Documentación de Oracle Cloud Infrastructure

Creación de un origen

Los orígenes definen la ubicación de los logs de la entidad y cómo enriquecer las entradas de log. Para iniciar una recopilación de logs continua a través de los agentes de gestión de OCI, se debe asociar un origen a una o más entidades.

Nota

Para pasos más específicos para

Temas adicionales:

  1. Abra el menú de navegación y haga clic en Observación y gestión. En Logging Analytics, haga clic en Administración. Se abre la página Visión general de administración.

    Los recursos de administración se muestran en el panel de navegación de la izquierda en Recursos. Haga clic en Orígenes.

    Se abre la página Orígenes. Haga clic en Crear origen.

  2. En el campo Nombre, introduzca el nombre del origen.

    También puede agregar una descripción.

  3. En la lista Tipo de origen, seleccione el tipo para el origen de log.
    Oracle Log Analytics soporta tres tipos de origen de log para orígenes personalizados:

    • Archivo: utilice este tipo para recopilar la mayoría de los tipos de logs, como los logs de base de datos, aplicación e infraestructura.

    • Oracle Diagnostic Logging (ODL): utilice este tipo para los logs que siguen el formato de los logs de Oracle Diagnostics. Normalmente se utilizan para logs de diagnóstico de Oracle Fusion Middleware y Oracle Applications.

    • Listener de syslog: se suele utilizar para dispositivos de red como aplicación de detección de intrusiones, firewall u otro dispositivo en el que no se ha podido instalar un agente de gestión.

    • Microsoft Windows: utilice este tipo para recopilar mensajes de eventos de Windows. Oracle Logging Analytics puede recopilar todas las entradas históricas del log de eventos de Windows. Soporta Windows, así como canales de eventos personalizados.

      Nota

      Este tipo de origen no necesita el campo Analizador de log.

    • Base de datos: utilice este tipo de origen para recopilar los logs almacenados en las tablas dentro de una base de datos local. Con este tipo de origen, se ejecuta periódicamente una consulta SQL para recopilar los datos de la tabla como entradas de log.

    • API de REST: utilice este tipo de origen para configurar una recopilación de logs continua basada en la API de REST a partir de URL de punto final que respondan con mensajes de log. Con este tipo de origen, se realiza una llamada de API GET o POST a la URL de punto final que proporcione para obtener los logs.

  4. Haga clic en el campo Tipo de entidad y seleccione el tipo de entidad para este origen de log. Más adelante, cuando asocie este origen a una entidad para activar la recopilación de logs a través del agente de gestión, solo las entidades de este tipo estarán disponibles para la asociación. Un origen puede tener uno o más tipos de entidad.

    • Si ha seleccionado Archivo, REST API u Oracle Diagnostic Log (ODL), se recomienda seleccionar el tipo de entidad para el origen de log que más se ajuste a lo que va a supervisar. Evite seleccionar tipos de entidad compuesta como Cluster de base de datos y, en su lugar, seleccione el tipo de entidad Instancia de base de datos porque los logs se generan a nivel de instancia.

    • Si ha seleccionado el tipo de origen Listener de Syslog, seleccione una de las variantes de Host.

    • Si ha seleccionado el tipo de origen Base de datos, el tipo de entidad se limita a los tipos de base de datos elegibles.

    • Si ha seleccionado el tipo de origen Sistema de eventos de Windows, el tipo de entidad por defecto Host (Windows) se selecciona automáticamente y no se puede cambiar.

  5. Haga clic en el campo Analizador y seleccione el nombre del analizador relevante, como Formato de entradas del log de auditoría de la base de datos.
    Puede seleccionar varios analizadores de archivos para los archivos log. Esto resulta especialmente útil cuando un archivo log tiene entradas con sintaxis diferente y no puede ser analizado por un único analizador.

    El orden en que agregue los analizadores es importante. Cuando Oracle Logging Analytics lee un archivo log, prueba el primer analizador y pasa al segundo analizador si el primero no funciona. Esto continúa hasta que se encuentra un analizador que funcione. Seleccione primero el analizador más habitual para este origen.

    Para el tipo de origen de ODL, el único analizador disponible es Oracle Diagnostic Logging Format.

    Para el tipo de origen Syslog, normalmente se utiliza uno de los analizadores de variante, como el formato estándar Syslog o el formato Syslog RFC5424. También puede seleccionar entre los analizadores de syslog definidos por Oracle para dispositivos de red específicos.

    El campo Analizador de archivos no está disponible para los tipos de origen Sistema de eventos de Windows y API de REST. Para el tipo de origen Sistema de eventos de Windows, Oracle Logging Analytics recupera datos de log ya analizados.

    Para analizar solo la información de tiempo de las entradas del log, puede seleccionar el analizador de tiempo automático. Consulte Uso del analizador de tiempo automático.

  6. Introduzca la siguiente información en función del tipo de origen:

    • Tipo de origen de Syslog: especifique el puerto del listener.

    • Tipo de origen de Windows: especifique un nombre de canal de servicio de eventos. El nombre del canal debe coincidir con el nombre del evento de Windows para que el agente pueda formar la asociación para seleccionar logs.

    • Tipo de origen de base de datos: especifique las sentencias SQL y haga clic en Configurar. Asigne las columnas de tabla SQL a los campos disponibles en el menú. Para crear un nuevo campo para la asignación, haga clic en el icono Icono Agregar.

    • Tipo de origen de API de REST: haga clic en Agregar punto final de log para proporcionar una única URL de punto final de log o en Agregar punto final de lista de logs para varios logs para proporcionar una URL de punto final de lista de logs para varios logs desde los que se pueden recopilar los logs periódicamente según la configuración de tiempo en la interfaz de usuario. Para obtener más información sobre la configuración de la recopilación de logs de la API de REST, consulte Configuración de la recopilación de logs de la API de REST.

    • Tipos de origen de archivo y ODL: utilice los separadores Incluir y Excluir

      • En el separador Patrones incluidos, haga clic en Agregar para especificar patrones de nombres de archivo para este origen.

        Introduzca el patrón y la descripción del nombre del archivo.

        Puede introducir parámetros entre corchetes {}, como {AdrHome}, como parte del patrón de nombre de archivo. Oracle Logging Analytics sustituye estos parámetros en el patrón de inclusión por propiedades de entidad cuando el origen está asociado a una entidad. La lista de posibles parámetros se define por el tipo de entidad. Si crea sus propios tipos de entidad, puede definir sus propias propiedades. Al crear una entidad, se le pedirá que proporcione un valor para cada propiedad de esa entidad. También puede agregar sus propias propiedades personalizadas por entidad si es necesario. Cualquiera de estas propiedades se puede utilizar como parámetros aquí en Patrones incluidos.

        Por ejemplo, para una entidad determinada en la que la propiedad {AdrHome} está definida en /u01/oracle/database/, el patrón de inclusión {AdrHome}/admin/logs/*.log se sustituirá por /u01/oracle/database/admin/logs/*.log para esta entidad específica. Todas las demás entidades del mismo host pueden tener un valor diferente para {AdrHome}, lo que daría como resultado un juego completamente diferente de archivos log que se recopilarán para cada entidad.

        Puede asociar un origen a una entidad solo si los parámetros que necesita el origen en los patrones tienen un valor para la entidad especificada.

        Puede configurar advertencias en la recopilación de logs para sus patrones. En la lista desplegable Enviar advertencia, seleccione la situación en la que se debe emitir la advertencia:

        • Para cada patrón que tiene un problema: cuando haya definido varios patrones de inclusión, se enviará una advertencia de recopilación de logs para cada patrón de nombre de archivo que no coincida.

        • Solo si todos los patrones tienen problemas: cuando haya definido varios patrones de inclusión, se enviará una advertencia de recopilación de logs solo si todos los patrones de nombre de archivo no coinciden.

      • Puede utilizar un patrón excluido cuando haya archivos en la misma ubicación que no desee incluir en la definición de origen. En el separador Patrones excluidos, haga clic en Agregar para definir patrones de nombres de archivos log que se deben excluir de este origen de log.

        Por ejemplo, hay un archivo con el nombre audit.aud en el directorio que haya configurado como origen de inclusión (/u01/app/oracle/admin/rdbms/diag/trace/). En la misma ubicación, hay otro archivo con el nombre audit-1.aud. Puede excluir cualquier archivo con el patrón audit-*.aud.

  7. Agregue filtros de datos. Consulte Uso de filtros de datos en los orígenes.
  8. Agregue campos ampliados. Consulte Uso de campos ampliados en los orígenes.
  9. Configure opciones de enriquecimiento de campos. Consulte Configuración de opciones de enriquecimiento de campos.
  10. Agregue etiquetas. Consulte Uso de etiquetas en los orígenes.
  11. Haga clic en Guardar.

Uso de filtros de datos en los orígenes

Oracle Logging Analytics permite enmascarar y ocultar información confidencial de las entradas de log, así como ocultar entradas de log completas antes de cargar los datos del log en la nube.

Con el separador Filtros de datos al editar o crear un origen, puede enmascarar direcciones IP, el ID de usuario, el nombre de host y otro tipo de información confidencial con cadenas de sustitución, borrar valores y palabras clave específicos de una entrada de log, así como ocultar toda una entrada de log.

Puede agregar filtros de datos al crear un origen de log o al editar un origen existente. Consulte Personalización de un origen definido por Oracle para obtener más información sobre la edición de orígenes de log existentes.

Si los datos de log se envían a Oracle Logging Analytics mediante la carga o recopilación a petición desde el almacén de objetos, el enmascaramiento se producirá en la nube antes de indexar los datos. Si está recopilando logs mediante el agente de gestión, los logs se enmascaran antes de que el contenido salga de las instalaciones.

Topics:

Enmascaramiento de datos de log

El enmascaramiento es el proceso de toma de un juego de texto existente y su sustitución por otro texto estático para ocultar el contenido original.

Si desea enmascarar cualquier tipo de información como el nombre de usuario y el nombre de host de las entradas de log:

  1. Abra el menú de navegación y haga clic en Observación y gestión. En Logging Analytics, haga clic en Administración. Se abre la página Visión general de administración.

  2. Los recursos de administración se muestran en el panel de navegación de la izquierda en Recursos. Haga clic en Orígenes.

  3. Haga clic en el nombre del origen que desea editar. Se abre la página de detalles del origen. Haga clic en Editar para editar el origen.

  4. Haga clic en el separador Filtros de datos y en Agregar.

  5. Introduzca la máscara Nombre, seleccione Máscara como Tipo, introduzca el valor de Expresión Find y su valor de la expresión de sustitución asociado.

    El valor Expresión Find puede ser una búsqueda de texto sin formato o expresión regular estándar. El texto que coincide con Find Expression se sustituye por Replace Expression a lo largo de la entrada de log.

    Nombre Expresión Find Expresión de sustitución
    nombre de usuario de máscara User=\S User=confidential
    host de máscara Host=\S+ Host=mask_host
    Nota

    La sintaxis de la cadena de sustitución debe coincidir con la sintaxis de la cadena que se está sustituyendo. Por ejemplo, un número no se debe sustituir por una cadena. Una dirección IP con el formato 123.45.67.89 se debe sustituir por 000.000.000.000 y no por 000.000. Si las sintaxis no coinciden, los analizadores se podrían romper.

  6. Haga clic en Guardar.

Cuando vea las entradas de log enmascaradas para este origen de log, encontrará que Oracle Logging Analytics ha enmascarado los valores de los campos que ha especificado.

  • Usuario = confidential

  • Host = mask_host

Enmascaramiento mediante hash de los datos de log

Al enmascarar los datos de log con la máscara como se describe en la sección anterior, la información enmascarada se sustituye por una cadena estática proporcionada en la expresión de sustitución. Por ejemplo, cuando el nombre de usuario está enmascarado con la cadena confidential, el nombre de usuario siempre se sustituye por la expresión confidential en los registros de log de cada incidencia. Mediante la máscara de hash, puede aplicar hash al valor encontrado con un hash único. Por ejemplo, si los registros de log contienen varios nombres de usuario, cada nombre de usuario tiene un hash a un valor único. Por lo tanto, si la cadena user1 se sustituye por el hash de texto ebdkromluceaqie para cada incidencia, el hash aún se puede utilizar para identificar que estas entradas de log son para el mismo usuario. Sin embargo, el nombre de usuario real no estará visible.

Riego asociado: dado que se trata de un hash, no hay forma de recuperar el valor real del texto original enmascarado. Sin embargo, tomando un hash de cualquier cadena, llega al mismo hash cada vez. No olvide tener en cuenta este riesgo al enmascarar hash los datos de log. Por ejemplo, la cadena oracle tiene el hash md5 a189c633d9995e11bf8607170ec9a4b8. Cada vez que alguien intente crear un hash md5 de la cadena oracle, siempre será el mismo valor. Aunque no puede tomar este hash md5 y revertirlo para obtener la cadena original oracle, si alguien intenta adivinar y reenviar el hash del valor oracle, verá que el hash coincide con el de la entrada de log.

Para aplicar el filtro de datos de máscara de hash en los datos de log:

  1. Vaya a la página Crear origen. Para conocer los pasos, consulte Creación de un origen.

  2. También puede editar un origen que ya existe. Para conocer los pasos para abrir una página Editar origen, consulte Edición de un origen.

  3. Haga clic en el separador Filtros de datos y en Agregar.

  4. Introduzca la máscara Nombre, seleccione Máscara de hash como Tipo, introduzca el valor de Expresión Find y su valor de expresión de sustitución asociado.

    Nombre Expresión Find Expresión de sustitución
    Nombre de usuario de máscara User=(\S+)s+ Hash de texto
    Puerto de máscara Port=(\d+)s+ Hash numérico

  5. Haga clic en Guardar.

Si desea utilizar la máscara de hash en un campo basado en cadena, puede utilizar el hash Texto o Numérico como campo de cadena. Sin embargo, si el campo de datos es numérico, como un entero, largo o punto flotante, debe utilizar el hash Numérico. Si no utiliza un hash numérico, el texto de sustitución hará que se rompan las expresiones regulares que dependan de este valor. El valor tampoco se almacenará.

Esta sustitución se produce antes de analizar los datos. Normalmente, cuando los datos se deben enmascarar, normalmente no está claro si siempre son numéricos. Por lo tanto, debe decidir el tipo de hash al crear la definición de la máscara.

Como resultado del enmascaramiento de hash de ejemplo anterior, cada nombre de usuario se sustituye por un hash de texto único y cada número de puerto se sustituye por un hash numérico único.

Puede utilizar la máscara hash al filtrar o analizar los datos de log. Consulte Filtrado de logs por máscara de hash.

Borrado de palabras clave o valores específicos de los registros de log

Oracle Logging Analytics permite buscar una palabra clave o un valor específicos en los registros de log y borrar la palabra clave o el valor coincidentes si esa palabra clave existe en los registros de log.

Tenga en cuenta el siguiente registro de log:

ns5xt_119131: NetScreen device_id=ns5xt_119131  [Root]system-notification-00257(traffic): start_time="2017-02-07 05:00:03" duration=4 policy_id=2 service=smtp proto=6 src zone=Untrust dst zone=mail_servers action=Permit sent=756 rcvd=756 src=192.0.2.1 dst=203.0.113.1 src_port=44796 dst_port=25 src-xlated ip=192.0.2.1 port=44796 dst-xlated ip=203.0.113.1 port=25 session_id=18738

Si desea ocultar la palabra clave device_id y su valor del registro de log:

  1. Abra el menú de navegación y haga clic en Observación y gestión. En Logging Analytics, haga clic en Administración. Se abre la página Visión general de administración.

  2. Los recursos de administración se muestran en el panel de navegación de la izquierda en Recursos. Haga clic en Orígenes.

  3. Haga clic en el nombre del origen que desea editar. Se abre la página de detalles del origen. Haga clic en Editar para editar el origen.

  4. Haga clic en el separador Filtros de datos y en Agregar.

  5. Introduzca el filtro Nombre, seleccione Borrar cadena como Tipo e introduzca el valor de Expresión Find, como device_id=\S*

  6. Haga clic en Guardar.

Cuando vea los registros de log de este origen, descubrirá que Oracle Logging Analytics ha borrado las palabras clave o los valores que ha especificado.

Nota

Asegúrese de que la expresión regular del analizador coincida con el patrón de registro de log. De lo contrario, es posible que Oracle Logging Analytics no analice los registros correctamente después de borrar la palabra clave.

Nota

Además de agregar filtros de datos al crear un origen, también puede editar un origen existente para agregar filtros de datos. Consulte Personalización de un origen definido por Oracle para obtener más información sobre la edición de orígenes existentes.

Borrado de una entrada de log completa en función de palabras clave específicas

Oracle Logging Analytics permite buscar una palabra clave o un valor específicos en los registros de log y borrar toda una entrada de log en un registro de log si existe esa palabra clave.

Tenga en cuenta el siguiente registro de log:

ns5xt_119131: NetScreen device_id=ns5xt_119131  [Root]system-notification-00257(traffic): start_time="2017-02-07 05:00:03" duration=4 policy_id=2 service=smtp proto=6 src zone=Untrust dst zone=mail_servers action=Permit sent=756 rcvd=756 src=198.51.100.1 dst=203.0.113.254 src_port=44796 dst_port=25 src-xlated ip=198.51.100.1 port=44796 dst-xlated ip=203.0.113.254 port=25 session_id=18738

Supongamos que desea borrar toda la entrada del log si incluye la palabra clave device_id:

  1. Abra el menú de navegación y haga clic en Observación y gestión. En Logging Analytics, haga clic en Administración. Se abre la página Visión general de administración.

  2. Los recursos de administración se muestran en el panel de navegación de la izquierda en Recursos. Haga clic en Orígenes.

  3. Haga clic en el nombre del origen que desea editar. Se abre la página de detalles del origen. Haga clic en Editar para editar el origen.

  4. Haga clic en el separador Filtros de datos y en Agregar.

  5. Introduzca el filtro Nombre, seleccione Borrar entrada de log como Tipo e introduzca el valor Expresión Find, como .*device_id=.*

    Es importante que la expresión regular coincida con toda la entrada del log. El uso de .* delante y al final de la expresión regular garantiza que coincida con el resto de texto de la entrada de log.

  6. Haga clic en Guardar.

Cuando vea las entradas de log para este origen de log, encontrará que Oracle Logging Analytics ha borrado todas las entradas de log que contengan la cadena device_id.

Nota

Además de agregar filtros de datos al crear un origen, también puede editar un origen existente para agregar filtros de datos. Consulte Personalización de un origen definido por Oracle para obtener más información sobre la edición de orígenes existentes.

Uso de campos ampliados en los orígenes

La función Campos ampliados de Oracle Logging Analytics permite extraer campos adicionales de un registro de log además de los campos analizados por el analizador.

En la definición de origen, se selecciona un analizador que puede dividir un archivo log en entradas de log y cada entrada de log en un juego de campos base. Estos campos base deberían ser consistentes en todas las entradas del log. Un analizador base extrae los campos comunes de un registro de log. Sin embargo, si necesita extraer campos adicionales del contenido de la entrada de log, puede utilizar la definición de campos ampliados. Por ejemplo, el analizador se puede definir para que todo el texto al final de los campos comunes de una entrada de log se analice y almacene en un campo denominado Mensaje.

Al buscar logs con el origen actualizado, se muestran los valores de los campos ampliados junto con los campos extraídos por el analizador base.

Nota

Para agregar el grupo de logs como campo de entrada, proporcione su OCID para el valor en lugar del nombre.

  1. Abra el menú de navegación y haga clic en Observación y gestión. En Logging Analytics, haga clic en Administración. Se abre la página Visión general de administración.

    Los recursos de administración se muestran en el panel de navegación de la izquierda en Recursos. Haga clic en Orígenes.

  2. Haga clic en el nombre del origen que desea editar. Se abre la página de detalles del origen. Haga clic en Editar para editar el origen.
  3. Haga clic en el separador Campos ampliados y, a continuación, en Agregar.
  4. Se puede especificar una condición para que la extracción de campos solo se produzca si la entrada de log que se está evaluando coincide con una condición predefinida. Para agregar una condición al campo ampliado, amplíe la sección Condiciones.
    • Reutilizar existente: si es necesario, para reutilizar una condición que ya está definida para el origen de log, seleccione el botón de radio Reutilizar existente y elija la condición definida anteriormente en el menú Condición.
    • Crear nueva condición: active este botón si desea definir una nueva condición. Especifique el campo de condición, el operador y el valor.

      Por ejemplo, la definición de campo ampliado que extrae el valor del campo Nombre de recurso de seguridad del valor del campo Mensaje solo si el campo Servicio tiene uno de los valores especificados NetworkManager, dhclient o dhcpd es el siguiente:

      • Campo base: Message
      • Contenido de campo base de ejemplo: DHCPDISCOVER from b8:6b:23:b5:c1:bd (HOST1-LAP) via eth0
      • Expresión Extract : ^DHCPDISCOVER\s+from\s+{Security Resource Name:\S+}\s+.+

      La condición para esta definición de campo ampliado se debe definir de la siguiente manera:

      • Campo de condición: service
      • Operador de condición: IN
      • Valor de condición: NetworkManager,dhclient,dhcpd

      En el ejemplo anterior, el valor extraído del campo Nombre de recurso de seguridad es b8:6b:23:b5:c1:bd.

      Para proporcionar varios valores para el campo Valor de condición, introduzca el valor y pulse Intro para cada valor.

    Al agregar una condición, puede reducir el procesamiento de expresiones regulares en una entrada de log que probablemente no tenga el valor que está intentando extraer. Esto puede reducir de forma eficaz el tiempo de procesamiento y el retraso en la disponibilidad de las entradas de log en el explorador de logs.

  5. Seleccione el campo base donde el valor sea el que desea seguir extrayendo en los campos.

    Los campos que se muestran en el campo base son los que se analizan desde el analizador base y algunos campos por defecto que se rellenan mediante la recopilación de logs, como entidad de log (nombre de archivo, tabla de base de datos u otra ubicación original de la que proviene la entrada de log) y Contenido de log original.

  6. Introduzca un valor de ejemplo común para el campo base que ha decidido extraer en campos adicionales en el espacio Contenido de campo base de ejemplo. Esto se utiliza durante la fase de prueba para mostrar que la definición de campo ampliado funciona correctamente.
  7. Introduzca la expresión de extracción en el campo Expresión de extracción y seleccione la casilla de control Activado.

    Una expresión de extracción utiliza la sintaxis normal de la expresión regular, excepto cuando se especifica el elemento de extracción, debe utilizar una macro indicada por los corchetes angulares { y }. Hay dos valores dentro de los corchetes separados por dos puntos :. El primer valor dentro de los corchetes es el campo en el que se almacenan los datos extraídos. El segundo valor es la expresión regular que debe coincidir con el valor que se debe capturar del campo base.

    Nota

    Si desea extraer varios valores de un campo mediante los campos ampliados:

    1. En primer lugar, cree un campo para el contenido del log que pueda tener varios valores para un campo, por ejemplo Error IDs. Consulte Crear un campo.

    2. En el cuadro de diálogo Agregar definición de campo ampliado, para el campo base, seleccione un campo base que se extraiga de un analizador y tenga datos de varios valores, por ejemplo, Message, Original Log Content.

    3. Introduzca Contenido de campo base de ejemplo, que tiene varios valores de un campo que desea extraer.

    4. En Expresión de extracción, proporcione la expresión regular para extraer cada valor del campo. Haga clic en Agregar.


    EFD para varios valores de un campo

  8. Haga clic en Definición de prueba para validar que la expresión de extracción puede extraer correctamente los campos deseados del contenido de ejemplo de campo base que ha proporcionado. En caso de una coincidencia correcta, se muestra el recuento de pasos, que es la medida correcta de la eficacia de la expresión de extracción. Si la expresión no es eficaz, puede que se produzca un timeout en la extracción y que el campo no se rellene.
    Nota

    Es mejor mantener el recuento de pasos por debajo de 1.000 para obtener el mejor rendimiento. Cuanto mayor sea este número, mayor será el tiempo que se tardará en procesar los logs y ponerlos a disposición en el explorador de logs.
  9. Haga clic en Guardar.

Si utiliza la opción Solo tiempo de análisis automático en la definición de origen en lugar de crear un analizador, el único campo que estará disponible para crear definiciones de campos ampliados será el campo Contenido de log original, ya que el analizador no rellenará ningún otro campo. Consulte Uso del analizador de tiempo automático.

Oracle Logging Analytics permite buscar los campos ampliados que está buscando. Puede buscar en función de cómo se ha creado, el tipo de campo base o con algún ejemplo de contenido del campo. Introduzca el contenido de ejemplo en el campo Buscar o haga clic en la flecha hacia abajo del cuadro de diálogo de búsqueda. En el cuadro de diálogo de búsqueda, en Tipo de creación, seleccione si los campos ampliados que está buscando están definidos por Oracle o definidos por el usuario. En Campo base, puede seleccionar una de las opciones disponibles. También puede especificar el contenido de ejemplo o la expresión del campo de extracción que se puede utilizar para la búsqueda. Haga clic en Aplicar filtros.

Tabla 8-1 Contenido de ejemplo de muestra y expresión de extracción de campo ampliado

Descripción Campo base Contenido de ejemplo Expresión de extracción de campo ampliado
Para extraer la extensión del archivo de punto final del campo URI de un archivo log de acceso de Fusion Middleware

URI

/service/myservice1/endpoint/file1.jpg

{Content Type:\.(jpg|html|png|ico|jsp|htm|jspx)}

De esta forma se extraerá el sufijo del archivo, como jpg o html, y se almacenará el valor en el campo Tipo de contenido. Solo se extraerán los sufijos que aparecen en la expresión.

Para extraer el nombre de usuario de la ruta de acceso del archivo de una entidad de log

Log Entity

/u01/oracle/john/audit/134fa.xml

/\w+/\w+/{User Name:\w+}/\w+/\w+

Para extraer la hora de inicio del campo Mensaje

Nota: Hora de inicio de evento es un campo de tipo de datos Registro de hora. Si se trata de un campo de tipo de datos numérico, la hora de inicio se almacenaría simplemente como un número y no como un registro de hora.

Message

Backup transaction finished. Start=1542111920

Start={Event Start Time:\d+}

Origen: /var/log/messages

Nombre de analizador: Linux Syslog Format

Message

authenticated mount request from 10.245.251.222:735 for /scratch (/scratch)

authenticated {Action:\w+} request from {Address:[\d\.]+}:{Port:\d+} for {Directory:\S+}\s(

Origen: /var/log/yum.log

Nombre de analizador: Yum Format

Message

Updated: kernel-headers-2.6.18-371.0.0.0.1.el5.x86_64

{Action:\w+}: {Package:.*}

Origen: Database Alert Log

Nombre de analizador: Database Alert Log Format (Oracle DB 11.1+)

Message

Errors in file /scratch/cs113/db12101/diag/rdbms/pteintg/pteintg/trace/pteintg_smon_3088.trc (incident=4921): ORA-07445: exception encountered: core dump [semtimedop()+10] [SIGSEGV] [ADDR:0x16F9E00000B1C] [PC:0x7FC6DF02421A] [unknown code] []

Errors in file {Trace File:\S+} (incident={Incident:\d+}): {Error ID:ORA-\d+}: exception encountered: core dump [semtimedop()+10] [SIGSEGV] [ADDR:{Address:[\w\d]+] [PC:{Program Counter:[\w\d]+}] [unknown code] []

Origen: FMW WLS Server Log

Nombre de analizador: WLS Server Log Format

Message

Server state changed to STARTING

Server state changed to {Status:\w+}

Configuración de opciones de enriquecimiento de campos

Oracle Logging Analytics permite configurar opciones de enriquecimiento de campos para poder extraer y mostrar más información significativa de los datos de campos ampliados.

Una de las opciones de enriquecimiento de campo es Geolocalización, que convierte las direcciones IP o las coordenadas de ubicación presentes en los registros de log a un código de país o país. Se puede utilizar en orígenes de log como logs de acceso web que tienen direcciones IP de cliente externas.

Con la opción de enriquecimiento de campos Consulta, puede hacer coincidir combinaciones de campo-valor de logs con una tabla de consulta externa.

Incluya información adicional en las entradas de log mediante la opción Campos adicionales. Esta información se agrega a cada entrada de log en el momento del procesamiento.

Para sustituir una cadena/expresión en un campo por una expresión alternativa y almacenar el resultado en un campo de salida, utilice la opción Sustitución.

Nota

  • Para un origen, puede definir un máximo de tres enriquecimientos de campo, cada uno de tipo diferente.

  • Para agregar el grupo de logs como campo de entrada, proporcione su OCID para el valor en lugar del nombre.

Temas:

Uso de consultas de tiempo de ingesta en el origen

Oracle Logging Analytics permite enriquecer los datos de log con combinaciones de campo y valor adicionales de las consultas mediante la configuración de la opción Enriquecimiento de campo de consulta en el origen. Oracle Logging Analytics coincide con el valor del campo especificado en una tabla de búsqueda externa y, si coincide, agrega otras combinaciones de campo-valor del registro de búsqueda coincidente a los datos del log. Consulte Gestión de consultas.

Puede agregar datos de varias consultas configurando la opción Enriquecimiento de campo de consulta varias veces. El Enriquecimiento de campo de consulta se procesa en el mismo orden en que se crea. Por lo tanto, si tiene consultas relacionadas en las que las claves se solapan y ayudan a agregar más enriquecimientos con el procesamiento de cada consulta, asegúrese de incluir las claves solapadas en las selecciones de entrada y salida de la definición Enriquecimiento de campo de consulta. Para obtener un ejemplo del uso de varias consultas relacionadas para enriquecer datos de log, consulte Ejemplo de adición de varios enriquecimientos de campos de consulta.

Pasos para agregar enriquecimiento de campo de consulta

  1. Abra el menú de navegación y haga clic en Observación y gestión. En Logging Analytics, haga clic en Administración. Se abre la página Visión general de administración.

    Los recursos de administración se muestran en el panel de navegación de la izquierda en Recursos. Haga clic en Orígenes.

    Se abre la página Orígenes. Haga clic en Crear origen.

    También puede hacer clic en el icono de menú Acciones Icono Acciones junto a la entrada de origen que desea editar y seleccionar Editar. Se muestra la página Editar origen.

    Nota

    Asegúrese de que se seleccione un analizador en la página de definición de origen para que se active el botón Agregar para el enriquecimiento de campos.

  2. Haga clic en el separador Enriquecimiento de campo y, a continuación, haga clic en Agregar.

    Se abre el cuadro de diálogo Agregar enriquecimiento de campo.

  3. En el cuadro de diálogo Agregar enriquecimiento de campo,

    1. Seleccione el compartimento donde se encuentra la consulta.
    2. Seleccione Consulta como Función.
    3. Seleccione el Nombre de tabla de consulta en el menú desplegable.
    4. En Campos de entrada, seleccione la columna de la tabla de consulta y el campo de origen de log a los que se debe asignar. Esto se utiliza para asignar la clave de la tabla de consulta a un campo que rellena el analizador en Campo de origen de log, por ejemplo, la columna errid de la tabla de consulta se puede asignar al campo Error ID de los logs.

      La lista de los campos de entrada de Campo de origen de log se limitará a los campos que rellena el origen de log.

    5. En Acciones, seleccione el nuevo campo de origen de log y el valor de campo en la columna de la tabla de consulta a la que se debe asignar. Cuando se encuentra un registro coincidente en la tabla de consulta especificada basada en la asignación de entrada anterior, el campo de salida especificado en Campo de origen de log se agrega al log con el valor de la columna de consulta de salida especificada en Valor de campo. Por ejemplo, la columna erraction de la tabla de consulta se puede asignar al campo Action.

      Opcionalmente, haga clic en + Otro elemento para asignar más campos de salida.

    6. Haga clic en Agregar enriquecimiento de campo.

    La consulta se agrega a la tabla Enriquecimiento de campo.

  4. Mantenga seleccionada la casilla de control Activado.

  5. Para agregar más consultas, repita los pasos 3 y 4.

Al mostrar los registros de log del origen de log para el que haya creado el enriquecimiento de campo de consulta de tiempo de ingesta, puede ver que en el campo de salida se muestran valores que se rellenan con las entradas de log debido a la referencia de la tabla de consulta que haya utilizado para crear el enriquecimiento de campo. Consulte Gestión de consultas.

Ejemplo de adición de múltiples enriquecimientos de campos de consulta

Puede agregar hasta tres enriquecimientos de campo de consulta a un origen. Las búsquedas individuales pueden o no estar relacionadas entre sí.

En el siguiente ejemplo se muestra cómo se pueden configurar tres consultas relacionadas para que los datos de log se puedan enriquecer con información de las tres consultas. Tenga en cuenta las siguientes tres consultas relacionadas que tienen información sobre varios hosts:

Lookup1: SystemConfigLookup

Número de Serie Fabricante  Sistema operativo Memoria Tipo de Procesador Unidad de disco Identificador de Host
NÚMERO DE SERIE 01 Manuf1 OS1 256TB Proc1 Disco Duro 1.001
NÚMERO DE SERIE 02 Manuf2 OS2 7.5TB Proc3 Unidad de estado sólido 1.002
NÚMERO DE SERIE 03 Manuf2 OS3 16TB Proc2 Unidad de estado sólido 1.003
NÚMERO DE SERIE 04 Manuf3 OS1 512TB Proc5 Disco Duro 1.004
NÚMERO DE SERIE 05 Manuf1 OS1 128TB Proc4 Disco Duro 1.001

Lookup2: GeneralHostConfigLookup

Identificador de Host Propietario de host Ubicación de host Descripción de host Dirección IP de Host
1.001 Jack San Francisco Descripción de Jack host 192.0.2.76
1.002 Alexis Denver Descripción de Alexis host 203.0.113.58
1.003 John Seattle Descripción de John host 198.51.100.11
1.004 Jane San Jose Descripción de Jane host 198.51.100.164

Lookup3: NetworkConfigLookup

Dirección IP Subnet Mask Gateway Servidor DNS
192.0.2.76 255.255.255.252 192.0.2.1 Servidor recursivo
203.0.113.58 255.255.255.0 203.0.113.1 Servidor autorizado
198.51.100.11 255.255.255.224 198.51.100.1 Servidor root
198.51.100.164 255.255.255.192 198.51.100.1 Servidor recursivo

Entre las consultas Lookup1 y Lookup2, Host ID es la clave común que se puede seleccionar como salida en el primer enriquecimiento de campo de consulta y como entrada en el segundo enriquecimiento de campo de consulta. Del mismo modo, entre las consultas Lookup2 y Lookup3, IP Address es la clave común que se puede seleccionar como salida en el primer enriquecimiento de campo de consulta y como entrada en el segundo enriquecimiento de campo de consulta.

Con la configuración anterior, deje que los enriquecimientos del campo de búsqueda se configuren en el orden 1, 2 y 3:

Enriquecimiento de campo de consulta Nombre de Tabla de Consulta Campos de Entrada Acciones
1 SystemConfigLookup
  • Campo de origen de log: Serial Number
  • Columna de tabla de consulta: Serial Number
  • Nuevo campo de origen de log 1: Operating System
  • Valor de campo 1: Operating System
  • Campo de nuevo origen de log 2: Memory
  • Valor de Campo 2: Memory
  • Nuevo campo de origen de log 3: Host ID
  • Valor de campo 3: Host ID
2 GeneralHostConfigLookup
  • Campo de origen de log: Host ID
  • Columna de tabla de consulta: Host ID
  • Nuevo campo de origen de log 1: Host Owner
  • Valor de campo 1: Host Owner
  • Nuevo campo de origen de log 2: Host IP Address
  • Valor de campo 2: Host IP Address
3 NetworkConfigLookup
  • Campo de origen de log: Host IP Address
  • Columna de tabla de consulta: IP Address
  • Campo de nuevo origen de log 1: Gateway
  • Valor de Campo 1: Gateway
  • Nuevo campo de origen de log 2: DNS Server
  • Valor de campo 2: DNS Server

Una vez completada la configuración de enriquecimiento anterior, cuando se detecta el campo Serial Number en los datos de log, se enriquece aún más con Operating System, Memory, Host ID, Host Owner, Host IP Address, Gateway y DNS Server desde las tres consultas. So, for the serial number SER-NUM-01 detected in the log, it is enriched with additional information OS1, 256TB, 1001, Jack, 192.0.2.76, 192.0.2.1, and Recursive server.

Uso del campo de geolocalización para agrupar logs

Después de configurar el enriquecimiento del campo Geolocalización, puede ver los registros de log agrupados por país o código de país. Esto resulta útil cuando analiza logs que tienen información de ubicación crucial, como direcciones IP o coordenadas de ubicación, por ejemplo, logs de acceso, logs de rastreo o logs de transporte de aplicaciones.

  1. Abra el menú de navegación y haga clic en Observación y gestión. En Logging Analytics, haga clic en Administración. Se abre la página Visión general de administración.

    Los recursos de administración se muestran en el panel de navegación de la izquierda en Recursos. Haga clic en Orígenes.

    Se abre la página Orígenes. Haga clic en Crear origen.

    También puede hacer clic en el icono de menú Acciones Icono Acciones junto a la entrada de origen que desea editar y seleccionar Editar. Se muestra la página Editar origen.

  2. Agregue la definición de campos ampliados para el campo base que contiene la dirección IP específica del país o los registros de nombres de host, como Dirección IP del host.
  3. Haga clic en el separador Enriquecimiento de campo y, a continuación, haga clic en Agregar.
  4. En el cuadro de diálogo Agregar enriquecimiento de campo, seleccione Geolocalización como Función.
  5. En la sección Campos de entrada, seleccione Campo IP, que es el nombre del campo de gelocalización que extrae el analizador de los logs, por ejemplo, Client Coordinates o Host IP Address (Client).

    Para detectar amenazas con la información de geolocalización, active la casilla de control Enriquecimiento de inteligencia de amenazas. Durante la ingestión de los datos de log, si el valor de dirección IP asociado al campo de entrada Dirección de origen en el contenido del log se marca como una amenaza, se agrega al campo IP de amenaza. A continuación, puede utilizar el campo para filtrar los logs que tienen una amenaza asociada. Además, esos registros de log también tendrán la etiqueta IP de amenaza con una prioridad de problema Alta. Puede utilizar la etiqueta en la búsqueda.

    Los registros de log que tienen la prioridad de problema Alta asociada tienen un punto rojo en la fila. Esto hace que esos registros de log sean más prominentes en su apariencia en la tabla, lo que facilita su detección y análisis. A continuación, puede abrir las IP de amenaza en la consola de Oracle Threat Intelligence y obtener más información sobre la amenaza.

  6. Haga clic en Agregar.

Adición de más datos a las entradas de log en el momento del procesamiento

Es posible que desee incluir más información en cada una de las entradas como metadatos adicionales. Esta información no forma parte de la entrada de log, pero se agrega en el momento del procesamiento, por ejemplo, ID de contenedor, Nodo. Para obtener un ejemplo de cómo agregar metadatos al cargar logs bajo demanda, consulte Carga de logs bajo demanda.

Es posible que la información agregada no esté directamente visible en el explorador de logs. Complete los siguientes pasos para hacerlo visible en el Explorador de logs para su análisis de log:

  1. Abra el menú de navegación y haga clic en Observación y gestión. En Logging Analytics, haga clic en Administración. Se abre la página Visión general de administración.

    Los recursos de administración se muestran en el panel de navegación de la izquierda en Recursos. Haga clic en Orígenes.

    Se abre la página Orígenes. Haga clic en el icono de menú Acciones Icono Acciones junto a la entrada de origen que desea editar y seleccione Editar. Se muestra la página Editar origen.

    Nota

    Asegúrese de que se seleccione un analizador en la página de definición de origen para que se active el botón Agregar para el enriquecimiento de campos.

  2. Haga clic en el separador Enriquecimiento de campo y, a continuación, haga clic en Agregar.

    Se abre el cuadro de diálogo Agregar enriquecimiento de campo.

  3. En el cuadro de diálogo Agregar enriquecimiento de campo,

    1. Seleccione Campos adicionales como Función.
    2. En Asignar campos, seleccione los campos que desea asignar al origen. Los campos seleccionados en los analizadores asociados a este origen no están disponibles aquí.
    3. Haga clic en Agregar.

Después de especificar los campos adicionales, se pueden ver en Log Explorer para el análisis de logs. También se pueden seleccionar al configurar los campos ampliados o las etiquetas para los orígenes.

Uso de la función de sustitución para sustituir una expresión en un campo

Durante el procesamiento del log, si desea sustituir una parte del valor de campo por una cadena o expresión alternativa, utilice la función de sustitución y almacene la expresión resultante del campo en otro campo de salida.

Tenga en cuenta el escenario en el que desea capturar todos los registros de log que tienen el campo URI con el contenido del formato http://www.example.com/forum/books?<ISBN>, y el valor de ISBN varía según cada registro de log. En estos casos, puede sustituir el valor de ISBN en el campo de cada registro de log por una cadena allExampleBooks y almacenar en un campo modified_URI. Como resultado, todos los registros de log capturados con URI en el formato anterior también tendrán el campo modified_URI con el valor http://www.example.com/forum/books?allExampleBooks. Ahora puede utilizar el campo modified_URI en la consulta de búsqueda para filtrar esos logs y analizarlos en el explorador de logs.

Además, utilice la opción Sustituir todas las coincidencias para sustituir todas las incidencias del valor del campo. Por ejemplo, si el campo Original log content tiene varias incidencias de dirección IP que desea sustituir por una cadena, puede utilizar esta opción. El resultado se puede guardar en un campo, por ejemplo, Altered log content. Ahora puede utilizar el campo Altered log content de la consulta para filtrar todos los registros de log que tienen direcciones IP en el campo Original log content.

  1. Abra el menú de navegación y haga clic en Observación y gestión. En Logging Analytics, haga clic en Administración. Se abre la página Visión general de administración.

    Los recursos de administración se muestran en el panel de navegación de la izquierda en Recursos. Haga clic en Orígenes.

    Se abre la página Orígenes. Haga clic en Crear origen.

    También puede hacer clic en el icono de menú Acciones Icono Acciones junto a la entrada de origen que desea editar y seleccionar Editar. Se muestra la página Editar origen.

  2. Introduzca un nombre para el origen, una descripción adecuada y seleccione el tipo de origen. Seleccione un analizador que se debe utilizar para analizar los logs. Estas selecciones determinarán los campos disponibles para el enriquecimiento de campos.

  3. Haga clic en el separador Enriquecimiento de campo y, a continuación, haga clic en Agregar enriquecimiento de campo.

  4. En el cuadro de diálogo Agregar enriquecimiento de campo, seleccione Sustitución como Función.

  5. En la sección Campos de entrada:

    1. Seleccione el campo de origen de log que tiene valores que desea sustituir, por ejemplo, URI.

    2. En Expresión para coincidencia, proporcione la expresión regular para que coincida con la cadena en el campo que se debe sustituir.

    3. Especifique la cadena/expresión de sustitución que se debe sustituir en lugar del valor original del campo de entrada.

    4. Si el campo tiene varias incidencias de la cadena que desea sustituir, active la casilla de control Sustituir todas las coincidencias.

  6. En la sección Campo de salida, seleccione el campo que debe almacenar el nuevo valor del campo de entrada después de sustituir el valor original por el valor de sustitución.

  7. Haga clic en Agregar enriquecimiento de campo.

Uso de etiquetas en los orígenes

Oracle Logging Analytics permite agregar etiquetas a los registros de log, según las condiciones definidas.

Cuando una entrada de log coincide con la condición que haya definido, se rellena una etiqueta con esa entrada de log. Esa etiqueta está disponible en las visualizaciones del explorador de logs, así como para buscar y filtrar las entradas del log.

Puede utilizar etiquetas definidas por Oracle o creadas por el usuario en los orígenes. Para crear una etiqueta personalizada para etiquetar una entrada de log específica, consulte Creación de una etiqueta.

  1. Para utilizar etiquetas en un origen existente, edite ese origen. Para conocer los pasos para abrir una página Editar origen, consulte Edición de un origen.

  2. Haga clic en el separador Etiquetas.

  3. Para agregar una etiqueta condicional, haga clic en Agregar etiqueta condicional.

    En la sección Condiciones:

    1. Seleccione el campo de log en el que desea aplicar la condición en la lista Campo de entrada.

    2. Seleccione el operador en la lista Operador.

    3. En el campo Valor de condición, especifique el valor de la condición que debe coincidir para aplicar la etiqueta.

      Nota

      Para agregar el grupo de logs como campo de entrada, proporcione su OCID para el valor en lugar del nombre.

    4. Para agregar más condiciones, haga clic en el icono Agregar condición Icono Agregar condición y repita los pasos de 3a a 3c. Seleccione la operación lógica que se va a aplicar en varias condiciones. Seleccione entre Y, O, NO Y o NO O.

      Para agregar un grupo de condiciones, haga clic en el icono Condición de grupo Icono Condición de grupo y repita los pasos de 3a a 3c para agregar cada condición. Un grupo de condiciones debe tener más de una condición. Seleccione la operación lógica que se va a aplicar en el grupo de condiciones. Seleccione entre Y, O, NO Y o NO O.

      Para eliminar una condición, haga clic en el icono Eliminar condición Icono Eliminar condición.

      Para ver la lista de condiciones en forma de sentencia, haga clic en Mostrar resumen de condiciones.

  4. En Acciones, seleccione una de las etiquetas ya disponibles definidas por Oracle o creadas por el usuario. Si es necesario, puede crear una nueva etiqueta haciendo clic en Crear etiqueta.

    Active la casilla de control Activado.

  5. Haga clic en Agregar.

Oracle Logging Analytics permite buscar las etiquetas que desea buscar en el explorador de logs. Puede buscar en función de cualquiera de los parámetros definidos para las etiquetas. Introduzca la cadena de búsqueda en el campo Buscar. Puede especificar los criterios de búsqueda en el cuadro de diálogo de búsqueda. En Tipo de creación, seleccione si las etiquetas que está buscando están definidas por Oracle o definidas por el usuario. En los campos Campo de entrada, Operador y Campo de salida, puede seleccionar entre las opciones disponibles. También puede especificar el valor de condición o el valor de salida que se puede utilizar para la búsqueda. Haga clic en Aplicar filtros.

Ahora puede buscar datos de log en función de las etiquetas que ha creado. Consulte Filtrado de logs por etiquetas.

Uso de campos condicionales para enriquecer el juego de datos

Opcionalmente, si desea seleccionar cualquier campo arbitrario y escribir un valor en él, puede utilizar los campos condicionales. El relleno de un valor en un campo arbitrario con la funcionalidad de campos condicionales es muy similar al uso de consultas. Sin embargo, el uso de los campos condicionales proporciona más flexibilidad en las condiciones de coincidencia y es ideal para su uso cuando se trata con un pequeño número de condiciones - definiciones de relleno de campos. Por ejemplo, si tiene algunas condiciones para rellenar un campo, puede evitar crear y gestionar una consulta mediante campos condicionales.

Los pasos para agregar los campos condicionales son similares a los del flujo de trabajo anterior para agregar etiquetas condicionales.

  • En el paso 3, en lugar de hacer clic en Agregar etiqueta condicional, haga clic en Agregar campo condicional. El resto del paso 3 para seleccionar las condiciones sigue siendo el mismo que el flujo de trabajo anterior.

  • En el paso 4 anterior,

    1. En Campo de salida, seleccione en el menú los campos ya disponibles definidos por Oracle o creados por el usuario. Si es necesario, puede crear un nuevo campo haciendo clic en Crear nuevo campo.

    2. Introduzca un valor de salida para escribir en el campo de salida cuando la condición de entrada sea verdadera.

      Por ejemplo, el origen se puede configurar para asociar el valor de salida authentication.login para el campo de salida Security Category cuando el registro de log contiene el campo de entrada Method definido en el valor CONNECT.

      Active la casilla de control Activado.

Uso del analizador de tiempo automático

Oracle Logging Analytics permite configurar el origen para que utilice un analizador genérico en lugar de crear un analizador para los logs. Al hacerlo, el tiempo de log de las entradas del log solo se analizará si Oracle Logging Analytics permite identificar la hora.

Esto resulta especialmente útil cuando no esté seguro de cómo analizar los logs o de cómo escribir expresiones regulares para analizar los logs y solo desee transferir los datos de log no procesados para realizar análisis. Normalmente, un analizador define cómo se extraen los campos de una entrada de log para un determinado tipo de archivo log. Sin embargo, el analizador genérico de Oracle Logging Analytics puede:

  • Detectar el registro de hora y la zona horaria de las entradas del log.

  • Crear un registro de hora con la hora actual si las entradas del log no tienen ningún registro de hora.

  • Detectar si las entradas de log son de varias líneas o de una sola línea.

  1. Abra el menú de navegación y haga clic en Observación y gestión. En Logging Analytics, haga clic en Administración. Se abre la página Visión general de administración.

    Los recursos de administración se muestran en el panel de navegación de la izquierda en Recursos. Haga clic en Orígenes.

  2. En la página Orígenes, haga clic en Crear origen.
    Aparecerá el cuadro de diálogo Crear origen.
  3. En el campo Origen, introduzca el nombre del origen.
  4. En el campo Tipo de origen, seleccione Archivo.
  5. Haga clic en Tipo de entidad y seleccione el tipo de entidad para este origen.
  6. Seleccione Solo tiempo de análisis automático. Oracle Logging Analytics aplica automáticamente el tipo de analizador genérico.
  7. Haga clic en Guardar.
Al acceder a los registros de log del origen recién creado, Oracle Logging Analytics extrae y muestra la siguiente información de las entradas de log:

  • Registro de Hora:

    • Cuando una entrada de log no tiene un registro de hora, el analizador genérico crea y muestra el registro de hora en función de la hora en que se recopilaron los datos de log.

    • Cuando un registro de log contiene un registro de hora, pero la zona horaria no está definida, el analizador genérico utiliza la zona horaria del agente de gestión.

      Al utilizar Management Agent, si la zona horaria no se detecta correctamente, puede definir manualmente la zona horaria en los archivos de configuración del agente. Consulte Especificación manual de la zona horaria y la codificación de caracteres para archivos.

      Al cargar logs mediante la carga bajo demanda, puede especificar la zona horaria junto con la carga para forzar la zona horaria si no se puede detectar correctamente. Si está utilizando la CLI, consulte Referencia de línea de comandos: Logging Analytics - Upload. Si está utilizando la API de REST, consulte API de Logging Analytics - Upload.

    • Cuando un archivo log tiene registros de log con varias zonas horarias, el analizador genérico puede soportar hasta 11 zonas horarias.

    • Cuando un archivo log muestra algunas entradas de log con una zona horaria y algunas sin ella, el analizador genérico utiliza la zona horaria encontrada anteriormente para las que faltan zonas horarias.

    • Al realizar la ingesta de logs mediante el agente de gestión, si la zona horaria o el desplazamiento de zona horaria no se indican en los registros de log, Oracle Logging Analytics compara la hora de la última modificación del sistema operativo con el registro de hora de la última entrada de log para determinar la zona horaria adecuada.

  • Varias líneas: cuando una entrada de log abarca varias líneas, el analizador genérico puede capturar el contenido de varias líneas correctamente.