Termes et concepts relatifs à Logging Analytics
Voici quelques termes et concepts de base courants pour Oracle Logging Analytics.
Pour la portée des ressources suivantes et d'autres ressources Oracle Logging Analytics, voir Portée des ressources Logging Analytics.
Source
Il s'agit de la définition de l'emplacement des fichiers journaux, de leur mode de collecte, de leur masquage à l'aide des masques de données, de l'analyse à l'aide des analyseurs, de l'extraction des données à l'aide des définitions de champ étendu, de l'enrichissement à l'aide des étiquettes et des définitions de fonction d'enrichissement et de l'extraction des données de mesure à partir d'un fichier journal. Les sources de journaux peuvent être utilisées pour collecter des journaux en continu à partir d'un agent de gestion Oracle Cloud Infrastructure ou être fournies lors du chargement sur demande d'un fichier journal dans les règles de collecte Oracle Logging Analytics ou du magasin d'objets Oracle Cloud Infrastructure. Chaque fois que les journaux sont collectés ou envoyés à Oracle Logging Analytics, une source doit être fournie pour indiquer le contexte de traitement des journaux.
Oracle Logging Analytics est fourni avec des centaines de sources définies par Oracle couvrant une grande variété de produits Oracle et non Oracle, et plusieurs sources sont ajoutées à la liste en continu.
Entité
Lorsque vous utilisez des ressources sur place, par exemple une instance Fusion Middleware Server, vous pouvez définir une entité dans Oracle Logging Analytics qui référence cette ressource réelle sur votre hôte sur place. Pour activer la collecte de journaux au moyen de l'agent de gestion Oracle Cloud Infrastructure, vous pouvez associer une source de journaux à une entité que vous avez déjà créée. Cela démarre la collecte continue des journaux au moyen de l'agent. Pour la collecte continue des journaux au moyen d'un agent, une définition d'entité est requise. Lors du chargement des journaux dans Oracle Logging Analytics au moyen d'une API REST, la spécification de l'entité est facultative. Toutefois, il est recommandé d'utiliser le modèle d'entité pour définir l'origine des journaux et rendre l'expérience d'analyse plus puissante.
Une entité doit avoir un type d'entité. Près de 100 types d'entité définis par Oracle sont déjà disponibles. Vous pouvez également créer des types d'entité personnalisés.
Lorsqu'une entité est créée pour un type spécifique, un type d'entité définit les propriétés à fournir pour ce type. Ces propriétés permettent de localiser l'emplacement des fichiers journaux. Par exemple, dans un type d'entité Oracle Database, vous devez fournir des valeurs de chemin pour les propriétés telles que ADR_HOME, ORACLE_HOME et INSTALL_HOME.
Groupe de journaux
Lors de la collecte des journaux à l'aide de l'une des méthodes disponibles, vous devez spécifier le groupe de journaux dans lequel stocker les journaux. Le groupe de journaux sert à définir l'accès des utilisateurs pour interroger les journaux dans l'explorateur de journaux ou les tableaux de bord, ainsi que pour épurer les journaux. Par exemple, votre organisation peut décider d'avoir des groupes de journaux distincts pour les journaux sécurisés et les journaux non sécurisés. Ceux-ci seraient placés dans des compartiments OCI distincts et les politiques pourraient être écrites pour accorder différents niveaux d'accès à différents groupes d'utilisateurs.
Association source-entité
L'association d'une source de journaux à une entité lance le processus de collecte continue des journaux au moyen de l'agent de gestion Oracle Cloud Infrastructure. Si la source et l'entité sont correctement définies, les métadonnées d'association sont envoyées à l'agent pour effectuer la collecte de journaux. Les journaux seront envoyés au nuage pour indexation et enrichissement avant d'être disponibles pour la recherche.
L'association source-entité ne s'applique qu'à la collecte continue des journaux au moyen de l'agent de gestion Oracle Cloud Infrastructure. Lorsque vous effectuez l'association, tous les chemins de fichier paramétrés dans la source de journaux sont remplacés par la valeur de propriété réelle pour cette instance d'entité indiquée. Par exemple, si vous surveillez la source des journaux d'alerte de base de données par rapport à myDatabaseInstance1, la définition de la source des journaux d'alerte de base de données recherchera les journaux sous un chemin tel que {ADR_HOME}/alert/log*.log. La définition d'entité pour myDatabaseInstance1 aura une valeur pour ADR_HOME que vous aurez fournie. Lors de l'exécution de l'association, la variable ADR_HOME est remplacée dans le chemin pour trouver le chemin absolu des entrées de journal. Ce modèle vous permet d'avoir une source de journaux unique qui peut surveiller les journaux de plusieurs instances d'entité où les chemins de fichier sont différents pour chaque entité.
Analyseur
Un analyseur définit comment analyser un fichier journal dans les entrées de journal et comment analyser les entrées de journal dans les champs. Les analyseurs peuvent être écrits dans une expression rationnelle pour les journaux semi-structurés ou non structurés. Les analyseurs JSON et XML peuvent être écrits pour les journaux dans ces formats.
Partitionnement des journaux
Oracle Logging Analytics peut ingérer de très grandes quantités de données de journal quotidiennement par locataire. Si vous prévoyez d'ingérer de manière persistante plus de 6 To de données de journal par jour pour un seul locataire dans une seule région, Oracle vous recommande d'utiliser la fonction de partitionnement des journaux. Le partitionnement vous permet de segmenter physiquement les données de journal qui ont une caractéristique commune pour permettre l'ingestion en parallèle et l'interrogation en parallèle des données, optimisant ainsi les performances de recherche.
La fonction de partitionnement dépend de la clé spécifiée lors de l'ingestion des données de journal. Cette clé est appelée jeu de journaux. Il peut s'agir de n'importe quelle valeur de chaîne logique qui correspond à la façon dont les journaux sont généralement utilisés en fonction de votre infrastructure, de votre architecture d'application ou de votre structure organisationnelle.
Lors de l'interrogation des données, les meilleures performances sont obtenues lorsque les interrogations sont limitées à un petit ensemble de jeux de journaux. Les journaux des applications sous-jacentes de chaque jeu de journaux sont isolés et indépendants du point de vue des opérations informatiques et de l'entreprise. La plupart des recherches sont ciblées vers un jeu de journaux, ce qui améliore les performances de recherche. Bien que vous puissiez effectuer des interrogations sur tous les jeux de journaux, ces interrogations prendront plus de temps pour retourner des données.