Nota:

Análisis de logs de ejemplo con OCI Logging Analytics

Introducción

Un entorno empresarial típico cuenta con grandes cantidades de telemetría de log. Encontrar datos y eventos de log interesantes y correlacionarlos con un flujo de negocio específico desde todas sus aplicaciones o identificar comportamientos anormales puede ser un reto. OCI Logging Analytics es una solución en la nube que agrega, indexa y analiza una variedad de datos de log de entornos locales y multinube. Permite buscar, explorar y correlacionar estos datos, obtener estadísticas operativas y tomar decisiones informadas. Logging Analytics puede ingerir, analizar y correlacionar logs desde prácticamente cualquier origen. Las actividades de correlación aprovechan tanto el aprendizaje automático aplicado listo para usar como un lenguaje de consulta sofisticado.
En este tutorial, aprenderá a utilizar OCI Logging Analytics en un entorno preconfigurado para realizar fácilmente dichas tareas, incluida la detección de valores atípicos, los clusters de eventos, la correlación de logs y la detección de anomalías.

Objetivos

Descubra cómo solucionar problemas mediante el análisis de archivos log, aprovechando algoritmos de aprendizaje automático incorporados, paneles de control interactivos y en contexto para detectar rápidamente problemas e identificar las causas raíz mediante OCI Logging Analytics.

Requisitos

Antes de empezar

Una vez que inicie el laboratorio, se le presentará su propio escritorio. Utilizará un explorador para conectarse a un entorno de Oracle Cloud Infrastructure diseñado y configurado para ejecutar tareas específicas de Logging Analytics.

Conectará como usuario administrador de OCI y realizará los pasos de prácticas en una sola región.

Conexión al entorno de OCI

  1. Si no lo ha hecho todavía, navegue hasta el escritorio, abra el archivo Luna-Lab.html haciendo doble clic en el archivo. Si aparece un cuadro de diálogo, compruebe que Chrome está marcado como explorador predeterminado y desmarque el envío de estadísticas e informes de fallos a Google.

  2. Observe los detalles de este archivo, desplácese hacia abajo para verlos todos: un enlace rápido a OCI, su nombre de usuario y contraseña, y otros detalles de la práctica. Haga clic en el botón CONSOLE de OCI. La interfaz de inicio de sesión de OCI se abre en un separador independiente. Haga clic en el botón Consola de OCI y aparecerá una conexión a la consola de OCI en un nuevo separador del explorador. Si aparece un mensaje relacionado con las cookies del sitio, haga clic en el botón Acepto todas las cookies.

  3. Vaya al primer separador, copie el nombre de usuario y péguelo en el campo Nombre de usuario del segundo separador.

  4. Repita el paso 3 anterior, esta vez copie la contraseña y, a continuación, haga clic en Conectar. Guarde la contraseña si desea omitir cualquier otro mensaje que pueda aparecer.

    Dado que el compartimento tiene un grupo de superadministradores y que es un superadministrador en ese grupo, tendrá que pasar del compartimento raíz al compartimento específico que se le asignó; por lo tanto, el mensaje de error rojo del recurso al recuperar los resultados de la consulta. En el primer separador Luna Lab, desplácese hacia abajo hasta la parte inferior y tenga en cuenta el nombre de compartimento de OCI que se le ha asignado.

  5. En la parte superior izquierda de la consola de OCI, haga clic en el icono de navegación, haga clic en Observabilidad y gestión, vaya a Logging Analytics y, a continuación, haga clic en Explorador de logs. Ignore el error al volver a cargar la recuperación de los resultados de la consulta.

  6. Haga clic en el icono Filtro situado a la derecha del explorador de logs.

    A continuación, navegue hasta el primer separador del explorador, busque el Nombre de compartimento de OCI y haga clic en Copiar. Vuelva al entorno de OCI, pegue el nombre del compartimento en el campo de búsqueda Compartimento de grupo de logs y seleccione el compartimento. Haga clic en Aplicar.

  7. En la ventana de tiempo (parte superior derecha), seleccione Últimos 14 días.

  8. Para verificar que las entidades desde las que recopila logs están configuradas correctamente, navegue hasta el menú superior izquierdo, seleccione Administración. En la página Visión general de administración, defina el campo Compartimento en el que se le asignó de la misma forma que en el paso anterior. Cierre los cuadros de error de color rojo y, a continuación, haga clic en Entidades. La lista de entidades debe ser similar a la imagen siguiente.

    Tenga en cuenta que el entorno puede tener más logs de los que se muestran aquí y que los gráficos de análisis pueden mostrar números diferentes. Los entornos incorporados se mejoran periódicamente. Sin embargo, los pasos de exploración siguen siendo los mismos.

    imagen 2

Ya está listo para explorar Logging Analytics.

Familiarización

  1. Vuelva al Explorador de logs (parte superior izquierda).

  2. En las opciones Visualizaciones, seleccione Registros con histograma. Estas son las partes principales de la interfaz de usuario que se utilizarán en este tutorial.

    1) Barra de consulta, con los botones Borrar, Buscar ayuda y Ejecutar en el extremo derecho de la barra.

    2) Menú Rango temporal y menú Acciones, donde puede encontrar acciones como, por ejemplo, Abrir, Guardar y Guardar como.

    3) Panel Campos, donde puede seleccionar orígenes y campos para filtrar los datos.

    4) Panel de visualización, donde puede seleccionar la forma de presentar los datos de búsqueda en un formulario que le ayude.

    5) Panel principal, donde las salidas de visualización aparecen encima de los resultados de la consulta.

  3. El rango temporal debe permanecer "Personalizado" durante todo el tutorial. Si el rango temporal no se puede restablecer en "Personalizado", puede reiniciar volviendo a la página "Archivos cargados" y haciendo clic en Ver en el explorador de logs.

    INTRODUCCIÓN: si pierde un paso, puede utilizar el botón Atrás del explorador. Sin embargo, no utilice el botón Refrescar.

Exploración de logs mediante clusters

  1. En el gráfico, haga clic en Logs de flujo de VCN de OCI para aumentar el detalle de los datos de flujo de VCN.

  2. Navegue hasta Acciones y haga clic en Guardar como para guardar esta búsqueda como un "Widget".

  3. Complete la opción "Save Search" y haga clic en Save.

    En este momento, el widget se puede agregar a un panel de control directamente desde aquí o después desde el menú del panel de control.

  4. Cree un par de widgets más visualizando los distintos logs del resto.

    Posteriormente los agregará a un panel de control.

  5. Vuelva a ver todos los datos de los logs.

    Indicación: borre la barra de consulta y haga clic en Ejecutar.

    Está trabajando con un total de registros de aproximadamente 74k. Es más fácil visualizar un gran volumen de datos como clusters relacionados. Logging Analytics - Clustering (no supervisado ML) utiliza los datos de log y la experiencia de dominio enriquecida para buscar patrones en los datos. La agrupación en clusters funciona tanto en texto como en números, lo que permite reducir un gran volumen de datos a menos patrones para la detección de anomalías. Haga clic en el botón Cluster (Cluster) en el panel de visualización.

  6. Aumente detalle en diferentes clusters, posibles problemas, valores atípicos y tendencias.

    Logging Analytics utiliza un AA sin supervisión para buscar clusters relacionados en los datos. Esto reduce los logs de aproximadamente 74 k a patrones de cluster de 629, en tiempo real.

    Nota: los números que ve pueden ser ligeramente diferentes a los que se muestran en el tutorial.

  7. Haga clic en el separador Incidencias potenciales.

    De los 629 clusters, 76 se identificaron automáticamente como problemas potenciales.

  8. Haga clic en el separador Valores atípicos.

    Estos problemas se produjeron una sola vez e indican una anomalía en el sistema.

  9. Ahora, haga clic en el separador Tendencias.

    Estos son patrones de cluster que se correlacionan en el tiempo. Haga clic en 8 tendencias similares para ver un juego de logs relacionados desde los logs de alertas de la base de datos. Tenga en cuenta que el número exacto de tendencias mostradas puede variar en función de la ventana de tiempo seleccionada.

  10. Guarde esta búsqueda siguiendo los mismos pasos realizados anteriormente en el paso 3.

  11. Cree una visualización más para comprender la distribución del tráfico de red.

    Primero cambie la visualización a Gráfico circular y seleccione un nuevo juego de datos, OCI VCN Flow Logs.

    En el cuadro de búsqueda del panel Campos, busque la cadena "Source". A continuación, arrastre y suelte "IP de origen" del cuadro "Otro" en el cuadro "Agrupar por" del panel de visualización y haga clic en Aplicar.

    Aquí, puede ver la distribución de logs por "IP de origen".

  12. Busque la distribución de "IP de destino" mediante el lenguaje de consulta.

    Introduzca la siguiente consulta en la barra de consultas y haga clic en Ejecutar.

    Indicación: todo aquello que se copie fuera del entorno, que se pegue dentro del entorno, se debe pegar primero en el clipboard, que se encuentra en la barra de acción del entorno.

    'Log Source' = 'OCI VCN Flow Logs’ | stats count('Destination IP') by 'Destination IP'

    Se muestra un gráfico circular (según se define por defecto) con registros.

  13. Cambie la visualización a un mapa de árbol seleccionando "Tree map" en el menú de visualización.

    Seleccione "Tree map" en el menú de visualización.

    En esta página puede visualizar la distribución de IP de destino. Guardar como esta búsqueda/widget.

  1. Correlacione datos con otros orígenes de datos mediante la función Enlace no supervisado. Introduzca lo siguiente en la barra de consultas y haga clic en Ejecutar. Vaya a Administración y, en Recursos, haga clic en Cargas. Seleccione y copie (Ctrl-C) el nombre de la carga. Vuelva a Explorador de logs y sustituya la barra de consultas logging-analytics-demo por el nombre de carga que ha copiado (seleccione logging-analytics-demo y pulse Ctrl-V) y, a continuación, haga clic en Ejecutar.

    Indicación: Pulse Ctrl-I en la barra de consulta para formatear la consulta.

    'Upload Name' = 'logging-analytics-demo' and 'Log Source' = 'OCI VCN Flow Logs' 
| eval 'Source Name' = if('Source Port' = 80,
                       HTTP,
                       'Source Port' = 443,
                       HTTPS,
                       'Source Port' = 21,
                       FTP,
                       'Source Port' = 22,
                       SSH,
                       'Source Port' = 137,
                       NetBIOS,
                       'Source Port' = 648,
                       RRP,
                       'Source Port' = 9006,
                       Tomcat,
                       'Source Port' = 9042,
                       Cassandra,
                       'Source Port' = 9060,
                       'Websphere Admin. Console',
                       'Source Port' = 9100,
                       'Network  Printer',
                       'Source Port' = 9200,
                       'Elastic Search',
                       Other) 
 | eval 'Destination Name' = if('Destination Port' = 80,
                            HTTP,
                            'Destination Port' = 443,
                            HTTPS,
                            'Destination Port' = 21,
                            SSH,
                            'Destination Port' = 22,
                            FTP,
                            'Destination Port' = 137,
                            NetBIOS,
                            'Destination Port' = 648,
                            RRP,
                            'Destination Port' = 9006,
                            Tomcat,
                            'Destination Port' = 9042,
                            Cassandra,
                            'Destination Port' = 9060,
                            'Websphere Admin. Console',
                            'Destination Port' = 9100,
                            'Network  Printer',
                            'Destination Port' = 9200,
                            'Elastic Search',
                            Other) 
 | eval Source = 'Source IP' || ':' || 'Source Port' 
 | eval Destination = 'Destination IP' || ':' || 'Destination Port' 
 | link Source,
    Destination 
 | stats avg('Content Size Out') as 'Transfer Size (bytes)',
    unique('Source Name') as 'Traffic From',
    unique('Destination Name') as 'Traffic To' 
 | classify topcount = 300 correlate = -*,
    Source,
    Destination 'Start Time',
    'Traffic From',
    'Transfer Size (bytes)',
    'Traffic To' as Network

    La funcionalidad eval traduce los nombres de puerto a las aplicaciones.

    La última parte de la consulta agrega más campos de evaluación de tiempo de consulta, que crean una fila única para cada origen y destino, y calculan la transferencia media de red entre estos puntos finales. Además, también obtiene un nombre traducido para los puertos de origen y de destino como 'Tráfico desde' y 'Tráfico hasta'.

  2. Vaya a Analizar, haga clic en Crear gráfico y rellene los campos como se muestra a continuación:

  3. Analizar clusters y analizar los puntos de datos especificados, creando el siguiente análisis:

  4. Puede seleccionar diferentes campos para controlar el tamaño y los colores de los elementos del gráfico.

  5. Pase el cursor sobre los elementos para ver información detallada sobre ellos.

  6. Puede hacer clic en los elementos para tener acceso a su contenido.

  7. Guárdelo como widget.

    Navegue hasta Opciones y haga clic en Opciones de Visualización. En la sección "Opciones de panel de control" del panel, desactive todas las opciones y marque solo "Analizar" y "Tabla de datos". Haga clic en Guardar Cambios. A continuación, vaya a Acciones y haga clic en Guardar como para guardar este análisis como widget.

Crear paneles

  1. Navegue hasta Logging Analytics y haga clic en Paneles de control.

  2. Haga clic en Crear.

    Introduzca un nombre de panel de control, el compartimento creado previamente (logging-analytics-demo) y utilice las búsquedas guardadas disponibles como widgets para el panel de control en el lado derecho. Arrastre y suelte un widget en el lienzo. Los paneles se pueden dimensionar y mover en el lienzo. Agregar otros widgets creados anteriormente. El panel de control puede tener un aspecto similar a este:

    O, como esto:

Más información

Para recopilar datos de log continuamente de las entidades locales, puede instalar Management Agents en sus hosts, ubicaciones locales o en una infraestructura en la nube. Consulte los detalles en Uso de Oracle Management Agents.

Para obtener más información sobre las asociaciones de entidad utilizadas para crear relaciones, consulte:

Creación de Entidades

Configurar nueva asociación origen-entidad

Tipos de entidad modelados en Logging Analytics

Para obtener más información técnica, consulte Logging Analytics.

Explore otras prácticas en Oracle Learn o acceda a contenido de aprendizaje más gratuito en el canal YouTube de Oracle Learning. Además, visite Oracle University para convertirse en un explorador de formación de Oracle.

Más recursos de aprendizaje

Explore otras prácticas en docs.oracle.com/learn o acceda a contenido de aprendizaje más gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de formación de Oracle.

Para obtener documentación sobre los productos, visite Oracle Help Center.