Documentation sur Oracle Cloud Infrastructure

Recherche du service de journaux

Utilisez la page Rechercher du service de journalisation pour rechercher dans les journaux.

Le service de journalisation fournit un outil puissant pour effectuer des recherches dans les journaux indexés. Utilisez la console pour effectuer les tâches suivantes :

  • Effectuer des recherches dans les journaux, que ce soit dans une interface utilisateur de base ou en entrant des interrogations personnalisées en mode avancé.
  • Filtrer les valeurs des journaux, que ce soit par champs de journal, recherche de texte ou intervalles de temps, selon les compartiments ou les groupes de journaux sélectionnés.
  • Visualiser les données de journal dans un graphique à barres, ainsi que les données tabulaires associées.
  • Explorer chaque ligne de journal plus en détail. Consulter les données utiles JSON brutes et les informations Avant/après.
  • Exporter les résultats de la recherche dans un fichier JSON.

Les journaux sont indexés par défaut, ce qui permet d'y effectuer des recherches à l'aide de la console.

Note

Pour que les journaux soient disponibles et puissent faire l'objet d'une recherche dans une certaine période, ils doivent d'abord être activés, et vous ne pouvez effectuer des recherches dans les journaux qu'après le début de leur ingestion.

Vous pouvez exécuter des recherches dans les journaux à l'aide des contrôles de filtre du service Mode de base de l'interface ou à l'aide de l'interface de langue d'interrogation personnalisée du service Mode avancé. Pour plus d'informations, voir Interrogations de recherche de base et Interrogations de recherche avancée. Les recherches peuvent également être enregistrées et vous pouvez également rechercher des régions multiples.

Note

Seul un intervalle de 14 jours est disponible lors de l'exécution des interrogations de recherche dans les journaux.

Politique GIA requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel l'accès de sécurité est accordé dans une politique par un administrateur de location. Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur de la location quel type d'accès vous avez et dans quel compartiment votre accès fonctionne.

Administrateurs : Pour des exemples spécifiques de politique, voir Autorisations requises pour effectuer des recherches dans les journaux.

Pour en savoir plus sur les politiques, voir Gestion des domaines d'identité et Politiques communes. Si vous voulez en savoir plus sur l'écriture de politiques pour le service de journalisation, voir Informations détaillées sur le service de journalisation.

Autorisations requises pour effectuer des recherches dans les journaux

Pour effectuer des recherches dans les journaux indexés, un utilisateur doit disposer de l'autorisation read sur le contenu du journal et de l'accès read au groupe de journaux. 

allow group GroupA to read log-groups in tenancy
allow group GroupA to read log-content in tenancy

Pour effectuer des recherches dans les journaux indexés, vous devez avoir accès au groupe qui contient les journaux indexés. Pour plus d'informations, voir Autorisations requises pour utiliser des journaux et des groupes de journaux.

Pour voir les journaux du service de vérification et y effectuer des recherches, vous devez également disposer des autorisations connexes au service de vérification correspondantes. Pour plus d'informations, voir Informations détaillées sur le service de vérification. Par exemple :

  • search "compartment" requiert AUDIT_EVENT_READ et aussi LOG_CONTENT_READ s'il existe des objets de journal.
  • search "compartment/_Audit" requiert seulement AUDIT_EVENT_READ.
  • search "compartmentOcid/logGroupNameOrOcid/logNameOrOcid" requiert uniquement LOG_CONTENT_READ.
  • search "compartmentOcid1/_Audit" "compartmentOcid2/logGroupNameOrOcid/logNameOrOcid" requiert LOG_CONTENT_READ pour logGroupNameOrOcid et AUDIT_EVENT_READ pour compartmentOcid1.

Interrogations de recherche de base

Pour effectuer des recherches dans les journaux et filtrer :

  1. Ouvrez le menu de navigation et sélectionnez Observabilité et gestion. Sous Journalisation, sélectionnez Rechercher.
  2. Dans Filtres personnalisés, vous pouvez commencer à taper pour afficher automatiquement les paramètres de filtre ainsi que les opérateurs. Par exemple, la saisie de d affiche les filtres commençant par cette lettre. Utilisez les flèches vers le haut ou vers le bas pour effectuer une sélection dans la liste ou continuez à taper pour entrer ce que vous voulez filtrer. Par exemple, data.compartmentName='<tenancy_name>'.
  3. Dans Sélectionner les journaux à explorer, le compartiment racine est déjà sélectionné par défaut pour le filtrage. Sélectionnez ce champ pour ouvrir le panneau Sélectionner les journaux à rechercher, où vous pouvez filtrer par les compartiments que vous avez l'autorisation d'utiliser, en plus du filtrage par Groupes de journaux et Journaux. Vous pouvez filtrer par plusieurs compartiments et groupes de journaux. Pour les filtres créés dans ce panneau que vous voulez supprimer, sélectionnez l'icône de filtre X dans le champ Sélectionner les journaux à rechercher.
  4. Vous pouvez limiter les résultats à un intervalle de temps spécifique. Dans Filtrer par période, sélectionnez un intervalle de temps prédéterminé dans la liste ou sélectionnez Personnalisé pour spécifier un intervalle de dates dans les champs Date de début et Date de fin du calendrier. Vous pouvez également spécifier une valeur de temps dans la zone située à côté du calendrier. Utilisez une heure de fin pour préciser la fenêtre de temps.
  5. Les données de journal dans les onglets Explorez et Visualiser sont rechargées en fonction des paramètres de filtre, ou vous pouvez sélectionner Rechercher pour appliquer le filtre.
Note

Comme la page Rechercher s'actualise automatiquement après l'application des filtres et la sélection des journaux, vous n'avez pas besoin de sélectionner le bouton Rechercher lorsque vous sélectionnez des filtres différents. Vous devez toutefois sélectionner de nouveau Rechercher après un certain temps et lorsque de nouveaux journaux sont affichés. Toutefois, lors de l'exécution d'interrogations en mode avancé, vous devez toujours sélectionner ce bouton pour soumettre une interrogation.
Note

Les paramètres de filtre sont conservés lors du passage au mode avancé.

Pour supprimer un filtre de la page Rechercher, sous Filtres, sélectionnez l'icône X à côté du filtre.

Voir Consultation et utilisation des résultats de recherche pour plus d'informations sur les résultats de recherche, et Visualisation des résultats de recherche pour plus d'informations sur la visualisation des recherches en mode de base.

Interrogations de recherche avancée

Lors de l'exécution d'une recherche dans la page Rechercher du service de journalisation, vous pouvez sélectionner Afficher le mode avancé pour entrer vos propres interrogations de recherche dans les journaux personnalisées. En outre, la recherche en mode avancé fournit des options de recherche plus complètes qui ne sont pas disponibles en mode de base.

Par défaut, ce qui suit est affiché dans le champ Interrogation une fois que vous sélectionnez Afficher le mode avancé :

search "ocid1.tenancy.oc1..<unique_id>" | sort by datetime desc

Par exemple, vous pouvez modifier cette recherche par défaut en entrant :

search "ocid1.tenancy.oc1..<unique_id>" | sort by datetime desc
| summarize count() as cnt by rounddown(datetime,  '15m') as interval

Cela retourne {"interval": 1600364700000,"cnt": 31} et {"interval": 1600365600000,"cnt": 220} sous Données de journal dans l'onglet Explorer.

Lors de l'entrée des interrogations de recherche, des conseils remplis automatiquement sont fournis lorsque vous tapez (que vous pouvez sélectionner dans un menu contextuel au fur et à mesure que vous tapez) et la validation de la syntaxe est effectuée en temps réel en arrière-plan lorsque vous entrez une interrogation.

Note

Lorsque vous passez du mode avancé au mode de base, l'interrogation est perdue et n'est pas disponible en mode de base. Un avertissement s'affiche dans ce scénario pour confirmer votre préférence.

La recherche en mode avancé utilise une syntaxe spécifique, à l'aide du langage d'interrogation du service de journalisation, qui est décrit sous Spécification du langage d'interrogation des journaux.

Voir Consultation et utilisation des résultats de recherche pour plus d'informations sur les résultats de recherche, et Visualisation des résultats de recherche pour plus d'informations sur la visualisation des recherches en mode avancé.