Scénario : Analyse des journaux

Envoyer les données de journal à Log Analytics.

Ce scénario comprend la création d'un groupe de journaux et d'un connecteur. Le connecteur (Centre de connecteurs) traite et déplace les données de journal de la journalisation vers le groupe de journaux dans Log Analytics.

Politique GIA requise

Si vous êtes membre du groupe Administrateurs, vous avez déjà l'accès requis pour exécuter ce scénario. Sinon, vous devez accéder à Log Analytics pour créer le groupe de journaux et accéder au centre de connecteurs pour créer le connecteur.

Le flux de travail de création du connecteur inclut une politique par défaut, si nécessaire, afin de fournir l'autorisation d'écriture sur le service cible. Pour en savoir plus sur les politiques, voir Aperçu des politiques IAM.

Configuration pour ce scénario

La configuration est très simple dans la console. Vous pouvez également utiliser l'interface de ligne de commande ou l'API Oracle Cloud Infrastructure, qui vous permettent d'exécuter vous-même les opérations individuelles.

Utilisation de la console

Cette section décrit la création d'un groupe de journaux et d'un connecteur à l'aide de la console.

Pour obtenir de l'aide concernant le dépannage, voir Dépannage des connecteurs.

Tâche 1 : Créer le groupe de journaux

Utilisez Log Analytics pour créer le groupe de journaux. Pour obtenir des instructions, voir Créer des groupes de journaux.

Tâche 2 : Créer le connecteur

Cet exemple montre comment utiliser la console pour créer un connecteur qui envoie les données de journal du service de journalisation au groupe de journaux que vous avez créé à l'aide de Log Analytics . Dans cet exemple, le connecteur filtre le journal de flux VCN.

Ouvrez le menu de navigation et sélectionnez Analyse et intelligence artificielle. Sous Messagerie, sélectionnez Centre de connecteurs.
Sélectionnez le compartiment dans lequel vous souhaitez créer le connecteur de service.
Sélectionnez Créer un connecteur.
Dans la page Créer un connecteur, filtrez le journal de flux VCN vers votre groupe de journaux :
- Entrez un nom de connecteur tel que "Analyse des erreurs de journal de flux VCN".
- Sélectionnez le compartiment de la ressource dans lequel vous voulez stocker le nouveau connecteur.
- Sous Configurer le connecteur, sélectionnez les services source et cible pour le déplacement des données de journal vers le groupe de journaux :
  - Source : Journalisation
  - Cible : Logging Analytics
- Sous Configurer la connexion source, sélectionnez votre journal de flux VCN :
  - Compartiment : Compartiment contenant les données de journal de flux VCN.
  - Groupe de journaux : Groupe de journaux contenant les données de journal de flux VCN.
  - Journaux : Nom de l'objet de journal pour les journaux de flux VCN.
- Sous Configurer la tâche, filtrez les données de journal sur le trafic rejeté :
  - Propriété : data.action
  - Opérateur : =
  - Valeur : REJECT
  Si vous êtes intéressé par le trafic rejeté pour une adresse ou un port particulier, ajoutez un autre filtre. Par exemple, sélectionnez la propriété data.destinationPort ou data.destinationAddress.
- Sous Configurer la connexion cible, entrez le groupe de journaux auquel vous voulez envoyer les données de journal filtrées :
  - Sélectionnez le compartiment contenant le groupe de journaux.
  - Sélectionnez le groupe de journaux (que vous avez créé ).
Si vous êtes invité à créer une politique (obligatoire pour créer ou mettre à jour un connecteur de service), sélectionnez Créer.
Sélectionnez Créer.

Utilisation de l'interface de ligne de commande

Cette section explique comment créer le groupe de journaux et le connecteur à l'aide de l'interface de ligne de commande.

Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.

Créez un groupe de journaux : Ouvrez une invite de commande et exécutez la commande oci log-analytics log-group create :

oci log-analytics log-group create --display-name "<display_name>" --compartment-id <compartment_OCID> --namespace-name "<namespace_name>"

Créez un connecteur : Ouvrez une invite de commande et exécutez la commande oci sch service-connector create :

oci sch service-connector create --display-name "<display_name>" --compartment-id <compartment_OCID> --source [<source_in_JSON>] --tasks [<tasks_in_JSON>] --target [<targets_in_JSON>]

Pour obtenir de l'aide concernant le dépannage, voir Dépannage des connecteurs et Dépannage des avis.

Utilisation de l'API

Cette section décrit la création du groupe de journaux et du connecteur à l'aide de l'API.

Utilisez les opérations suivantes :

CreateLogAnalyticsLogGroup : Créez un groupe de journaux.

Exemple de demande CreateLogAnalyticsLogGroup

post /20200601/namespaces/<namespaceName>/logAnalyticsLogGroups
Host: loganalytics.us-phoenix-1.oci.oraclecloud.com
<authorization and other headers>
{
  "compartmentId": "<compartment_OCID>",
  "displayName": "My Log Group"
}

CreateServiceConnector : Créez un connecteur.

Exemple de demande CreateServiceConnector

POST /20200909/serviceConnectors
Host: service-connector-hub.us-phoenix-1.oraclecloud.com
<authorization and other headers>
{
  "compartmentId": "<compartment_OCID>",
  "description": "My connector description",
  "displayName": "My Connector",
  "source": {
    "kind": "logging",
    "logSources": [
      {
        "compartmentId": "<compartment_OCID>",
        "logGroupId": "<log_group_OCID>",
        "logId": "<log_OCID>"
      }
    ]
  },
  "target": {
    "compartmentId": "<compartment_OCID>",
    "kind": "loggingAnalytics",
    "logGroupId": "<logging_analytics_log_group_OCID>"
  },
  "tasks": [
    {
      "condition": "data.action='REJECT'",
      "kind": "logRule"
    }
  ]
  }
}