Documentation Oracle Cloud Infrastructure

Recherche de journalisation

Utilisez la page Rechercher de Logging pour rechercher des journaux.

Logging fournit un outil puissant qui permet de rechercher des journaux indexés. Utilisez la console pour effectuer l'une des tâches suivantes :

  • Rechercher des journaux, que ce soit en mode interface utilisateur de base ou en saisissant des requêtes personnalisées en mode avancé.
  • Filtrer sur des valeurs spécifiques dans les journaux, par champ de journal, recherche de texte ou intervalle de temps, le tout en fonction des compartiments ou groupes de journaux choisis.
  • Visualiser les données de journal sous forme de graphique à barres, ainsi que les données tabulaires associées.
  • Explorer chaque ligne de journal plus en détail. Visualiser la charge utile JSON brute et consulter les informations avant/après.
  • Exporter les résultats de la recherche dans un fichier JSON.

Les journaux sont indexés par défaut, ce qui permet de les rechercher à l'aide de la console.

Remarque

Pour que les journaux soient disponibles et puissent faire l'objet d'une recherche à partir d'une période donnée, ils doivent d'abord être activés. Vous ne pouvez rechercher les journaux qu'après le début de l'inclusion.

Vous pouvez exécuter des recherches dans les journaux à l'aide des contrôles de filtre En mode de base dans l'interface, ou de l'interface de langage de requête personnalisée En mode avancé. Pour plus d'informations, reportez-vous à Requêtes de recherche de base et à Requêtes de recherche avancée. Les recherches peuvent également être enregistrées et vous pouvez également rechercher plusieurs régions.

Remarque

Seule une plage de 14 jours est disponible lors de l'exécution de requêtes de recherche de journal.

Stratégie IAM requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel un administrateur de location a accordé un accès de sécurité dans une stratégie . Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous informe que vous n'avez pas d'autorisation ou que vous n'êtes pas autorisé, vérifiez auprès de l'utilisateur le type d'accès qui vous est accordé et le compartiment dans lequel vous travaillez.

Administrateurs : pour obtenir des exemples spécifiques de stratégie, reportez-vous à Droits d'accès requis pour la recherche de journaux.

Si vous ne connaissez pas les stratégies, reportez-vous à Gestion des domaines d'identité et à Stratégies courantes. Afin d'en savoir plus sur l'écriture de stratégies pour Logging, reportez-vous à Détails relatifs à Logging.

Droits d'accès requis pour la recherche de journaux

Pour rechercher des journaux indexés, un utilisateur doit disposer du droit d'accès en lecture (read) sur le contenu du journal et de l'accès en lecture (read) au groupe de journaux. 

allow group GroupA to read log-groups in tenancy
allow group GroupA to read log-content in tenancy

Pour rechercher des journaux indexés, vous devez avoir accès au groupe de journaux dans lequel ils se trouvent. Pour plus d'informations, reportez-vous à Droits d'accès requis pour utiliser les journaux et les groupes de journaux.

Pour visualiser et rechercher des journaux d'audit, vous devez également disposer des droits d'accès à Audit correspondants. Pour plus d'informations, reportez-vous à Détails du service Audit. Par exemple :

  • search "compartment" requiert AUDIT_EVENT_READ et, s'il existe des objets de journal, LOG_CONTENT_READ est également requis
  • search "compartment/_Audit" requiert uniquement AUDIT_EVENT_READ.
  • search "compartmentOcid/logGroupNameOrOcid/logNameOrOcid" requiert uniquement LOG_CONTENT_READ.
  • search "compartmentOcid1/_Audit" "compartmentOcid2/logGroupNameOrOcid/logNameOrOcid" requiert LOG_CONTENT_READ sur logGroupNameOrOcid et AUDIT_EVENT_READ sur compartmentOcid1.

Requêtes de recherche de base

Pour faire une recherche et filtrer les journaux, procédez comme suit :

  1. Ouvrez le menu de navigation et sélectionnez Observation et gestion. Sous Journalisation, sélectionnez Rechercher.
  2. Dans Filtres personnalisés, vous pouvez commencer la saisie pour afficher automatiquement les paramètres de filtre, ainsi que les opérateurs. Par exemple, la saisie de la lettre d affiche les filtres commençant par cette lettre. Utilisez les touches fléchées vers le haut ou vers le bas pour effectuer une sélection dans la liste ou poursuivez la saisie des critères de filtrage souhaités. Par exemple, data.compartmentName='<tenancy_name>'.
  3. Dans Sélectionner les journaux dans lesquels effectuer une recherche, le compartiment racine est déjà sélectionné par défaut pour le filtrage. Sélectionnez ce champ pour ouvrir le panneau Sélectionner des journaux dans lesquels effectuer la recherche, dans lequel vous pouvez filtrer en fonction de compartiments sur ceux sur lesquels vous avez l'autorisation de travailler, en plus du filtrage par groupes de journaux et journaux. Vous pouvez filtrer en fonction de plusieurs compartiments et groupes de journaux. Pour tous les filtres que vous créez dans ce panneau que vous souhaitez enlever, sélectionnez l'icône de filtre X dans le champ Sélectionner les journaux dans lesquelles effectuer une recherche.
  4. Vous pouvez limiter les résultats à une période spécifique. Dans Filtre par période, sélectionnez une période prédéterminée dans la liste ou Personnalisé pour indiquer une plage de dates dans les champs Date de début et Date de fin du calendrier. Vous pouvez également indiquer une valeur temporelle dans la zone en regard du calendrier. Précisez une heure de fin pour affiner la fenêtre de temps.
  5. Les données du journal des onglets Explorer et Visualiser sont rechargées en fonction des paramètres de filtre. Vous pouvez également sélectionner Rechercher pour appliquer le filtre.
Remarque

Etant donné que la page Rechercher est automatiquement actualisée après l'application de filtres et la sélection de journaux, vous n'avez pas besoin de sélectionner le bouton Rechercher lorsque vous sélectionnez d'autres filtres. Toutefois, vous devrez sélectionner à nouveau Rechercher lorsqu'un certain temps s'est écoulé et que de nouveaux journaux apparaissent. Cependant, lorsque vous effectuez des requêtes en mode avancé, vous devez toujours sélectionner ce bouton pour soumettre une requête.
Remarque

Les paramètres de filtre sont conservés lorsque vous passez au mode avancé.

Pour enlever un filtre de la page Rechercher, sous Filtres, sélectionnez l'icône X en regard du filtre.

Pour plus d'informations sur les résultats de recherche, reportez-vous à Visualisation et utilisation des résultats de recherche et à Visualisation des résultats de recherche pour plus d'informations sur la visualisation des recherches en mode de base.

Requêtes de recherche avancée

Si vous effectuez une recherche sur la page recherche de la journalisation, vous pouvez cliquer sur l'option Afficher le mode avancé pour saisir vos propres requêtes de recherche de journal personnalisées. De plus, la recherche mode avancé offre des options de recherche plus complètes qui ne sont plus disponibles dans le mode de base.

Par défaut, les éléments suivants apparaissent dans le champ Requête après la sélection de l'option Afficher mode avancé :

search "ocid1.tenancy.oc1..<unique_id>" | sort by datetime desc

Par exemple, vous pouvez modifier cette recherche par défaut en saisissant la commande suivante :

search "ocid1.tenancy.oc1..<unique_id>" | sort by datetime desc
| summarize count() as cnt by rounddown(datetime,  '15m') as interval

Cela renvoie {"interval": 1600364700000,"cnt": 31} et {"interval": 1600365600000,"cnt": 220} sous Données de journal dans l'onglet Explorer.

Des suggestions de remplissage automatique sont proposées lors de la saisie des requêtes de recherche. Vous pouvez les sélectionner dans un menu contextuel lors de la saisie. La validation de la syntaxe est effectuée en temps réel en arrière-plan au fur et à mesure que vous saisissez une requête.

Remarque

Lorsque vous passez du mode avancé au mode de base, la requête est perdue et n'est pas disponible en mode de base. Si un cas comme celui-ci se produit, un avertissement est affiché afin de confirmer vos préférences.

La recherche en mode avancé utilise une syntaxe spécifique, à l'aide du langage de requête de journalisation, décrit dans Spécification de langage de requête de journalisation.

Pour plus d'informations sur les résultats de recherche, reportez-vous à Visualisation et utilisation des résultats de recherche et à Visualisation des résultats de recherche pour plus d'informations sur la visualisation des recherches en mode avancé.