Documentation sur Oracle Cloud Infrastructure

Détecter les événements prédéfinis lors de l'ingestion

Vous pouvez créer des règles pour détecter un contenu spécifique dans les enregistrements de journal. Pour ce faire, vous pouvez créer une règle de détection basée sur une étiquette associée aux enregistrements de journal à partir de sources de journaux et de types d'entité spécifiques. Utilisez cette fonction pour identifier les anomalies au moment de l'ingestion.

Avant de créer la règle de détection, identifiez d'abord l'étiquette que vous pouvez utiliser pour générer l'alerte. Modifiez la source de journaux et utilisez l'étiquette pour détecter un contenu spécifique dans les enregistrements de journal. Voir Utiliser des étiquettes dans les sources. Pour créer une étiquette, voir Créer une étiquette. Par exemple, si la règle de détection doit être définie pour détecter l'erreur 503 dans Apache Tomcat Access Logs, les étapes suivantes doivent être suivies :

  • Créez une étiquette, par exemple Availability Error.

  • Utilisez l'étiquette dans la source Apache Tomcat Access Logs.

  • Dans la définition de source, mappez l'occurrence du champ de base Status ayant la valeur 503, avec l'étiquette Availability Error.

  • Créez la règle de détection sur l'étiquette Availability Error et spécifiez la source de journaux Apache Tomcat Access Logs en tant que filtre pour les journaux.

Pour créer et gérer une règle de détection de temps d'ingestion, assurez-vous d'abord que les autorisations requises sont fournies. Voir Autoriser les utilisateurs à effectuer des opérations d'ingestion de règle d'alerte temporelle.

Pour créer une règle de détection de temps d'ingestion qui génère une alerte chaque fois qu'un enregistrement de journal contenant les paramètres d'étiquette et de filtre correspondants est détecté, procédez comme suit :

  1. Ouvrez le menu de navigation et cliquez sur Observabilité et gestion. Sous Log Analytics, cliquez sur Administration. La page Aperçu de l'administration s'ouvre.

    Les ressources d'administration sont répertoriées dans le volet de navigation de gauche sous Ressources. Cliquez sur Règles de détection.

    La page Règles de détection s'ouvre. Cliquez sur Créer une règle.

    La boîte de dialogue Créer une règle de détection s'ouvre.

  2. Cliquez sur Règle de détection lors de l'ingestion.

  3. Spécifiez un nom de règle pour la règle de détection du temps d'ingestion.

  4. Dans la section Sélectionner une étiquette, dans le menu, sélectionnez l'étiquette qui doit être détectée dans les enregistrements de journal.

    En outre, vous pouvez spécifier le type d'entité et la source de journaux à utiliser pour filtrer les enregistrements de journal.

  5. Sous Sélectionner un service cible à configurer :

    Spécifiez le service cible où l'alerte doit être signalée. Sélectionnez le service Monitoring. Mesure générée dans le service de surveillance avec les informations des alertes générées.

    Sélectionnez le compartiment de mesures dans lequel les mesures doivent être stockées.

    Sélectionnez l'espace de noms de mesure.

    Facultativement, sélectionnez le groupe de ressources auquel la mesure appartient.

    Spécifiez un nom de mesure pour les mesures générées pour les alertes.

  6. Par défaut, Label et Rule OCID sont utilisés en tant que dimensions. De plus, si nécessaire, vous pouvez sélectionner d'autres valeurs dans les options de champs disponibles pour Dimensions. Il s'agit des valeurs qui peuvent être utilisées pour filtrer les données de mesure. Les options de champ que vous pouvez sélectionner dépendent de la source de journaux que vous avez spécifiée à l'étape 4 en plus de certains champs couramment utilisés. Si aucune source de journaux n'est indiquée, tous les champs sont disponibles.

  7. Facultativement, développez la section Afficher les options avancées et ajoutez des marqueurs à votre règle de détection.

  8. Cliquez sur Créer une règle de détection.

Lorsque la correspondance spécifiée dans la source de journaux est détectée dans l'enregistrement de journal lors de l'ingestion, une valeur de mesure est reportée dans le service de surveillance OCI. Vous pouvez obtenir des alertes à partir du service de surveillance OCI en configurant une alarme sur cette mesure. Voir Créer des alertes pour les événements détectés.

Autoriser les utilisateurs à effectuer des opérations de règle d'alerte de temps d'ingestion

Type de ressource individuel : loganalytics-ingesttime-rule

Partie du type de ressource agrégé : loganalytics-resources-family

Cas d'utilisation Politiques GIA

La règle de temps d'ingestion peut se trouver dans n'importe quel compartiment de la location

Exemples d'énoncés de politique pour fournir l'autorisation MANAGE pour la ressource de règle de temps d'ingestion et pour publier des mesures dans le service de surveillance :

allow group <group_name> to manage loganalytics-ingesttime-rule in tenancy

allow service loganalytics to use metrics in tenancy

La règle de temps d'ingestion se trouve dans un compartiment spécifique

Exemples d'énoncés de politique pour fournir l'autorisation MANAGE pour la ressource de règle de temps d'ingestion et pour publier des mesures dans le service de surveillance :

allow group <group_name> to manage loganalytics-ingesttime-rule in compartment <compartment_OCID>

allow service loganalytics to use metrics in tenancy

L'autorisation Gérer pour la ressource de règle de temps d'ingestion vous permet de lister les règles de temps d'ingestion, d'obtenir des détails sur une règle de temps d'ingestion, de créer, de supprimer ou de mettre à jour une règle de temps d'ingestion et de la déplacer vers un autre compartiment.

Certains des énoncés de politique ci-dessus sont inclus dans les modèles de politique prédéfinis par Oracle. Vous pouvez envisager d'utiliser le modèle pour votre cas d'utilisation. Voir Modèles de politique définis par Oracle pour les cas d'utilisation communs.