Gestión del almacenamiento

Los datos de log ingeridos en Oracle Log Analytics están disponibles en el almacenamiento activo para análisis. Los logs se almacenan en el almacenamiento activo hasta que los archiva, suprime o depura.

Puede realizar las siguientes actividades relacionadas con el almacenamiento según sus necesidades:

Archivar logs: si es poco probable que utilice los logs antiguos para su análisis, active la archivación y especifique el número de días desde el registro del log después del cual los datos del log Se deben mover automáticamente del almacenamiento activo al almacenamiento del archivo, que está disponible a un costo menor. También puede recuperar los datos del log archivados para su uso activo. Consulte Archivado de datos de log.
- Recuperar logs archivados: después de archivar los datos del log, puede recuperar los datos del log seleccionados para uso activo. Los logs se seleccionan para la recuperación especificando el rango de tiempo en el que están presentes los registros de hora de los logs. Puede liberar los logs recuperados de nuevo al pool de archivos después de utilizarlos de forma activa. Tenga en cuenta que los datos recuperados se tendrán en cuenta para el uso de almacenamiento activo hasta que los libere. Consulte Recuperación de logs archivados.
- Liberar logs recuperados: utilice esta opción para volver a liberar los logs recuperados en el almacenamiento de archivo a fin de optimizar el costo de almacenamiento. Consulte el paso 8 de Recuperación de logs archivados.
Depurar logs: puede depurar los datos de log no utilizados o antiguos para reducir el tamaño del almacenamiento activo que está consumiendo. Puede depurar bajo demanda o crear una política de depuración. Consulte Depurar datos de log.
Ver informe de actividades de almacenamiento: utilice esta ventana de un solo panel para realizar un seguimiento de todas las actividades de gestión de almacenamiento y realizar más tareas de gestión. Consulte Ver informe de actividades de almacenamiento.

En la siguiente imagen se muestra el flujo de trabajo típico de gestión de almacenamiento en Oracle Log Analytics:

Puede utilizar el predicado Recall en la consulta para filtrar los logs recuperados, los logs activos o ambos. Consulte Predicado de Consulta para Filtrar los Logs Recuperados.

Nota

Es posible que la política de archivado y la actividad de recuperación no se completen si las líneas de tiempo se superponen con la política de depuración. Asegúrese de revisar la política de depuración y la configuración de archivado para evitar la pérdida de datos de log que se deben archivar.

Archivado de datos de log

Si solo utiliza logs recientes para las tareas de búsqueda y análisis en Oracle Log Analytics, active la archivación para que pueda optimizar el costo de almacenamiento.

Nota

Puede activar el archivado solo después de tener el tamaño mínimo especificado de los datos en el almacenamiento activo. Actualmente, este es 1 TB.
La duración de almacenamiento activo (días) mínima para los logs antes de que se puedan archivar es de 30 días.

Abra el menú de navegación y haga clic en Observación y gestión. En Log Analytics, haga clic en Administración.
Los recursos de administración se muestran en el panel en Administración en la izquierda. Haga clic en Almacenamiento.

Se muestra la página Almacenamiento.
Haga clic en Activar archivado. En el cuadro de diálogo Enable Archiving,
- En el campo Duración de almacenamiento activos (días), introduzca el recuento de los días posteriores de los cuales se deben archivar los datos del log en el almacenamiento activo.
  
  El recuento se calcula en función del registro de hora de los logs. Por ejemplo, si los logs tienen el registro de hora November 4, 2020 23:43:12 y ha especificado la duración del almacenamiento activo como 30, los logs se moverán normalmente al almacenamiento de archivos en la fecha December 3, 2020.
  Nota
  
  Debe tener en cuenta que, incluso si especifica la duración del almacenamiento activo de los logs para determinar los logs que se deben mover al almacenamiento de archivos, la estructura del índice de log se basa en los cubos que se utilizan para almacenar los logs. En un caso típico, un cubo completo se mueve al almacenamiento de archivo cuando todos los logs que incluya sean más antiguos que el criterio especificado.
  
  Por ejemplo, tenga en cuenta que el campo Duración de almacenamiento activo está definido en 30 días:
  - Bucket_1 tiene logs de entre 40 y 80 días de antigüedad: los datos del log son elegibles y se mueven al almacenamiento de archivo.
  - Bucket_2 tiene logs de entre 25 y 40 días de antigüedad: aunque algunos de los datos de log son elegibles para el archivado, no se archivan hasta que todos los logs sean adecuados para la antigüedad especificada.
  - Bucket_3 tiene logs de entre 0 y 25 días de antigüedad: ninguno de los logs es adecuado para el archivado. Todo el cubo se archiva cuando todos los logs pasan a ser elegibles.
  En el escenario anterior, después de archivar los logs de Bucket_1, si se recopilan más logs que tengan más de 40 días, normalmente se agregan a Bucket_2.
- Por defecto, los datos de log permanecen en el almacenamiento de archivo durante un período de tiempo indefinido. La casilla de control Indefinidamente está activada junto al campo Duración de almacenamiento de archivo (días).
  
  Puede modificar la duración desactivando la casilla de control e introduciendo el recuento de los días después de los cuales se deben depurar los datos de log en el almacenamiento de archivo en el campo Duración de almacenamiento de archivo (días).
Haga clic en Activar.
Si ya ha activado el archivado y desea modificar la configuración de archivado, haga clic en Modificar configuración de archivado. Puede realizar cualquiera de las siguientes tareas:
- Puede cambiar el valor del recuento de los días especificados para el archivado en Duración de almacenamiento activo (días).
- Puede cambiar el valor del recuento de los días especificados para depurar los logs del almacenamiento en archivo en Duración de almacenamiento en archivo (días) o activar la casilla de control Indefinidamente para retener permanentemente los logs en el almacenamiento en archivo.
- Haga clic en Desactivar archivado si desea parar el archivado.
Haga clic en Guardar cambios.

Recuperación de logs archivados

Puede recuperar archive logs para su visualización y análisis. Una vez recuperados, los datos se tienen en cuenta en el uso de almacenamiento activo hasta que se liberan al archivo.

Puede recuperar y liberar los mismos juegos de logs varias veces. No hay ninguna dependencia entre las recuperaciones, incluso si sus rangos de tiempo o consultas se solapan.

Nota

Cada retirada se factura en función del uso de almacenamiento activo que genera.

Abra el menú de navegación y haga clic en Observación y gestión. En Log Analytics, haga clic en Administración.
Los recursos de administración se muestran en el panel en Administración en la izquierda. Haga clic en Almacenamiento.

Se muestra la página Almacenamiento.
En la página Almacenamiento, en el panel izquierdo, en Recursos, haga clic en Archivado de solicitudes de recuperación.

En la página Archivado de solicitudes de recuperación se muestran las solicitudes de recuperación iniciadas anteriormente.
Haga clic en Crear solicitud de recuperación. Se abre el cuadro de diálogo Crear solicitud de recuperación.
Especifique el Objetivo de recuperación. Esto puede ayudarle a identificar la solicitud de recuperación.
Opcionalmente, si ha definido un juego de logs, puede especificar uno o más juegos de logs para filtrar los datos recuperados. Para especificar varios juegos de logs, utilice la separación de comas.
Seleccione el rango de tiempo de los logs que desea recuperar, especificando la hora de inicio definida por el usuario y la hora de finalización definida por el usuario.
Haga clic en Estimar tamaño de log de recuperación. Se abre la sección Juego de datos recomendado para análisis. El tamaño de los logs que ha seleccionado para la recuperación se muestra junto a la cabecera Tamaño máximo de datos recuperados antes de filtrar.

Tenga en cuenta que la hora de inicio y la hora de finalización se amplían para ajustarse a la estructura de índice de log basada en cubos. Por lo tanto, cuando vea la lista de recuperaciones activas o visite el separador de actividad, puede que se amplíe el tiempo de inicio y finalización más allá del rango de tiempo elegido.
Se recomienda un rango temporal alternativo en función de la disponibilidad de los datos. Para seleccionar el rango temporal especificado anteriormente en lugar del rango temporal recomendado, active la casilla de control No utilizar el juego de datos recomendado para la recuperación
Especifique la consulta para filtrar el juego de datos. Excluir la hora y el juego de logs de la consulta.

La especificación de los filtros reduce el tamaño real de los datos recuperados. Sin embargo, el filtro no afecta a esta estimación.

Nota

En la consulta solo están soportados los filtros de búsqueda o la expresión regular. Abstenerse de agregar tuberías, agregados o funciones estadísticas a la consulta.

Puede utilizar cualquier campo de log para filtrar los datos con la consulta, excepto en el intervalo de tiempo y en el juego de logs.

Algunos ejemplos de búsquedas no válidas:
- Entity = ‘test1’ | search ‘xyz’
  
  En su lugar, puede utilizar Entity = 'test1' and 'xyz', que es válido. Del mismo modo, los ejemplos más válidos son 'Entity = 'test1' y 'Log Source' = 'AVDF Alert Linux Syslog' and 'xyz'.
- Entity = ‘test1’ | stats count
  
  La consulta anterior no tiene una solución alternativa porque tiene una función y un conducto estadísticos. Sin embargo, el uso solo del filtro de entidad es válido Entity = ‘test1’.
Haga clic en Crear solicitud de recuperación para continuar con la recuperación de los logs seleccionados.

La actividad de recuperación se muestra en la página Archivado de solicitudes de recuperación. La tabla especifica el estado, el rango temporal, el tamaño de los datos y la fecha y hora de solicitud de la actividad de recuperación, el usuario que inició la recuperación y la finalidad de la misma.

Vea el estado de la actividad de recuperación. Puede utilizar los logs recuperados para ver y analizar una vez finalizada la actividad de recuperación.

Nota

Si el estado de la recuperación es PARTIAL_RECALLED, suelte y recupere de nuevo, ya que la recuperación actual no incluye datos completos para el análisis.

Si el icono de tamaño de datos de una recopilación se muestra en naranja, hay nuevos datos de log adicionales disponibles para la recuperación. Haga clic en el icono de datos y haga clic en Recall new data para iniciar la recuperación de los nuevos datos. Se abre el cuadro de diálogo Recuperar nuevos datos. La consulta para filtrar el juego de datos y el rango temporal para la recuperación de datos están predefinidos. Especifique la finalidad de la recuperación y haga clic en Crear solicitud de recuperación.
Después del uso activo del log recuperado, si desea volver a liberarlo en el pool de archivo, haga clic el icono de menú de acciones en la fila correspondiente a los logs recuperados y seleccione Liberar.

Los logs recuperados se volverán a liberar en el pool de archivos. Esto le permitirá optimizar el tamaño y el costo del almacenamiento.
Nota

Al liberar los logs recuperados mediante la API de REST, tenga en cuenta el rango de tiempo de recuperación de la consola o la CLI y aplique el siguiente formato a la hora:
- Hora de inicio de recuperación: redondee a la baja (piso) el valor. Si la hora de inicio de recuperación es From Mon, Mar 7, 2022, 05:45:33 UTC, redondee a la baja la hora y especifíquela como from_time=2022-03-07T5:45:32.000Z.
- Hora de finalización de recuperación: redondee al alza (tope) el valor. Si la hora de finalización de la recuperación es To Wed, Mar 15, 2023, 17:26:53 UTC, redondee la hora al alza y especifíquela como to_time=2023-03-15T17:26:54.000Z.

Si obtiene datos de log duplicados en el explorador de logs o los paneles de control porque hay dos o más recuperaciones superpuestas, puede agregar el predicado de consulta recall purpose en la búsqueda para ver solo la recuperación relevante. Consulte Predicado de Consulta para Filtrar los Logs Recuperados

Depuración de datos de log

Oracle Log Analytics permite depurar eventos de log cargados por la agente o por una carga bajo Demanda, para reducir el tamaño del índice de la data de log.

La depuración permite reducir el uso para reducir los cargos por exceso. Oracle Log Analytics puede depurar datos del log automáticamente por un programa definido o manualmente según sus necesidades. Antes de depurar los datos de log, cree políticas de IAM para configurar permisos para la tarea. Consulte Permitir a los usuarios depurar datos de log.

Hay varias formas de depurar los datos de los logs.

Al depurar bajo demanda: se depuran todos los datos de log del compartimento especificado creados antes del rango de tiempo seleccionado.
Para utilizar la CLI para depurar bajo demanda, consulte purge-storage-data.

Para utilizar la API de REST para depurar a demanda, consulte PurgeStorageData.
Mediante la creación de una política de depuración: los datos de log antiguos se pueden depurar especificando un programa para la depuración y la consulta para filtrar los datos que se van a depurar. Si desea automatizar la actividad de depuración, puede crear una política de depuración especificando el programa de depuración, seleccionando los datos de log que se van a depurar y activando la política.
Para usar la CLI para crear una política de depuración, consulte create-standard-task.

Para utilizar la API de REST para crear una política de depuración, consulte CreateScheduledTask.

Cuando se utiliza la CLI o la API de REST para crear una política de depuración, el valor del parámetro task-type se debe definir en PURGE.

Abra el menú de navegación y haga clic en Observación y gestión. En Log Analytics, haga clic en Administración.

Los recursos de administración se muestran en el panel en Administración en la izquierda. Haga clic en Almacenamiento.

Se muestra la página Almacenamiento.
En la página Almacenamiento, puede depurar datos de log con uno de los siguientes métodos:
- Realizar depuración bajo demanda:
  Haga clic en Depurar logs. Se muestra el cuadro de diálogo Depurar logs.
  - Seleccione el compartimento en el que se deben depurar los logs.
  - Especifique si los subcompartimentos también se deben incluir en la depuración.
  - Seleccione la fecha y la hora anteriores a la que se han recopilado los datos de registro que se deben depurar.
    
    La acción de depuración se realiza en los datos de log de todos los cubos del compartimento seleccionado que se han recopilado antes del período de tiempo especificado. Por ejemplo, si especifica la fecha y la hora como November 2, 2020 12:00:00 y el compartimento Analyze, se suprimen los datos de log con el registro de hora anterior a November 2, 2020 12:00:00 almacenados en el compartimento Analyze.
  - En el campo Consulta, introduzca la consulta para seleccionar un juego específico de datos de log. Por ejemplo, para seleccionar los logs de las entidades del tipo Host de Linux, especifique la consulta 'Entity Type'='Host (Linux)'.
    
    Consulte Consultas de ejemplo para depurar datos de log.
  - Haga clic en Estimar almacenamiento reclamado para determinar el tamaño del almacenamiento que se puede reclamar en función de la selección realizada en los campos anteriores.
  - Haga clic en Depurar.
- Crear una política de depuración para depurar logs basados en una consulta o en la antigüedad:
  En Depurar políticas, haga clic en Crear. Se abre el cuadro de diálogo Crear política de depuración.
  - Introduzca un nombre para la nueva política de depuración.
  - Seleccione el compartimento de grupo de logs que desea consultar para los logs. Opcionalmente, puede especificar si los subcompartimentos también se deben consultar para los logs especificados.
  - En Depurar logs anteriores a, seleccione el período de tiempo a partir del cual se deben depurar los datos.
  - En Intervalo de programa, seleccione la periodicidad y la hora de la acción de depuración.
  - En el campo Consulta, introduzca la consulta para seleccionar un juego específico de datos de log. Por ejemplo, para seleccionar los logs del origen Apache HTTP Server Access Logs, especifique la consulta 'Log Source'='Apache HTTP Server Access Logs'.
    
    Consulte Consultas de ejemplo para depurar datos de log.
  - Haga clic en Estimar almacenamiento reclamado para determinar el tamaño del almacenamiento que se reclamaría si las selecciones realizadas en los campos anteriores se aplicaran ahora.
  - Opcionalmente, haga clic en Mostrar opciones avanzadas y agregue etiquetas a la política de depuración.
  - Haga clic en Crear.
  La política de depuración se crea y se ejecutará periódicamente según lo establecido en los pasos anteriores.
  
  Nota
  
  Si una política de depuración carece del permiso necesario, la política de IAM ha cambiado o se ha suprimido el compartimento de depuración, la tarea de depuración puede introducir el estado En pausa. El valor de la métrica de estado de las tareas de depuración como se ve en el servicio Monitoring puede ser NotAuthorizedOrNotFoundPurgeResource o PausedByUser.
  
  Modifique/restaure las sentencias de política de IAM según sea necesario, restaure el compartimento de depuración si se ha suprimido anteriormente y reanude manualmente la tarea de depuración.
Para suprimir una política, haga clic en la icono Acciones junto al nombre de la política y haga clic en Suprimir.

Para ver las actividades de depuración realizadas, en la página Almacenamiento, en Recursos, haga clic en Informe de actividad. Se muestra la página Informe de actividad, que resume todas las actividades de almacenamiento. Utilice los filtros Estado y Tiempo para ver las actividades de depuración preferidas.

Permitir a los usuarios depurar datos de log

Para depurar datos de log, primero configure los permisos adecuados mediante la creación de las siguientes políticas de IAM:

Cree un grupo dinámico para permitir purgas para los compartimentos en los que desea permitir purgas:
```
ALL {resource.type='loganalyticsscheduledtask', resource.compartment.id='<compartment ocid>'}
```
Como alternativa, para permitir purgas en todos los compartimentos:
```
ALL {resource.type='loganalyticsscheduledtask'}
```
Cree políticas para permitir que el grupo dinámico realice la operación de depuración:
```
allow dynamic-group <group_name> to read compartments in tenancy
allow dynamic-group <group_name> to {LOG_ANALYTICS_STORAGE_PURGE} in tenancy
allow dynamic-group <group_name> to {LOG_ANALYTICS_QUERY_VIEW} in tenancy
allow dynamic-group <group_name> to {LOG_ANALYTICS_STORAGE_WORK_REQUEST_CREATE} in tenancy
allow dynamic-group <group_name> to {LOG_ANALYTICS_LOG_GROUP_DELETE_LOGS} in tenancy
allow dynamic-group <group_name> to {LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ} in tenancy
```
Nota
- Para que la política de depuración funcione correctamente, los permisos read compartments, LOG_ANALYTICS_STORAGE_PURGE y LOG_ANALYTICS_QUERY_VIEW se deben crear en el nivel de arrendamiento. Para restringir el permiso de acción de depuración a compartimentos específicos, los permisos LOG_ANALYTICS_STORAGE_WORK_REQUEST_CREATE, LOG_ANALYTICS_LOG_GROUP_DELETE_LOGS y LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ se pueden definir en el nivel de compartimento necesario.
- En las sentencias de política anteriores que implican un grupo dinámico, si el grupo dinámico está en un dominio distinto de Valor por defecto, la sentencia de política debe tener el formato:
```
allow dynamic-group '<domain>'/'<group_name>' to ...
```
  Incluya el nombre de dominio y el nombre de grupo dinámico entre comillas simples.
Además, asegúrese de que el usuario tenga el permiso MANAGE en loganalytics-features-family y loganalytics-resources-family. Si el usuario que crea la depuración programada o bajo demanda tiene privilegios de administrador, los permisos necesarios ya están disponibles:
```
allow group <group_name> to MANAGE loganalytics-features-family in tenancy
allow group <group_name> to MANAGE loganalytics-resources-family in tenancy
```

Algunas de las sentencias de política anteriores se incluyen en las plantillas de política definidas por Oracle disponibles. Puede que desee considerar el uso de la plantilla para su caso de uso. Consulte Plantillas de políticas definidas por Oracle para casos de uso comunes.

Para obtener información sobre los grupos dinámicos y las políticas de IAM, consulte Documentación de OCI: gestión de grupos dinámicos y Documentación de OCI: gestión de políticas.

Ejemplo de consultas para depurar datos de log

Proporcione una consulta de filtro simple para identificar los datos de log que se deben depurar. En el caso de caracteres comodín en la consulta, como *, ? y %, absténgase de utilizarlos en la política de depuración. Oracle recomienda utilizar definiciones de campos ampliados para datos futuros en las tareas de depuración.

Para obtener directrices sobre la creación de consultas para filtrar datos de log, consulte Búsqueda de consultas.

Suprima Todos los datos con una antigüedad superior a 30 días todos los domingos a medianoche:

Depurar registros anteriores a: 30 Days
Intervalo de programación: Every Week, Día: Sunday, Hora: 00:00, Zona horaria: Asia/Calcutta
Consulta: *

Suprimir logs de los logs de auditoría de OCI de origen con una antigüedad superior a 2 meses:

Depurar logs con antigüedad anterior a: 2 Months
Consulta: 'Log Source' = 'OCI Audit Logs'

Log de depuración para un origen de log y entidades específicas asociado con ese origen anterior a 1 año:

Depurar logs anteriores al: 1 Year
Consulta: 'Log Source' = 'OCI VCN Flow Unified Schema Logs' and Entity in ('Entity1', 'Entity2')

Predicado de consulta para filtrar los logs recuperados

Puede utilizar el predicado Recall para filtrar solo los logs recuperados, solo los datos activos o ambos. Proporcione un valor que coincida con el nombre de la recuperación. Puede utilizar operadores booleanos y de comparación como =, !=, IN, NOT IN, LIKE y NOT LIKE en la consulta.

Por ejemplo:

Para filtrar solo datos de Análisis de interrupción 2025-03-01:
```
Recall = 'Outage Analysis 2025-03-01'
```
Para filtrar datos de Análisis de tráfico de red 2024 y Tráfico diario de mano de obra 2024:
```
Recall IN ('Network Traffic Analysis', 'Labor Day Sale')
```
Para filtrar datos de todas las recuperaciones que tienen un nombre o una finalidad como Análisis de interrupciones 2025...:
```
Recall like 'Outage Analysis 2025*'
```
Para filtrar todos los datos que no sean Labor Day Traffic 2024 y Christmas Traffic 2024:
```
Recall not in ('Labor Day Traffic 2024', 'Christmas Traffic 2024')
```
Para ver solo los datos activos:
```
Recall = null
```

Visualización del informe de actividades de almacenamiento

Puede ver el resumen de las actividades de archivado, recuperación, liberación y depuración para mantener un control estricto del uso del almacenamiento, así como para realizar un seguimiento del estado de los logs de claves que forman parte de las actividades.

Abra el menú de navegación y haga clic en Observación y gestión. En Log Analytics, haga clic en Administración.
Los recursos de administración se muestran en el panel en Administración en la izquierda. Haga clic en Almacenamiento.

Se muestra la página Almacenamiento.
Haga clic en Informe de actividad.

En el separador se muestra el resumen de las actividades del almacenamiento iniciadas como, por ejemplo, la política de depuración, la depuración a demanda, el archivado, la solicitud de recuperación de archivado y el lanzamiento de recuperación.
Utilice los filtros Tipo de actividad, Estado y Hora del panel izquierdo para restringir la búsqueda de las actividades de almacenamiento.
Amplíe la fila de actividad de almacenamiento para ver más detalles sobre ella.

Documentación de Oracle Cloud Infrastructure