                          'Source Port' = 21,
                          FTP,
                          'Source Port' = 22,
                          SSH,
                          'Source Port' = 137,
                          NetBIOS,
                          'Source Port' = 648,
                          RRP,
                          'Source Port' = 9006,
                          Tomcat,
                          'Source Port' = 9042,
                          Cassandra,
                          'Source Port' = 9060,
                          'Websphere Admin. Console',
                          'Source Port' = 9100,
                          'Network  Printer',
                          'Source Port' = 9200,
                          'Elastic Search',
                          Other) 
    | eval 'Destination Name' = if('Destination Port' = 80,
                               HTTP,
                               'Destination Port' = 443,
                               HTTPS,
                               'Destination Port' = 21,
                               SSH,
                               'Destination Port' = 22,
                               FTP,
                               'Destination Port' = 137,
                               NetBIOS,
                               'Destination Port' = 648,
                               RRP,
                               'Destination Port' = 9006,
                               Tomcat,
                               'Destination Port' = 9042,
                               Cassandra,
                               'Destination Port' = 9060,
                               'Websphere Admin. Console',
                               'Destination Port' = 9100,
                               'Network  Printer',
                               'Destination Port' = 9200,
                               'Elastic Search',
                               Other) 
    | eval Source = 'Source IP' || ':' || 'Source Port' 
    | eval Destination = 'Destination IP' || ':' || 'Destination Port' 
    | link Source,
       Destination 
    | stats avg('Content Size Out') as 'Transfer Size (bytes)',
       unique('Source Name') as 'Traffic From',
       unique('Destination Name') as 'Traffic To' 
    | classify topcount = 300 correlate = -*,
       Source,
       Destination 'Start Time',
       'Traffic From',
       'Transfer Size (bytes)',
       'Traffic To' as Network                        
   

   Die eval-Funktionalität übersetzt die Portnamen in Anwendungen.

   Im letzten Teil der Abfrage werden weitere Felder zur Abfragezeitauswertung hinzugefügt, die eine eindeutige Zeile für jede Quelle und jedes Ziel erstellen und die durchschnittliche Netzwerkübertragung zwischen diesen Endpunkten berechnen. Außerdem erhalten Sie einen übersetzten Namen für die Quell- und Zielports als "Traffic von" und "Traffic an".

2. Navigieren Sie zu Analysieren, klicken Sie auf Diagramm erstellen, und füllen Sie die Felder wie unten dargestellt aus:

   

3. Analysieren Sie Cluster, und analysieren Sie die angegebenen Datenpunkte, und erstellen Sie die folgende Analyse:

   

4. Sie können verschiedene Felder auswählen, um die Größe und Farben der Elemente im Diagramm zu steuern.

   

5. Bewegen Sie den Mauszeiger über Artikel, um detaillierte Informationen zu ihnen anzuzeigen.

   

6. Sie können auf Elemente klicken, um Zugriff auf den Inhalt zu erhalten.

   

7. Speichern Sie dies als Widget.

   Navigieren Sie zu Optionen, und klicken Sie auf Anzeigeoptionen. Heben Sie im Abschnitt "Dashboard-Optionen" des Bereichs die Auswahl aller Optionen auf, und aktivieren Sie nur "Analysieren" und "Datentabelle". Klicken Sie auf Änderungen speichern. Navigieren Sie anschließend zu Aktionen, und klicken Sie auf Speichern unter, um diese Analyse als Widget zu speichern.

Dashboards erstellen

1. Navigieren Sie zu Logging Analytics, und klicken Sie auf Dashboards.

   

2. Klicken Sie auf Erstellen.

   Geben Sie einen Dashboard-Namen, das zuvor erstellte Compartment (logging-analytics-demo) ein, und verwenden Sie die gespeicherten Suchen, die als Widgets für das Dashboard auf der rechten Seite verfügbar sind. Verschieben Sie ein Widget per Drag-and-Drop auf der Leinwand. Die Bereiche können skaliert und auf der Leinwand verschoben werden. Weitere zuvor erstellte Widgets hinzufügen. Das Dashboard könnte wie folgt aussehen:

   

   Oder wie folgt:

   

Weitere Informationen

Um kontinuierlich Logdaten von Ihren On-Premise-Entitys zu erfassen, können Sie Management-Agents auf Ihren Hosts, On Premise oder in einer Cloud-Infrastruktur installieren. Weitere Informationen finden Sie unter Oracle Management Agents verwenden.

Weitere Informationen zu Entityverknüpfungen, die zum Erstellen von Beziehungen verwendet werden, finden Sie unter:

Entitys erstellen

Neue Quell-Entity-Zuordnung konfigurieren

In Logging Analytics modellierte Entitytypen

Weitere technische Informationen finden Sie unter Logging Analytics.

Sehen Sie sich andere Übungen zu Oracle Learn an, oder greifen Sie auf weitere Inhalte im Oracle Learning YouTube-Kanal zu. Außerdem besuchen Sie Oracle University, um Oracle Learning Explorer zu werden.

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere Inhalte für kostenloses Lernen im Oracle Learning YouTube-Kanal zu. Außerdem besuchen Sie education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Analyze Sample Logs with OCI Logging Analytics Tutorial

F50676-01

November 2021

Copyright © 2021, Oracle and/or its affiliates.