Documentation sur Oracle Cloud Infrastructure

Créer une source

Les sources définissent l'emplacement des journaux de votre entité et la façon d'enrichir les entrées de journal. Pour démarrer la collecte continue des journaux au moyen des agents de gestion OCI, une source doit être associée à une ou plusieurs entités.

Note

Pour des étapes plus spécifiques à

Sujets supplémentaires :

  1. Ouvrez le menu de navigation et cliquez sur Observabilité et gestion. Sous Log Analytics, cliquez sur Administration. La page Aperçu de l'administration s'ouvre.

    Les ressources d'administration sont répertoriées dans le volet de navigation de gauche sous Ressources. Cliquez sur Sources.

    La page Sources s'ouvre. Cliquez sur Créer une source.

  2. Dans le champ Nom, entrez le nom de la source.

    Au besoin, ajoutez une description.

  3. Dans la liste Type de source, sélectionnez le type de la source de journaux.
    Oracle Log Analytics prend en charge trois types de source de journaux pour les sources personnalisées :

    • Fichier : Utilisez ce type pour collecter la plupart des types de journaux, tels que les journaux de base de données, d'application et d'infrastructure.

    • Oracle Diagnostic Logging (ODL) : Utilisez ce type pour les journaux qui suivent le format des journaux Oracle Diagnostics. Ils sont généralement utilisés pour les journaux de diagnostic d'Oracle Fusion Middleware et d'Oracle Applications.

    • Module d'écoute Syslog : Il est généralement utilisé pour les appareils de réseau tels que le boîtier de détection d'intrusion, le pare-feu ou un autre appareil où un agent de gestion n'a pas pu être installé.

    • Microsoft Windows : Utilisez ce type pour collecter les messages d'événement Windows. Oracle Log Analytics peut collecter toutes les entrées historiques du journal des événements Windows. Il prend en charge Windows ainsi que les canaux d'événements personnalisés.

      Note

      Ce type de source ne nécessite pas le champ Analyseur de journaux.

    • Base de données : Utilisez ce type de source pour collecter les journaux stockés dans les tables d'une base de données sur place. Avec ce type de source, une interrogation SQL est exécutée périodiquement pour collecter les données de table en tant qu'entrées de journal.

    • API REST : Utilisez ce type de source pour configurer une collecte de journaux continue basée sur une API REST à partir des URL de point d'extrémité qui répondent par des messages de journal. Avec ce type de source, un appel d'API GET ou POST est effectué à l'URL de point d'extrémité que vous fournissez pour obtenir les journaux.

  4. Cliquez sur le champ Type d'entité et sélectionnez le type d'entité pour cette source de journaux. Par la suite, lorsque vous associerez cette source à une entité pour activer la collecte de journaux au moyen de l'agent de gestion, seules les entités de ce type seront disponibles pour association. Une source peut avoir un ou plusieurs types d'entité.

    • Si vous avez sélectionné Fichier, REST API ou Oracle Diagnostic Log (ODL), il est recommandé de sélectionner le type d'entité de votre source de journaux qui correspond le mieux à ce que vous allez surveiller. Évitez de sélectionner des types d'entité composite tels que Grappe de base de données. Sélectionnez plutôt le type d'entité Instance de base de données, car les journaux sont générés au niveau de l'instance.

    • Si vous avez sélectionné le type de source Module d'écoute Syslog, sélectionnez l'une des variantes de Host.

    • Si vous avez sélectionné le type de source Base de données, le type d'entité est limité aux types de base de données admissibles.

    • Si vous avez sélectionné le type de source Événements système Windows, le type d'entité par défaut Host (Windows) est automatiquement sélectionné et ne peut pas être modifié.

  5. Cliquez sur le champ Analyseur et sélectionnez le nom de l'analyseur pertinent, par exemple Format des entrées du journal de vérification de base de données.
    Vous pouvez sélectionner plusieurs analyseurs de fichier pour les fichiers journaux. Cela s'avère particulièrement utile lorsqu'un fichier journal contient des entrées avec une syntaxe différente et ne peut pas être analysé par un seul analyseur.

    L'ordre dans lequel vous ajoutez les analyseurs est important. Lorsqu'Oracle Log Analytics lit un fichier journal, il essaie le premier analyseur et passe au second analyseur si le premier ne fonctionne pas. Cela continue jusqu'à ce qu'un analyseur fonctionnel soit trouvé. Sélectionnez d'abord l'analyseur le plus courant pour cette source.

    Pour le type de source ODL, le seul analyseur disponible est le format Oracle Diagnostic Logging.

    Pour le type de source Syslog, l'une des variantes d'analyseurs telles que le format standard Syslog ou le format RFC5424 Syslog est généralement utilisée. Vous pouvez également sélectionner l'un des analyseurs syslog définis par Oracle pour des appareils de réseau spécifiques.

    Le champ Analyseur de fichiers n'est pas disponible pour les types de source Windows Event System et API REST. Pour le type de source Système d'événements Windows, Oracle Log Analytics extrait des données de journal déjà analysées.

    Pour analyser uniquement les informations temporelles des entrées de journal, vous pouvez sélectionner l'analyseur automatique de temps. Voir Utiliser l'analyseur automatique de temps.

  6. Entrez les informations suivantes en fonction du type de source :

    • Type de source Syslog : Spécifiez le port du module d'écoute.

    • Type de source Windows : Spécifiez un nom de canal de service d'événement. Le nom du canal doit correspondre au nom de l'événement Windows afin que l'agent puisse former l'association pour récupérer les journaux.

    • Type de source de base de données : Spécifiez les énoncés SQL et cliquez sur Configurer. Mappez les colonnes de la table SQL avec les champs disponibles dans le menu. Pour créer un champ pour le mappage, cliquez sur l'icône icône Ajouter.

    • Type de source d'API REST : Cliquez sur Ajouter un point d'extrémité de journal pour fournir une URL de point d'extrémité de journal unique ou sur Ajouter un point d'extrémité de liste de journaux pour plusieurs journaux pour fournir une URL de point d'extrémité de liste de journaux pour plusieurs journaux à partir desquels les journaux peuvent être collectés périodiquement en fonction de la configuration temporelle dans l'interface utilisateur. Pour plus d'informations sur la configuration de la collecte de journaux d'API REST, voir Configurer la collecte de journaux d'API REST.

    • Types de source Fichier et ODL : Utilisez les onglets Inclure et Exclure.

      • Dans l'onglet Modèles inclus, cliquez sur Ajouter pour spécifier les modèles de nom de fichier pour cette source.

        Entrez le modèle de nom de fichier et sa description.

        Vous pouvez entrer des paramètres entre accolades {}, par exemple {AdrHome}, en tant que partie du modèle de nom de fichier. Oracle Log Analytics remplace ces paramètres dans le modèle d'inclusion par les propriétés d'entité lorsque la source est associée à une entité. La liste des paramètres possibles est définie par le type d'entité. Si vous créez vos propres types d'entité, vous pouvez définir vos propres propriétés. Lorsque vous créez une entité, vous êtes invité à indiquer une valeur pour chaque propriété de cette entité. Vous pouvez également ajouter vos propres propriétés personnalisées par entité, si nécessaire. Toutes ces propriétés peuvent être utilisées en tant que paramètres ici dans les modèles inclus.

        Par exemple, pour une entité indiquée où la propriété {AdrHome} a la valeur /u01/oracle/database/, le modèle d'inclusion {AdrHome}/admin/logs/*.log sera remplacé par /u01/oracle/database/admin/logs/*.log pour cette entité spécifique. Chaque autre entité d'un même hôte peut avoir une valeur différente pour {AdrHome}, ce qui entraînerait la collecte d'un jeu de fichiers journaux complètement différent pour chaque entité.

        Vous ne pouvez associer une source à une entité que si les paramètres requis par la source dans les modèles ont une valeur pour l'entité indiquée.

        Vous pouvez configurer des avertissements dans la collecte de journaux pour vos modèles. Dans la liste déroulante Envoyer un avertissement, sélectionnez le cas dans lequel l'avertissement doit être émis :

        • Pour chaque modèle présentant un problème : Lorsque vous avez défini plusieurs modèles d'inclusion, un avertissement de collecte de journaux est envoyé pour chaque modèle de nom de fichier qui ne correspond pas.

        • Seulement si tous les modèles ont des problèmes : Lorsque vous avez défini plusieurs modèles d'inclusion, un avertissement de collecte de journaux ne sera envoyé que si tous les modèles de nom de fichier ne correspondent pas.

      • Vous pouvez utiliser un modèle exclu lorsqu'il existe des fichiers au même emplacement que celui que vous ne souhaitez pas inclure dans la définition de la source. Dans l'onglet Modèles exclus, cliquez sur Ajouter pour définir des modèles de noms de fichier journal qui doivent être exclus de cette source de journaux.

        Par exemple, il existe un fichier portant le nom audit.aud dans le répertoire que vous avez configuré en tant que source d'inclusion (/u01/app/oracle/admin/rdbms/diag/trace/). Dans le même emplacement, il existe un autre fichier portant le nom audit-1.aud. Vous pouvez exclure tous les fichiers ayant le modèle audit-*.aud.

  7. Ajoutez des filtres de données. Voir Utiliser des filtres de données dans les sources.
  8. Ajoutez des champs étendus. Voir Utiliser des champs étendus dans les sources.
  9. Configurez les options d'enrichissement de champ. Voir Configurer les options d'enrichissement de champ.
  10. Ajoutez des étiquettes. Voir Utiliser des étiquettes dans les sources.
  11. Cliquez sur Enregistrer.

Utiliser des filtres de données dans les sources

Oracle Log Analytics permet de masquer les informations sensibles dans les entrées de journal, ainsi que des entrées de journal entières avant de charger les données de journal vers le nuage.

À l'aide de l'onglet Filtres de données, lors de la modification ou de la création d'une source, vous pouvez masquer les adresses IP, l'ID utilisateur, le nom d'hôte et d'autres informations sensibles à l'aide de chaînes de remplacement, supprimer des mots clés et des valeurs spécifiques d'une entrée de journal et masquer également une entrée de journal entière.

Vous pouvez ajouter des filtres de données lors de la création d'une source de journaux ou lors de la modification d'une source existante. Voir Personnaliser une source définie par Oracle pour en savoir plus sur la modification des sources de journaux existantes.

Si les données de journal sont envoyées à Oracle Log Analytics à l'aide du chargement sur demande ou de la collecte à partir du magasin d'objets, le masquage sera effectué du côté du nuage avant l'indexation des données. Si vous collectez des journaux à l'aide de l'agent de gestion, les journaux sont masqués avant que le contenu ne quitte vos locaux.

Rubriques :

Masquage des données de journal

Le processus de masquage consiste à prendre un ensemble de texte existant et à le remplacer par un autre texte statique pour cacher le contenu d'origine.

Pour masquer des informations telles que le nom d'utilisateur et le nom d'hôte à partir des entrées du journal :

  1. Ouvrez le menu de navigation et cliquez sur Observabilité et gestion. Sous Log Analytics, cliquez sur Administration. La page Aperçu de l'administration s'ouvre.

  2. Les ressources d'administration sont répertoriées dans le volet de navigation de gauche sous Ressources. Cliquez sur Sources.

  3. Cliquez sur le nom de la source à modifier. La page des détails de la source s'affiche. Cliquez sur Modifier pour modifier la source.

  4. Cliquez sur l'onglet Filtres de données et cliquez sur Ajouter.

  5. Entrez le nom du masque, sélectionnez Masque comme Type, entrez la valeur Expression Find et la valeur Expression Replace qui lui est associée.

    La valeur Expression Find peut être une recherche en texte brut ou une expression rationnelle standard. Le texte correspondant à l'expression Find est remplacé par l'expression Replace tout au long de l'entrée de journal.

    Nom Expression Find Expression Replace
    nom d'utilisateur du masque User=\S User=confidential
    hôte du masque Host=\S+ Host=mask_host
    Note

    La syntaxe de la chaîne de remplacement doit correspondre à la syntaxe de la chaîne en cours de remplacement. Par exemple, un nombre ne doit pas être remplacé par une chaîne. Une adresse IP dont le format est 123.45.67.89 doit être remplacée par 000.000.000.000 et non par 000.000. Si les syntaxes ne correspondent pas, les analyseurs peuvent s'interrompre.

  6. Cliquez sur Enregistrer.

Lorsque vous consultez les entrées de journal masquées pour cette source de journaux, vous constatez qu'Oracle Log Analytics a masqué les valeurs des champs que vous avez spécifiés.

  • Utilisateur = confidential

  • Hôte = mask_host

Masquage des données de journal par hachage

Lorsque vous masquez les données de journal à l'aide du masque décrit dans la section précédente, les informations masquées sont remplacées par une chaîne statique fournie dans l'expression Replace. Par exemple, lorsque le nom d'utilisateur est masqué par la chaîne confidential, le nom d'utilisateur est toujours remplacé par l'expression confidential dans les enregistrements de journal pour chaque occurrence. En utilisant un masque de hachage, vous pouvez hacher la valeur trouvée avec un hachage unique. Par exemple, si les enregistrements de journal contiennent plusieurs noms d'utilisateur, chaque nom d'utilisateur est haché par une valeur unique. Ainsi, si la chaîne user1 est remplacée par le texte haché ebdkromluceaqie pour chaque occurrence, le hachage peut toujours être utilisé pour identifier que ces entrées de journal sont pour le même utilisateur. Toutefois, le nom d'utilisateur réel ne sera pas visible.

Risque associé : Comme il s'agit d'un hachage, il n'y a aucun moyen de récupérer la valeur réelle du texte original masqué. Cependant, en prenant un hachage de n'importe quelle chaîne, vous arrivez au même hachage à chaque fois. Veillez à prendre en compte ce risque lors du masquage des données de journal. Par exemple, la chaîne oracle contient le hachage md5 de a189c633d9995e11bf8607170ec9a4b8. Chaque fois qu'une personne tente de créer un hachage md5 de la chaîne oracle, il s'agit toujours de la même valeur. Bien que vous ne puissiez pas partir de ce hachage md5 et revenir à la chaîne oracle initiale, si une personne tente de deviner la valeur oracle, et de la hacher à nouveau, elle verra que le hachage correspond à celui de l'entrée de journal.

Pour appliquer le filtre de données de masque de hachage sur les données de journal :

  1. Allez à la page Créer une source. Pour les étapes, voir Créer une source.

  2. Vous pouvez également modifier une source qui existe déjà. Pour savoir comment ouvrir une page Modifier la source, voir Modifier la source.

  3. Cliquez sur l'onglet Filtres de données et cliquez sur Ajouter.

  4. Entrez le nom du masque, sélectionnez Masque de hachage comme Type, entrez la valeur Expression Find et la valeur Expression Replace qui lui est associée.

    Nom Expression Find Expression Replace
    Nom d'utilisateur du masquage User=(\S+)s+ Hachage de texte
    Port de masquage Port=(\d+)s+ Hachage numérique

  5. Cliquez sur Enregistrer.

Si vous voulez utiliser un masque de hachage sur un champ basé sur une chaîne, vous pouvez utiliser le hachage de texte ou le hachage numérique en tant que champ de chaîne. Toutefois, si votre champ de données contient une valeur numérique, telle qu'un nombre entier, long ou à virgule flottante, vous devez utiliser le hachage numérique. Si vous n'utilisez pas de hachage numérique, le texte de remplacement entraînera la rupture de vos expressions rationnelles qui dépendent du fait que cette valeur soit un nombre. La valeur ne sera pas non plus stockée.

Ce remplacement se produit avant l'analyse des données. En général, lorsque les données doivent être masquées, il n'est pas évident qu'elles soient toujours numériques. Vous devez donc choisir le type de hachage lors de la création de la définition du masque.

À la suite de l'exemple de masquage de hachage ci-dessus, chaque nom d'utilisateur est remplacé par un hachage de texte unique, et chaque numéro de port est remplacé par un hachage numérique unique.

Vous pouvez utiliser le masque de hachage lors du filtrage ou de l'analyse des données de journal. Voir Filtrer les journaux par masque de hachage.

Suppression de mots clés ou de valeurs spécifiques de vos enregistrements de journal

Oracle Log Analytics vous permet de rechercher un mot clé ou une valeur spécifique dans les enregistrements de journal et de supprimer le mot clé ou la valeur correspondant si ce mot clé existe dans les enregistrements de journal.

Prenons l'enregistrement de journal suivant :

ns5xt_119131: NetScreen device_id=ns5xt_119131  [Root]system-notification-00257(traffic): start_time="2017-02-07 05:00:03" duration=4 policy_id=2 service=smtp proto=6 src zone=Untrust dst zone=mail_servers action=Permit sent=756 rcvd=756 src=192.0.2.1 dst=203.0.113.1 src_port=44796 dst_port=25 src-xlated ip=192.0.2.1 port=44796 dst-xlated ip=203.0.113.1 port=25 session_id=18738

Si vous voulez masquer le mot clé device_id et sa valeur dans l'enregistrement de journal :

  1. Ouvrez le menu de navigation et cliquez sur Observabilité et gestion. Sous Log Analytics, cliquez sur Administration. La page Aperçu de l'administration s'ouvre.

  2. Les ressources d'administration sont répertoriées dans le volet de navigation de gauche sous Ressources. Cliquez sur Sources.

  3. Cliquez sur le nom de la source à modifier. La page des détails de la source s'affiche. Cliquez sur Modifier pour modifier la source.

  4. Cliquez sur l'onglet Filtres de données et cliquez sur Ajouter.

  5. Entrez le nom du filtre, sélectionnez Supprimer la chaîne comme Type et entrez device_id=\S* pour la valeur Expression Find.

  6. Cliquez sur Enregistrer.

Lorsque vous consultez les enregistrements de journal pour cette source, vous pouvez voir qu'Oracle Log Analytics a supprimé les mots clés ou les valeurs que vous avez spécifiés.

Note

Assurez-vous que l'expression rationnelle de l'analyseur correspond au modèle d'enregistrement de journal, sinon Oracle Log Analytics risque de ne pas analyser les enregistrements correctement après avoir supprimé le mot clé.

Note

Outre l'ajout de filtres de données lors de la création d'une source, vous pouvez également modifier une source existante pour ajouter des filtres de données. Voir Personnaliser une source définie par Oracle pour en savoir plus sur la modification des sources existantes.

Suppression d'une entrée de journal complète en fonction de mots clés spécifiques

Oracle Log Analytics vous permet de rechercher un mot clé ou une valeur spécifique dans les enregistrements de journal et de supprimer une entrée de journal entière dans un enregistrement de journal si ce mot clé existe.

Prenons l'enregistrement de journal suivant :

ns5xt_119131: NetScreen device_id=ns5xt_119131  [Root]system-notification-00257(traffic): start_time="2017-02-07 05:00:03" duration=4 policy_id=2 service=smtp proto=6 src zone=Untrust dst zone=mail_servers action=Permit sent=756 rcvd=756 src=198.51.100.1 dst=203.0.113.254 src_port=44796 dst_port=25 src-xlated ip=198.51.100.1 port=44796 dst-xlated ip=203.0.113.254 port=25 session_id=18738

Supposons que vous souhaitiez supprimer toute l'entrée de journal si le mot clé device_id y figure :

  1. Ouvrez le menu de navigation et cliquez sur Observabilité et gestion. Sous Log Analytics, cliquez sur Administration. La page Aperçu de l'administration s'ouvre.

  2. Les ressources d'administration sont répertoriées dans le volet de navigation de gauche sous Ressources. Cliquez sur Sources.

  3. Cliquez sur le nom de la source à modifier. La page des détails de la source s'affiche. Cliquez sur Modifier pour modifier la source.

  4. Cliquez sur l'onglet Filtres de données et cliquez sur Ajouter.

  5. Entrez le nom du filtre, sélectionnez Supprimer l'entrée de journal comme Type et entrez .*device_id=.* pour la valeur Expression Find.

    Il est important que l'expression rationnelle corresponde à l'intégralité de l'entrée de journal. L'utilisation de .* devant et à la fin de l'expression rationnelle garantit qu'elle correspond à tout autre texte de l'entrée de journal.

  6. Cliquez sur Enregistrer.

Lorsque vous consultez les entrées de journal pour cette source de journaux, vous pouvez voir qu'Oracle Log Analytics a supprimé toutes les entrées de journal qui contiennent la chaîne device_id.

Note

Outre l'ajout de filtres de données lors de la création d'une source, vous pouvez également modifier une source existante pour ajouter des filtres de données. Voir Personnaliser une source définie par Oracle pour en savoir plus sur la modification des sources existantes.

Utiliser des champs étendus dans les sources

La fonction de champs étendus d'Oracle Log Analytics vous permet d'extraire des champs supplémentaires d'un enregistrement de journal en plus des champs analysés par l'analyseur.

Dans la définition de la source, un analyseur est choisi pour fractionner un fichier journal en enregistrements de journal et chaque enregistrement de journal en un jeu de champs de base. Ces champs de base doivent être cohérents dans tous les enregistrements de journal. Un analyseur de base extrait les champs communs d'un enregistrement de journal. Toutefois, si vous devez extraire des champs supplémentaires du contenu des enregistrements de journal, vous pouvez utiliser la définition des champs étendus. Par exemple, l'analyseur peut être défini de sorte que tout le texte à la fin des champs communs d'un enregistrement de journal soit analysé et stocké dans un champ nommé Message.

Lorsque vous recherchez des journaux à l'aide de la source mise à jour, les valeurs des champs étendus sont affichées avec les champs extraits par l'analyseur de base.

Note

Pour ajouter le groupe de journaux comme champ d'entrée, indiquez son OCID pour la valeur au lieu du nom.

  1. Ouvrez le menu de navigation et cliquez sur Observabilité et gestion. Sous Log Analytics, cliquez sur Administration. La page Aperçu de l'administration s'ouvre.

    Les ressources d'administration sont répertoriées dans le volet de navigation de gauche sous Ressources. Cliquez sur Sources.

  2. Cliquez sur le nom de la source à modifier. La page des détails de la source s'affiche. Cliquez sur Modifier pour modifier la source.
  3. Cliquez sur l'onglet Champs étendus, puis sur Ajouter.
  4. Une condition peut être spécifiée afin que l'extraction de champ ne puisse avoir lieu que si l'enregistrement de journal évalué correspond à une condition prédéfinie. Pour ajouter une condition au champ étendu, développez la section Conditions.
    • Réutiliser la condition existante : Si nécessaire, pour réutiliser une condition déjà définie pour la source de journaux, sélectionnez le bouton radio Réutiliser la condition existante et sélectionnez la condition précédemment définie dans le menu Condition.
    • Créer une nouvelle condition : Activez ce bouton si vous voulez définir une nouvelle condition. Spécifiez le champ de condition, l'opérateur et la valeur.

      Par exemple, la définition de champ étendu qui extrait la valeur du champ Security Resource Name (Nom de la ressource de sécurité) de la valeur du champ Message seulement si le champ Service contient l'une des valeurs suivantes : NetworkManager, dhclient ou dhcpd se présente comme suit :

      • Champ de base : Message
      • Exemple de contenu de champ de base : DHCPDISCOVER from b8:6b:23:b5:c1:bd (HOST1-LAP) via eth0
      • Expression Extract : ^DHCPDISCOVER\s+from\s+{Security Resource Name:\S+}\s+.+

      La condition de cette définition de champ étendu doit être définie comme suit :

      • Champ de condition : service
      • Opérateur de condition : IN
      • Valeur de condition : NetworkManager,dhclient,dhcpd

      Dans l'exemple ci-dessus, la valeur extraite du champ Security Resource Name est b8:6b:23:b5:c1:bd.

      Pour fournir plusieurs valeurs pour le champ Valeur de condition, appuyez sur Entrée pour chaque valeur.

    En ajoutant une condition, vous pouvez réduire le traitement de l'expression rationnelle sur un enregistrement de journal qui n'a probablement pas la valeur que vous essayez d'extraire. Cela permet de réduire efficacement le temps de traitement et le délai de disponibilité des enregistrements de journal dans l'explorateur de journaux.

  5. Sélectionnez le champ de base dans lequel la valeur est celle que vous souhaitez extraire plus loin dans les champs.

    Les champs affichés dans le champ de base sont ceux qui sont analysés à partir de l'analyseur de base et certains champs par défaut alimentés par la collecte de journaux comme entité de journal (nom du fichier, table de base de données ou autre emplacement d'origine d'où provient l'enregistrement de journal) et Contenu de journal initial.

  6. Entrez un exemple de valeur commune pour le champ de base que vous avez choisi d'extraire dans des champs supplémentaires dans l'espace Exemple de contenu de champ de base. Cela est utilisé pendant la phase de test pour montrer que la définition de champ étendu fonctionne correctement.
  7. Entrez l'expression d'extraction dans le champ Expression d'extraction et cochez la case Activé.

    Une expression d'extraction suit la syntaxe normale de l'expression rationnelle, sauf que pour spécifier l'élément d'extraction, vous devez utiliser une macro indiquée par des accolades { et }. Il y a deux valeurs à l'intérieur des accolades séparés par un deux-points (:). La première valeur entre accolades est le champ dans lequel stocker les données extraites. La deuxième valeur est l'expression rationnelle qui doit correspondre à la valeur à saisir à partir du champ de base.

    Pour inclure plusieurs champs dans le bloc d'expression d'extraction, assurez-vous qu'ils sont séparés par une virgule (,). Dans l'exemple suivant, la même valeur est affectée aux champs étendus eventcount, readycount et resultcnt. 

    Tx\\s+Msg[:]{eventcount,readycount,resultcnt:\\d+}

    La virgule (,) est le seul séparateur que vous pouvez utiliser entre plusieurs champs ajoutés dans l'expression d'extraction.

    Note

    Lorsque vous souhaitez extraire plusieurs valeurs d'un champ à l'aide des champs étendus :

    1. Créez d'abord un champ pour le contenu du journal qui peut avoir plusieurs valeurs pour un champ, par exemple Error IDs. Voir Créer un champ.

    2. Dans la boîte de dialogue Ajouter une définition de champ étendu, pour le champ de base, sélectionnez un champ de base qui est extrait d'un analyseur et qui contient des données à valeurs multiples, par exemple Message, Original Log Content.

    3. Entrez Exemple de contenu de champ de base qui contient plusieurs valeurs d'un champ à extraire.

    4. Sous Expression d'extraction, fournissez l'expression rationnelle pour extraire chaque valeur du champ. Cliquez sur Ajouter.


    EFD pour les valeurs multiples d'un champ

  8. Cliquez sur Tester la définition pour valider que l'expression Extract peut extraire les champs voulus du contenu de l'exemple de champ de base que vous avez fourni. En cas de réussite de la correspondance, le nombre d'étapes s'affiche, ce qui constitue une bonne mesure de l'efficacité de l'expression Extract. Si l'expression est inefficace, l'extraction peut expirer et le champ ne sera pas alimenté.
    Note

    Il est préférable de garder le nombre d'étapes inférieur à 1 000 pour une performance optimale. Plus ce nombre est élevé, plus le traitement de vos journaux et leur mise à disposition dans l'explorateur de journaux seront longs.
  9. Cliquez sur Enregistrer.

Si vous utilisez l'option Analyser automatiquement seulement le temps dans votre définition de source au lieu de créer un analyseur, le seul champ disponible pour la création de définitions de champ étendu sera le champ Contenu de journal initial, car aucun autre champ ne sera alimenté par l'analyseur. Voir Utiliser l'analyseur automatique de temps.

Oracle Log Analytics vous permet de rechercher les champs étendus voulus. Vous pouvez effectuer une recherche en fonction de la façon dont elle a été créée, du type de champ de base ou d'un exemple de contenu du champ. Entrez l'exemple de contenu dans le champ Rechercher ou cliquez sur la flèche vers le bas pour accéder à la boîte de dialogue de recherche. Dans la boîte de dialogue de recherche, sous Type de création, sélectionnez si les champs étendus que vous recherchez sont définis par Oracle ou définis par l'utilisateur. Sous Champ de base, vous pouvez effectuer une sélection parmi les options disponibles. Vous pouvez également indiquer l'exemple de contenu ou l'expression de champs d'extraction qui peut être utilisée pour la recherche. Cliquez sur Appliquer les filtres.

Tableau 9-1 : Exemple de contenu et d'expression d'extraction de champs étendus

Description Champ de base Exemple de contenu Expression d'extraction de champs étendus
Pour extraire l'extension du fichier de point d'extrémité du champ URI d'un fichier journal d'accès Fusion Middleware

URI

/service/myservice1/endpoint/file1.jpg

{Content Type:\.(jpg|html|png|ico|jsp|htm|jspx)}

Cette action extrait le suffixe du fichier, tel que jpg ou html, et stocke la valeur dans le champ Type de contenu. Seuls les suffixes répertoriés dans l'expression seront extraits.

Pour extraire le nom d'utilisateur du chemin d'accès au fichier d'une entité de journal

Log Entity

/u01/oracle/john/audit/134fa.xml

/\w+/\w+/{User Name:\w+}/\w+/\w+

Pour extraire l'heure de début du champ Message

Note : L'heure de début de l'événement est un champ de type de données Horodatage. S'il s'agissait d'un champ de type de données Numérique, l'heure de début serait stockée simplement sous forme de nombre, et non sous forme d'horodatage.

Message

Backup transaction finished. Start=1542111920

Start={Event Start Time:\d+}

Source : /var/log/messages

Nom de l'analyseur : Linux Syslog Format

Message

authenticated mount request from 10.245.251.222:735 for /scratch (/scratch)

authenticated {Action:\w+} request from {Address:[\d\.]+}:{Port:\d+} for {Directory:\S+}\s(

Source : /var/log/yum.log

Nom de l'analyseur : Yum Format

Message

Updated: kernel-headers-2.6.18-371.0.0.0.1.el5.x86_64

{Action:\w+}: {Package:.*}

Source : Database Alert Log

Nom de l'analyseur : Database Alert Log Format (Oracle DB 11.1+)

Message

Errors in file /scratch/cs113/db12101/diag/rdbms/pteintg/pteintg/trace/pteintg_smon_3088.trc (incident=4921): ORA-07445: exception encountered: core dump [semtimedop()+10] [SIGSEGV] [ADDR:0x16F9E00000B1C] [PC:0x7FC6DF02421A] [unknown code] []

Errors in file {Trace File:\S+} (incident={Incident:\d+}): {Error ID:ORA-\d+}: exception encountered: core dump [semtimedop()+10] [SIGSEGV] [ADDR:{Address:[\w\d]+] [PC:{Program Counter:[\w\d]+}] [unknown code] []

Source : FMW WLS Server Log

Nom de l'analyseur : WLS Server Log Format

Message

Server state changed to STARTING

Server state changed to {Status:\w+}

Configurer les options d'enrichissement de champ

Oracle Log Analytics vous permet de configurer les options d'enrichissement de champ pour pouvoir extraire et afficher des informations pertinentes à partir des données de vos champs étendus.

L'une des options d'enrichissement de champ est Géolocalisation, qui convertit les adresses IP ou les coordonnées d'emplacement présentes dans les enregistrements de journal en un pays ou un code de pays. Cela peut être utilisé dans des sources de journaux telles que les journaux d'accès Web ayant des adresses IP de client externe.

À l'aide de l'option d'enrichissement de champ de consultation, vous pouvez mettre en correspondance des combinaisons champ-valeur des journaux avec une table de consultation externe.

Incluez des informations supplémentaires dans vos entrées de journal à l'aide de l'option Champs supplémentaires. Ces informations sont ajoutées à chaque entrée de journal lors du traitement.

Pour remplacer une chaîne/expression dans un champ par une expression alternative et stocker le résultat dans un champ de sortie, utilisez l'option Substitution (Substitution).

Note

  • Pour une source, vous pouvez définir un maximum de trois enrichissements de champ, chacun de type différent.

  • Pour ajouter le groupe de journaux comme champ d'entrée, indiquez son OCID pour la valeur au lieu du nom.

Rubriques :

Utiliser les consultations lors de l'ingestion dans la source

Oracle Log Analytics vous permet d'enrichir les données des journaux avec des combinaisons champ-valeur supplémentaires à partir des consultations en configurant l'option Lookup Field Enrichment (Rechercher l'enrichissement de champ) dans la source. Oracle Log Analytics met en correspondance la valeur du champ spécifié avec une table de consultation externe et, s'il y a correspondance, ajoute d'autres combinaisons champ-valeur de l'enregistrement de consultation correspondant aux données de journal. Voir Gérer les consultations.

Vous pouvez ajouter des données à partir de plusieurs consultations en configurant plusieurs fois l'option Enrichissement de champ de consultation. L'enrichissement de champ de consultation est traité dans le même ordre que celui de sa création. Ainsi, si vous avez des consultations connexes où les clés se chevauchent et que vous aidez à ajouter d'autres enrichissements avec le traitement de chaque consultation, assurez-vous d'inclure les clés qui se chevauchent dans les sélections d'entrée et de sortie de la définition Enrichissement de champ de consultation. Pour un exemple d'utilisation de plusieurs consultations connexes pour enrichir les données de journal, voir Exemple d'ajout de plusieurs enrichissements de champ de consultation.

Étapes d'ajout d'un enrichissement de champ de consultation

  1. Ouvrez le menu de navigation et cliquez sur Observabilité et gestion. Sous Log Analytics, cliquez sur Administration. La page Aperçu de l'administration s'ouvre.

    Les ressources d'administration sont répertoriées dans le volet de navigation de gauche sous Ressources. Cliquez sur Sources.

    La page Sources s'ouvre. Cliquez sur Créer une source.

    Vous pouvez également cliquer sur l'icône de menu Actions Icône d'actions à côté de l'entrée source à modifier et sélectionner Modifier. La page Modifier la source s'affiche.

    Note

    Assurez-vous qu'un analyseur est sélectionné dans la page de définition de la source pour que le bouton Ajouter soit activé pour l'enrichissement de champ.

  2. Cliquez sur l'onglet Enrichissement de champ, puis sur Ajouter.

    La boîte de dialogue Ajouter un enrichissement de champ s'ouvre.

  3. Dans la boîte de dialogue Ajouter un enrichissement de champ,

    1. Sélectionnez le compartiment où se trouve la consultation.
    2. Sélectionnez Consultation comme Fonction.
    3. Sélectionnez le nom de la table de consultation dans le menu déroulant.
    4. Sous Champs d'entrée, sélectionnez Colonne de table de consultation et le champ de source de journaux auquel elle doit être mappée. Ceci permet de mapper la clé de la table de consultation à un champ alimenté par votre analyseur dans le champ de source de journaux. Par exemple, la colonne errid de la table de consultation peut être mappée au champ Error ID des journaux.

      La liste des champs d'entrée dans Champ de source de journaux sera limitée aux champs alimentés par votre source de journaux.

    5. Sous Actions, sélectionnez le nouveau champ de source de journaux et la valeur de champ dans la colonne de la table de consultation à laquelle il doit être mappé. Lorsqu'un enregistrement correspondant est trouvé dans la table de consultation spécifiée en fonction du mappage d'entrée ci-dessus, le champ de sortie spécifié dans le champ de source de journaux est ajouté au journal avec la valeur de la colonne de consultation de sortie spécifiée dans valeur de champ. Par exemple, la colonne erraction de la table de consultation peut être mappée au champ Action.

      Facultativement, cliquez sur + Autre élément pour mapper d'autres champs de sortie.

    6. Cliquez sur Ajouter un enrichissement de champ.

    La consultation est maintenant ajoutée à la table d'enrichissement de champ.

  4. Laissez la case Activé cochée.

  5. Pour ajouter d'autres consultations, répétez les étapes 3 et 4.

Lorsque vous affichez les enregistrements de journal de la source de journaux pour laquelle vous avez créé l'enrichissement de champ de consultation lors de l'ingestion, vous pouvez voir que le champ de sortie affiche des valeurs qui sont alimentées par rapport aux entrées de journal en raison de la référence de table de consultation que vous avez utilisée pour créer l'enrichissement de champ. Voir Gérer les consultations.

Exemple d'ajout d'enrichissements de champs de consultation multiples

Vous pouvez ajouter jusqu'à trois enrichissements de champ de consultation à une source. Les consultations individuelles peuvent ou non être liées les unes aux autres.

L'exemple suivant illustre comment configurer trois consultations connexes de sorte que les données du journal puissent être enrichies avec les informations des trois consultations. Tenez compte des trois consultations connexes suivantes qui contiennent des informations sur plusieurs hôtes :

Lookup1: SystemConfigLookup

Numéro de série Fabricant Système d'exploitation Mémoire Type de processeur Lecteur de disque ID hôte
N° SÉRIE 01 Manuf1 OS1 256TB Proc1 Disque dur 1,001
N° SÉRIE 02 Manuf2 OS2 7.5TB Proc3 Disque SSD 1,002
N° SÉRIE 03 Manuf2 OS3 16TB Proc2 Disque SSD 1,003
N° SÉRIE 04 Manuf3 OS1 512TB Proc5 Disque dur 1,004
N° SÉRIE 05 Manuf1 OS1 128TB Proc4 Disque dur 1,001

Lookup2: GeneralHostConfigLookup

ID hôte Responsable de l'hôte Emplacement de l'hôte Description de l'hôte Adresse IP de l'hôte
1,001 Jack San Francisco Description de Jack host 192.0.2.76
1,002 Alexis Denver Description de l'hôte Alexis 203.0.113.58
1,003 Jean Seattle Description de l'hôte John 198.51.100.11
1,004 Jane San Jose Description de Jane host 198.51.100.164

Lookup3: NetworkConfigLookup

Adresse IP Masque de sous-réseau Gateway Serveur DNS
192.0.2.76 255.255.255.252 192.0.2.1 Serveur récursif
203.0.113.58 255.255.255.0 203.0.113.1 Serveur faisant autorité
198.51.100.11 255.255.255.224 198.51.100.1 Serveur racine
198.51.100.164 255.255.255.192 198.51.100.1 Serveur récursif

Entre les consultations Lookup1 et Lookup2, Host ID est la clé commune qui peut être sélectionnée comme sortie dans le premier enrichissement de champ de consultation et comme entrée dans le deuxième enrichissement de champ de consultation. De même, entre les consultations Lookup2 et Lookup3, IP Address est la clé commune qui peut être sélectionnée comme sortie dans le premier enrichissement de champ de consultation et comme entrée dans le deuxième enrichissement de champ de consultation.

Avec le paramètre ci-dessus, laissez les enrichissements de champ de consultation être configurés dans l'ordre 1, 2 et 3 :

Enrichissement de champ de consultation Nom de table de consultation Champs d'entrée Actions
1 SystemConfigLookup
  • Champ de source de journaux : Serial Number
  • Colonne de table de consultation : Serial Number
  • Nouveau champ de source de journaux 1 : Operating System
  • Valeur du champ 1 : Operating System
  • Champ 2 de la nouvelle source de journaux : Memory
  • Valeur du champ 2 : Memory
  • Nouveau champ de source de journaux 3 : Host ID
  • Valeur du champ 3 : Host ID
2 GeneralHostConfigLookup
  • Champ de source de journaux : Host ID
  • Colonne de table de consultation : Host ID
  • Nouveau champ de source de journaux 1 : Host Owner
  • Valeur du champ 1 : Host Owner
  • Nouveau champ de source de journaux 2 : Host IP Address
  • Valeur du champ 2 : Host IP Address
3 NetworkConfigLookup
  • Champ de source de journaux : Host IP Address
  • Colonne de table de consultation : IP Address
  • Champ de nouvelle source de journaux 1 : Gateway
  • Valeur du champ 1 : Gateway
  • Nouveau champ de source de journaux 2 : DNS Server
  • Valeur du champ 2 : DNS Server

Une fois la configuration d'enrichissement ci-dessus terminée, lorsque le champ Serial Number est détecté dans les données de journal, il est enrichi davantage avec Operating System, Memory, Host ID, Host Owner, Host IP Address, Gateway et DNS Server à partir des trois consultations. So, for the serial number SER-NUM-01 detected in the log, it is enriched with additional information OS1, 256TB, 1001, Jack, 192.0.2.76, 192.0.2.1, and Recursive server.

Utiliser le champ de géolocalisation pour regrouper les journaux

Après avoir configuré l'enrichissement de champ Géolocalisation, vous pouvez voir les enregistrements de journal regroupés par pays ou code de pays. Cela est utile lorsque vous analysez des journaux contenant des informations d'emplacement cruciales telles que l'adresse IP ou les coordonnées d'emplacement, par exemple des journaux d'accès, des journaux de suivi ou des journaux de transport d'application.

  1. Ouvrez le menu de navigation et cliquez sur Observabilité et gestion. Sous Log Analytics, cliquez sur Administration. La page Aperçu de l'administration s'ouvre.

    Les ressources d'administration sont répertoriées dans le volet de navigation de gauche sous Ressources. Cliquez sur Sources.

    La page Sources s'ouvre. Cliquez sur Créer une source.

    Vous pouvez également cliquer sur l'icône de menu Actions Icône d'actions à côté de l'entrée source à modifier et sélectionner Modifier. La page Modifier la source s'affiche.

  2. Ajoutez la définition des champs étendus pour le champ de base qui contient l'adresse IP propre au pays ou les enregistrements de noms d'hôte, tels que l'adresse IP de l'hôte.
  3. Cliquez sur l'onglet Enrichissement de champ, puis sur Ajouter.
  4. Dans la boîte de dialogue Ajouter un enrichissement de champ, sélectionnez Géolocalisation comme Fonction.
  5. Sous la section Champs d'entrée, sélectionnez Champ IP qui est le nom du champ de gélocalisation extrait par l'analyseur des journaux, par exemple Client Coordinates ou Host IP Address (Client).

    Pour détecter les menaces à l'aide des informations de géolocalisation, cochez la case Enrichissement des informations sur les menaces. Lors de l'ingestion des données de journal, si la valeur d'adresse IP associée au champ d'entrée Adresse source dans le contenu du journal est marquée comme menace, elle est ajoutée au champ Adresses IP de menace. Vous pouvez ensuite utiliser ce champ pour filtrer les journaux auxquels une menace est associée. En outre, ces enregistrements de journal auront également une étiquette Adresse IP de menace avec une priorité de problème Élevée. Vous pouvez utiliser l'étiquette dans votre recherche.

    Les enregistrements de journal dont la priorité de problème est Élevée ont un point rouge dans la rangée. Cela rend ces enregistrements de journal plus importants dans leur apparence dans la table, ce qui vous permet de les repérer et de les analyser facilement. Vous pouvez ensuite ouvrir les adresses IP de menace dans la console Oracle Threat Intelligence et obtenir plus d'informations sur la menace.

  6. Cliquez sur Ajouter.

Ajouter d'autres données à vos entrées de journal lors du traitement

Vous pouvez inclure des informations supplémentaires dans chacune de vos entrées en tant que métadonnées supplémentaires. Ces informations ne font pas partie de l'entrée de journal, mais sont ajoutées lors du traitement, par exemple, ID conteneur, Noeud. Pour un exemple d'ajout de métadonnées lors du chargement de journaux sur demande, voir Charger des journaux sur demande.

Les informations ainsi ajoutées peuvent ne pas être directement visibles dans l'explorateur de journaux. Effectuez les étapes suivantes pour le rendre visible dans l'explorateur de journaux pour votre analyse de journaux :

  1. Ouvrez le menu de navigation et cliquez sur Observabilité et gestion. Sous Log Analytics, cliquez sur Administration. La page Aperçu de l'administration s'ouvre.

    Les ressources d'administration sont répertoriées dans le volet de navigation de gauche sous Ressources. Cliquez sur Sources.

    La page Sources s'ouvre. Click the Actions menu icon Icône d'actions next to the source entry that you want to edit and select Edit. La page Modifier la source s'affiche.

    Note

    Assurez-vous qu'un analyseur est sélectionné dans la page de définition de la source pour que le bouton Ajouter soit activé pour l'enrichissement de champ.

  2. Cliquez sur l'onglet Enrichissement de champ, puis sur Ajouter.

    La boîte de dialogue Ajouter un enrichissement de champ s'ouvre.

  3. Dans la boîte de dialogue Ajouter un enrichissement de champ,

    1. Sélectionnez Champs supplémentaires comme Fonction.
    2. Sous Mapper les champs, sélectionnez les champs à mapper à la source. Les champs sélectionnés dans les analyseurs associés à cette source ne sont pas disponibles ici.
    3. Cliquez sur Ajouter.

Une fois que vous avez spécifié les champs supplémentaires, ils sont visibles dans l'explorateur de journaux pour l'analyse des journaux. Ils peuvent également être sélectionnés lors de la configuration des champs étendus ou des étiquettes pour les sources.

Utiliser la fonction de substitution pour remplacer une expression dans un champ

Lors du traitement du journal, si vous souhaitez remplacer une partie de la valeur du champ par une chaîne ou une expression alternative, utilisez la fonction de substitution et stockez l'expression résultante du champ dans un autre champ de sortie.

Prenons le scénario dans lequel vous voulez saisir tous les enregistrements de journal ayant le champ URI avec le contenu du format http://www.example.com/forum/books?<ISBN>, et la valeur ISBN varie avec chaque enregistrement de journal. Dans ce cas, vous pouvez remplacer la valeur RNIS dans le champ de chaque enregistrement de journal par une chaîne allExampleBooks et la stocker dans un champ modified_URI. Par conséquent, tous les enregistrements de journal saisis avec URI dans le format ci-dessus auront également le champ modified_URI avec la valeur http://www.example.com/forum/books?allExampleBooks. Vous pouvez maintenant utiliser le champ modified_URI dans votre interrogation de recherche pour filtrer ces journaux aux fins d'analyse plus approfondie dans l'explorateur de journaux.

De plus, utilisez l'option Remplacer toutes les correspondances pour remplacer toutes les occurrences de la valeur du champ. Par exemple, si le champ Original log content comporte plusieurs occurrences d'adresse IP à remplacer par une chaîne, vous pouvez utiliser cette option. Le résultat peut être enregistré dans un champ, par exemple Altered log content. Vous pouvez maintenant utiliser le champ Altered log content dans l'interrogation pour filtrer tous les enregistrements de journal ayant des adresses IP dans le champ Original log content.

  1. Ouvrez le menu de navigation et cliquez sur Observabilité et gestion. Sous Log Analytics, cliquez sur Administration. La page Aperçu de l'administration s'ouvre.

    Les ressources d'administration sont répertoriées dans le volet de navigation de gauche sous Ressources. Cliquez sur Sources.

    La page Sources s'ouvre. Cliquez sur Créer une source.

    Vous pouvez également cliquer sur l'icône de menu Actions Icône d'actions à côté de l'entrée source à modifier et sélectionner Modifier. La page Modifier la source s'affiche.

  2. Entrez un nom pour la source, une description appropriée et sélectionnez le type de source. Sélectionnez un analyseur à utiliser pour analyser les journaux. Ces sélections détermineront les champs disponibles pour l'enrichissement des champs.

  3. Cliquez sur l'onglet Enrichissement de champ, puis sur Ajouter un enrichissement de champ.

  4. Dans la boîte de dialogue Ajouter un enrichissement de champ, sélectionnez Substitution en tant que Fonction.

  5. Dans la section Champs d'entrée :

    1. Sélectionnez le champ Source de journaux contenant des valeurs à remplacer, par exemple URI.

    2. Sous Expression à mettre en correspondance, fournissez l'expression d'expression rationnelle à mettre en correspondance pour la chaîne du champ qui doit être remplacée.

    3. Spécifiez la chaîne/expression de remplacement qui doit être remplacée à la place de la valeur initiale du champ d'entrée.

    4. Si le champ contient plusieurs occurrences de la chaîne à remplacer, cochez la case Remplacer toutes les correspondances.

  6. Sous la section Champ de sortie, sélectionnez le champ qui doit stocker la nouvelle valeur du champ d'entrée après le remplacement de la valeur initiale par la valeur de substitution.

  7. Cliquez sur Ajouter un enrichissement de champ.

Utiliser des étiquettes dans les sources

Oracle Log Analytics vous permet d'ajouter des étiquettes ou des marqueurs aux enregistrements de journal, en fonction de conditions définies.

Lorsqu'une entrée de journal correspond à la condition que vous avez définie, une étiquette est alimentée avec cette entrée de journal. Cette étiquette est disponible dans les visualisations de l'explorateur de journaux, ainsi que pour la recherche et le filtrage des entrées de journal.

Vous pouvez utiliser les étiquettes définies par Oracle ou les étiquettes créés par l'utilisateur dans les sources. Pour créer une étiquette personnalisée pour marquer une entrée de journal spécifique, voir Créer une étiquette.

  1. Pour utiliser des étiquettes dans une source existante, modifiez cette source. Pour savoir comment ouvrir une page Modifier la source, voir Modifier la source.

  2. Cliquez sur l'onglet Labels (Étiquettes).

  3. Pour ajouter une étiquette conditionnelle, cliquez sur Ajouter une étiquette conditionnelle.

    Dans la section Conditions :

    1. Sélectionnez le champ de journal auquel appliquer la condition dans la liste Champ d'entrée.

    2. Select the operator from the Operator list Contains, Contains Ignore Case, Contains Regex, Contains one of Regexes, Ends With, Equal, Equal Ignore Case, In, In Ignore Case, Is Null, Not Contains, Not Equal, Not In, Not Null, and Starts With.

    3. Dans le champ Valeur de condition, spécifiez la valeur de la condition à mettre en correspondance pour appliquer l'étiquette.

      Note

      Pour ajouter le groupe de journaux comme champ d'entrée, indiquez son OCID pour la valeur au lieu du nom.

    4. Pour ajouter d'autres conditions, cliquez sur l'icône Ajouter une condition Icône Ajouter une condition et répétez les étapes 3a à 3c. Sélectionnez l'opération logique à appliquer aux conditions multiples. Sélectionnez l'une des valeurs suivantes : AND, OR, NOT AND ou NOT OR.

      Pour ajouter un groupe de conditions, cliquez sur l'icône Condition de groupe Icône Condition de groupe et répétez les étapes 3a à 3c pour ajouter chaque condition. Un groupe de conditions doit comporter plusieurs conditions. Sélectionnez l'opération logique à appliquer au groupe de conditions. Sélectionnez l'une des valeurs suivantes : AND, OR, NOT AND ou NOT OR.

      Pour supprimer une condition, cliquez sur l'icône Supprimer la condition Icône Supprimer la condition.

      Pour voir la liste des conditions sous forme d'énoncé, cliquez sur Afficher le sommaire des conditions.

  4. Sous Actions, sélectionnez une des étiquettes déjà disponibles définies par Oracle ou des étiquettes créées par l'utilisateur. Si nécessaire, vous pouvez créer une étiquette en cliquant sur Create Label (Créer une étiquette).

    Cochez la case Activé.

  5. Cliquez sur Ajouter.

Oracle Log Analytics vous permet de rechercher les étiquettes voulues dans l'explorateur de journaux. Vous pouvez effectuer une recherche en fonction de n'importe lequel des paramètres définis pour les étiquettes. Entrez la chaîne de recherche dans le champ Recherche. Vous pouvez spécifier les critères de recherche dans la boîte de dialogue de recherche. Sous Type de création, sélectionnez si les étiquettes que vous recherchez sont définies par Oracle ou définies par l'utilisateur. Sous les champs Champ d'entrée, Opérateur et Champ de sortie, vous pouvez effectuer une sélection parmi les options disponibles. Vous pouvez également spécifier la valeur de condition ou la valeur de sortie qui peut être utilisée pour la recherche. Cliquez sur Appliquer les filtres.

Vous pouvez maintenant rechercher des données de journal en fonction des étiquettes que vous avez créées. Voir Filtrer les journaux par étiquette.

Utiliser les champs conditionnels pour enrichir le jeu de données

Si vous souhaitez sélectionner un champ arbitraire et y écrire une valeur, vous pouvez éventuellement utiliser les champs conditionnels. L'alimentation d'une valeur dans un champ arbitraire à l'aide de la fonctionnalité de champs conditionnels est très similaire à l'utilisation de consultations. Toutefois, l'utilisation des champs conditionnels offre plus de flexibilité dans vos conditions de correspondance et est idéale pour traiter un petit nombre de conditions - définitions d'alimentation de champs. Par exemple, si vous avez quelques conditions pour alimenter un champ, vous pouvez éviter de créer et de gérer une consultation à l'aide de champs conditionnels.

Les étapes d'ajout des champs conditionnels sont similaires à celles du flux de travail ci-dessus pour l'ajout d'étiquettes conditionnelles.

  • À l'étape 3, au lieu de cliquer sur Add conditional label (Ajouter une étiquette conditionnelle), cliquez sur Add conditional field (Ajouter un champ conditionnel). Le reste de l'étape 3 pour sélectionner les conditions reste le même que le flux de travail ci-dessus.

  • à l'étape 4 ci-dessus,

    1. Pour le champ de sortie, sélectionnez dans le menu des champs déjà disponibles définis par Oracle ou créés par l'utilisateur. Si nécessaire, vous pouvez créer un champ en cliquant sur Créer un champ.

    2. Entrez une valeur de sortie à écrire pour le champ de sortie lorsque la condition d'entrée est Vrai.

      Par exemple, la source peut être configurée pour associer la valeur de sortie authentication.login au champ de sortie Security Category lorsque l'enregistrement de journal contient le champ d'entrée Method réglé à la valeur CONNECT.

      Cochez la case Activé.

Utiliser l'analyseur automatique de temps

Oracle Log Analytics vous permet de configurer votre source pour qu'elle utilise un analyseur générique au lieu de créer un analyseur pour vos journaux. Dans ce cas, l'heure du journal sera analysée à partir des entrées du journal uniquement si l'heure peut être identifiée par Oracle Log Analytics.

Ceci est particulièrement utile lorsque vous ne savez pas comment analyser vos journaux ou comment écrire des expressions rationnelles pour analyser vos journaux, et que vous souhaitez simplement transmettre les données brutes des journaux pour effectuer une analyse. En général, un analyseur définit comment les champs sont extraits d'une entrée de journal pour un type de fichier journal indiqué. Toutefois, l'analyseur générique dans Oracle Log Analytics peut :

  • Détecter l'horodatage et le fuseau horaire à partir des entrées de journal.

  • Créer un horodatage à l'aide de l'heure courante si les entrées de journal n'ont pas d'horodatage.

  • Détecter si les entrées de journal comportent une seule ligne ou plusieurs lignes.

  1. Ouvrez le menu de navigation et cliquez sur Observabilité et gestion. Sous Log Analytics, cliquez sur Administration. La page Aperçu de l'administration s'ouvre.

    Les ressources d'administration sont répertoriées dans le volet de navigation de gauche sous Ressources. Cliquez sur Sources.

  2. Dans la page Sources, cliquez sur Créer une source.
    La boîte de dialogue Créer une source s'affiche.
  3. Dans le champ Source, entrez le nom de la source.
  4. Dans le champ Type de source, sélectionnez Fichier.
  5. Cliquez sur le champ Type d'entité et sélectionnez le type d'entité pour cette source.
  6. Sélectionnez Analyser automatiquement seulement le temps. Oracle Log Analytics applique automatiquement le type d'analyseur générique.
  7. Cliquez sur Enregistrer.
Lorsque vous accédez aux enregistrements de journal de la source nouvellement créée, Oracle Log Analytics extrait et affiche les informations suivantes à partir des entrées de journal :

  • Horodatage :

    • Lorsqu'une entrée de journal n'a pas d'horodatage, l'analyseur générique crée et affiche l'horodatage en fonction de l'heure à laquelle les données de journal ont été collectées.

    • Lorsqu'un enregistrement de journal contient un horodatage, mais que le fuseau horaire n'est pas défini, l'analyseur générique utilise le fuseau horaire de l'agent de gestion.

      Lorsque vous utilisez l'agent de gestion, si le fuseau horaire n'est pas détecté correctement, vous pouvez définir manuellement le fuseau horaire dans les fichiers de configuration de l'agent. Voir Spécifier manuellement le fuseau horaire et l'encodage des caractères pour les fichiers

      Lors du chargement des journaux à l'aide du chargement sur demande, vous pouvez spécifier le fuseau horaire ainsi que le chargement pour forcer le fuseau horaire si nous ne pouvons pas le détecter correctement. Si vous utilisez l'interface de ligne de commande, voir Informations de référence sur la ligne de commande : Log Analytics- Chargement. Si vous utilisez une API REST, voir API Log Analytics - Chargement.

    • Lorsqu'un fichier journal contient des enregistrements avec plusieurs fuseaux horaires, l'analyseur générique peut prendre en charge jusqu'à 11 fuseaux horaires.

    • Lorsqu'un fichier journal affiche certaines entrées de journal avec un fuseau horaire et d'autres sans, l'analyseur générique utilise le fuseau horaire trouvé précédemment pour les entrées manquantes.

    • Lorsque vous ingétez des journaux à l'aide d'un agent de gestion, si le fuseau horaire ou le décalage de fuseau horaire n'est pas indiqué dans les enregistrements de journal, Oracle Log Analytics compare l'heure de la dernière modification du système d'exploitation avec l'horodatage de la dernière entrée de journal pour déterminer le fuseau horaire approprié.

  • Lignes multiples : Lorsqu'une entrée de journal couvre plusieurs lignes, l'analyseur générique peut saisir correctement le contenu multiligne.