Documentation Oracle Cloud Infrastructure

Créer une source

Les sources définissent l'emplacement des journaux de l'entité et le mode d'enrichissement des entrées de journal. Pour démarrer la collecte de journal en continu via les agents de gestion OCI, une source doit être associée à des entités.

Remarque

Pour des étapes plus spécifiques à

Rubriques supplémentaires :

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Log Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

    Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.

    La page Sources apparaît. Cliquez sur Créer une source.

  2. Dans le champ Nom, saisissez le nom de la source.

    Ajoutez éventuellement une description.

  3. Dans la liste Type de source, sélectionnez le type de la source de journal.
    Oracle Log Analytics prend en charge trois types de source de journal pour les sources personnalisées :

    • Fichier : utilisez ce type pour collecter la plupart des types de journal, tels que les journaux de base de données, d'application et d'infrastructure.

    • Oracle Diagnostic Logging (ODL) : utilisez ce type pour les journaux qui suivent le format des journaux Oracle Diagnostics. Il s'agit généralement des journaux de diagnostic d'Oracle Fusion Middleware et d'Oracle Applications.

    • Processeur d'écoute Syslog : ce type est généralement utilisé pour les dispositifs réseau tels que les appliances de détection des intrusions, les pare-feu ou tout autre dispositif sur lequel aucun agent de gestion n'a pu être installé.

    • Microsoft Windows : utilisez ce type pour collecter les messages d'événement Windows. Oracle Log Analytics peut collecter toutes les entrées du journal des événements de Windows. Il prend en charge Windows et les canaux d'événement personnalisés.

      Remarque

      Ce type de source ne requiert pas le champ Analyseur de journal.

    • Base de données : utilisez ce type de source pour collecter les journaux stockés dans les tables d'une base de données sur site. Avec ce type de source, une requête est exécutée régulièrement pour collecter les données d'une table sous forme d'entrées de journal.

    • API REST : utilisez ce type de source pour configurer une collecte de journaux continue basée sur une API REST à partir des URL d'adresse qui répondent par des messages de journal. Avec ce type de source, un appel d'API GET ou POST est effectué vers l'URL d'adresse que vous fournissez pour obtenir les journaux.

  4. Cliquez sur le champ Type d'entité et sélectionnez le type d'entité pour cette source de journal. Par la suite, lorsque vous associez cette source à une entité pour activer la collecte de journal via l'agent de gestion, seules les entités de ce type sont disponibles pour association. Une source peut comprendre un seul type d'entité ou plusieurs types d'entité.

    • Si vous avez sélectionné Fichier, API REST ou Journal de diagnostic Oracle (ODL), il est recommandé de sélectionner le type d'entité de source d'écriture qui correspond le plus à ce que vous allez surveiller. Evitez de sélectionner des types d'entité composites comme Cluster de base de données. Sélectionnez plutôt le type d'entité Instance de base de données car les journaux sont générés au niveau de l'instance.

    • Si vous avez sélectionné le type de source Processus d'écoute Syslog, sélectionnez une des variantes de Host.

    • Si vous avez sélectionné le type de source Base de données, le type d'entité est limité aux types de base de données admissibles.

    • Si vous avez sélectionné le type de source Système d'événements Windows, le type d'entité par défaut Host (Windows) est automatiquement sélectionné et ne peut pas être modifié.

  5. Cliquez sur le champ Analyseur et sélectionnez le nom de l'analyseur approprié, tel que Format des entrées de journal d'audit de base de données.
    Vous pouvez sélectionner plusieurs analyseurs de fichier pour les fichiers journaux. Cela est particulièrement utile lorsqu'un fichier journal contient des entrées avec des syntaxes différentes et ne peut pas être analysé par un seul analyseur.

    L'ordre d'ajout des analyseurs est important. Lorsqu'Oracle Log Analytics lit un fichier journal, il essaie le premier analyseur et passe au deuxième si le premier ne fonctionne pas. Ce processus se poursuit jusqu'à aboutir à un analyseur fonctionnel. Sélectionnez d'abord l'analyseur le plus courant pour cette source.

    Pour le type de source ODL, le seul analyseur disponible est Format Oracle Diagnostic Logging.

    Pour le type de source Syslog, l'une des variantes d'analyseur, comme Format standard syslog ou Format RFC5424 syslog, est généralement utilisée. Vous pouvez également sélectionner l'un des analyseurs syslog définis par Oracle pour des dispositifs réseau spécifiques.

    Le champ Analyseur de fichiers n'est pas disponible pour les types de source Système d'événements Windows et API REST. Pour le type De source Système d'événements Windows, Oracle Log Analytics extrait les données de journal déjà analysées.

    Pour analyser uniquement les informations horaires des entrées de journal, vous pouvez sélectionner l'analyseur d'heure automatique. Reportez-vous à Utilisation de l'analyseur d'heure automatique.

  6. Saisissez les informations suivantes en fonction du type de source :

    • Type de source Syslog : indiquez le port du processus d'écoute.

    • Type de source Windows : indiquez un nom de canal de service d'événements. Le nom du canal doit correspondre au nom de l'événement Windows afin que l'agent puisse former l'association pour récupérer les journaux.

    • Type de source Base de données : indiquez les instructions SQL et cliquez sur Configurer. Mettez en correspondance les colonnes de table SQL avec les champs disponibles dans le menu. Pour créer un champ de mise en correspondance, cliquez sur l'icône Icône Ajouter.

    • Type de source d'API REST : cliquez sur Ajouter une adresse de journal pour fournir une URL d'adresse de journal unique ou sur Ajouter une adresse de liste de journaux pour plusieurs journaux pour fournir une URL d'adresse de liste de journaux pour plusieurs journaux à partir desquels les journaux peuvent être collectés régulièrement en fonction de la configuration de l'heure dans l'interface utilisateur. Pour plus d'informations sur la configuration de la collecte des journaux d'API REST, reportez-vous à Configuration de la collecte des journaux d'API REST.

    • Types de source Fichier et ODL : utilisez les onglets Inclure et Exclure.

      • Dans l'onglet Modèles inclus, cliquez sur Ajouter afin d'indiquer des modèles de nom de fichier pour cette source.

        Entrez le modèle de nom de fichier et la description.

        Vous pouvez saisir des paramètres entre accolades {}, comme {AdrHome}, dans le cadre du modèle de nom de fichier. Oracle Log Analytics remplace ces paramètres dans le modèle d'inclusion par les propriétés d'entité lorsque la source est associée à une entité. La liste des paramètres possibles est définie par le type d'entité. Si vous créez vos propres types d'entité, vous pouvez définir vos propres propriétés. Lorsque vous créez une entité, vous êtes invité à fournir une valeur pour chaque propriété de cette entité. Vous pouvez également ajouter vos propres propriétés personnalisées par entité, si nécessaire. Toutes ces propriétés peuvent être utilisées en tant que paramètres dans les modèles inclus.

        Par exemple, pour une entité donnée avec la propriété {AdrHome} définie sur /u01/oracle/database/, le modèle d'inclusion {AdrHome}/admin/logs/*.log est remplacé par /u01/oracle/database/admin/logs/*.log pour cette entité spécifique. Toutes les autres entités sur le même hôte peuvent présenter une valeur différente pour {AdrHome}, ce qui entraîne la collecte d'un ensemble complètement différent de fichiers journaux pour chaque entité.

        Vous pouvez associer une source à une entité uniquement si les paramètres requis par la source dans les modèles possèdent une valeur pour l'entité concernée.

        Vous pouvez configurer des avertissements dans la collection de journal pour vos modèles. Dans la liste déroulante Envoyer un avertissement, sélectionnez la situation dans laquelle l'avertissement doit être émis :

        • Pour chaque modèle présentant un problème : lorsque vous avez défini plusieurs modèles d'inclusion, un avertissement de collecte de journal est envoyé pour chaque modèle de nom de fichier qui ne correspond pas.

        • Uniquement si tous les modèles présentent des problèmes : lorsque vous avez défini plusieurs modèles d'inclusion, un avertissement de collecte de journal est envoyé uniquement si tous les modèles de nom de fichier ne correspondent pas.

      • Vous pouvez utiliser un modèle exclu lorsque des fichiers se trouvant au même emplacement ne doivent pas être inclus dans la définition de source. Dans l'onglet Modèles exclus, cliquez sur Ajouter pour définir les modèles de nom de fichier journal à exclure de la source de journal.

        Par exemple, un fichier nommé audit.aud est présent dans le répertoire que vous avez configuré en tant que source d'inclusion (/u01/app/oracle/admin/rdbms/diag/trace/). Ce même emplacement contient un autre fichier portant le nom audit-1.aud. Vous pouvez exclure tous les fichiers correspondant au modèle audit-*.aud.

  7. Ajoutez des filtres de données. Reportez-vous à Utilisation de filtres de données dans les sources.
  8. Ajoutez des champs étendus. Reportez-vous à Utilisation de champs étendus dans les sources.
  9. Configurez les options d'enrichissement de champ. Reportez-vous à Configuration des options d'enrichissement de champ.
  10. Ajoutez des libellés. Reportez-vous à Utilisation de libellés dans les sources.
  11. Cliquez sur Enregistrer.

Utilisation de filtres de données dans les sources

Oracle Log Analytics permet d'afficher et de masquer les informations sensibles des entrées du journal, ainsi que des entrées du journal entières avant de charger les données du journal vers le cloud.

Lorsque vous modifiez ou créez une source à l'aide de l'onglet Filtres de données, vous pouvez masquer les adresses IP, l'ID utilisateur, le nom d'hôte et d'autres informations sensibles grâce à des chaînes de remplacement, supprimer des mots-clés et des valeurs spécifiques d'une entrée de journal, et masquer une entrée de journal entière.

Vous pouvez ajouter des filtres de données lors de la création d'une source de journal ou lors de la modification d'une source existante. Pour en savoir plus sur la modification de sources de journal existantes, reportez-vous à Personnalisation d'une source définie par Oracle.

Si les données de journal sont envoyées à Oracle Log Analytics à l'aide du téléchargement à La demande ou de l'ensemble à partir de la banque d'objets, le masquage est effectué côté cloud avant l'indexation des données. Si vous collectez les journaux à l'aide de l'agent de gestion, les journaux sont masqués avant que le contenu ne quitte vos locaux.

Rubriques :

Masquage des données de journal

Le processus de masquage consiste à prendre un ensemble de texte existant et à le remplacer par un autre texte statique pour cacher le contenu d'origine.

Pour masquer des informations telles que le nom utilisateur et le nom d'hôte dans les entrées de journal, procédez comme suit :

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Log Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

  2. Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.

  3. Cliquez sur le nom de la source à modifier. La page des détails de la source apparaît. Cliquez sur Modifier pour modifier la source.

  4. Cliquez sur l'onglet Filtres de données, puis sur Ajouter.

  5. Entrez le nom du masque, sélectionnez Masque comme type, et entrez la valeur Expression de recherche et la valeur Expression de remplacement associée.

    La valeur Expression de recherche peut être une recherche en texte brut ou une expression régulière standard. Le texte correspondant à l'expression de recherche est remplacé par l'expression de remplacement tout au long de l'entrée de journal.

    Nom Expression de recherche Expression de remplacement
    masquer le nom utilisateur User=\S User=confidential
    masquer l'hôte Host=\S+ Host=mask_host
    Remarque

    La syntaxe de la chaîne de remplacement doit correspondre à la syntaxe de la chaîne à remplacer. Par exemple, un nombre ne doit pas être remplacé par une chaîne. Une adresse IP au format 123.45.67.89 doit être remplacée par 000.000.000.000 et non par 000.000. Si les syntaxes ne correspondent pas, les analyseurs peuvent rencontrer des problèmes.

  6. Cliquez sur Enregistrer.

Lorsque vous visualisez les entrées de journal masquées pour cette origine de journal, vous constatez qu'Oracle Log Analytics a masqué les valeurs des champs que vous avez spécifiés.

  • User = confidentiel

  • Host = masque_hôte

Masquage des données de journal par hachage

Lorsque vous masquez les données de journal à l'aide du masque comme le décrit la section précédente, les informations masquées sont remplacées par une chaîne statique fournie dans l'expression de remplacement. Par exemple, lorsque le nom utilisateur est masqué avec la chaîne confidentiel, le nom utilisateur est toujours remplacé par l'expression confidentiel dans les enregistrements de journal, à chaque occurrence. En utilisant un masque de hachage, vous pouvez hacher la valeur trouvée avec un hachage unique. Par exemple, si les enregistrements de journal contiennent plusieurs noms utilisateur, chaque nom utilisateur est haché en valeur unique. Par conséquent, si la chaîne user1 est remplacée par le hachage de texte ebdkromluceaqie à chaque occurrence, le hachage peut toujours être utilisé pour déterminer que ces entrées de journal concernent le même utilisateur. Cependant, le nom utilisateur réel n'est pas visible.

Risque associé : comme il s'agit d'un hachage, il n'est pas possible de récupérer la valeur réelle du texte d'origine masqué. Cependant, en prenant le hachage de n'importe quelle chaîne, vous aboutissez au même hachage à chaque fois. Tenez compte de ce risque lors du masquage des données de journal par hachage. Par exemple, pour la chaîne oracle, le hachage MD5 est a189c633d9995e11bf8607170ec9a4b8. Chaque fois que quelqu'un tente de créer un hachage MD5 de la chaîne oracle, la valeur est toujours la même. Bien que vous ne puissiez pas partir de ce hachage MD5 et revenir à la chaîne d'origine oracle, si une personne tente de deviner la valeur oracle et de la hacher à nouveau, elle constate que le hachage correspond à celui de l'entrée de journal.

Pour appliquer le filtre de données de masque de hachage aux données de journal, procédez comme suit :

  1. Accédez à la page Créer une source. Pour connaître les étapes à suivre, reportez-vous à Création d'une source.

  2. Vous pouvez également modifier une source qui existe déjà. Pour connaître les étapes d'ouverture de la page Modifier une source, reportez-vous à Modification de la source.

  3. Cliquez sur l'onglet Filtres de données, puis sur Ajouter.

  4. Entrez le nom du masque, sélectionnez Masque de hachage comme type, et entrez la valeur Expression de recherche et la valeur Expression de remplacement associée.

    Nom Expression de recherche Expression de remplacement
    Masquer le nom utilisateur User=(\S+)s+ Hachage de texte
    Masquer le port Port=(\d+)s+ Hachage numérique

  5. Cliquez sur Enregistrer.

Pour utiliser un masque de hachage sur un champ basé sur une chaîne, vous pouvez employer un hachage de texte ou numérique comme champ de chaîne. Toutefois, si le champ de données est numérique (entier, long ou à virgule flottante, par exemple), vous devez utiliser un hachage numérique. Si vous n'appliquez pas un hachage numérique, le texte de remplacement entraîne la rupture de vos expressions régulières qui dépendent du caractère numérique de cette valeur. La valeur n'est pas non plus stockée.

Le remplacement a lieu avant l'analyse des données. En règle générale, lorsque les données doivent être masquées, le remplacement numérique n'est pas toujours implicite. Vous devez donc choisir le type de hachage lors de la création de la définition du masque.

Dans l'exemple de masquage par hachage ci-dessus, chaque nom utilisateur est remplacé par un hachage de texte unique, et chaque numéro de port est remplacé par un hachage numérique unique.

Vous pouvez utiliser le masque de hachage lors du filtrage ou de l'analyse des données de journal. Reportez-vous à Filtre des journaux par masque de hachage.

Suppression de mots-clés ou de valeurs spécifiques dans les enregistrements de journal

Oracle Log Analytics permet la recherche d'un mot-clé ou d'une valeur spécifique dans les enregistrements de journal, et la suppression du mot-clé ou de la valeur qui correspond s'il existe dans les enregistrements de journal.

Prenons l'enregistrement de journal suivant :

ns5xt_119131: NetScreen device_id=ns5xt_119131  [Root]system-notification-00257(traffic): start_time="2017-02-07 05:00:03" duration=4 policy_id=2 service=smtp proto=6 src zone=Untrust dst zone=mail_servers action=Permit sent=756 rcvd=756 src=192.0.2.1 dst=203.0.113.1 src_port=44796 dst_port=25 src-xlated ip=192.0.2.1 port=44796 dst-xlated ip=203.0.113.1 port=25 session_id=18738

Pour masquer le mot-clé device_id et sa valeur dans l'enregistrement de journal, procédez comme suit :

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Log Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

  2. Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.

  3. Cliquez sur le nom de la source à modifier. La page des détails de la source apparaît. Cliquez sur Modifier pour modifier la source.

  4. Cliquez sur l'onglet Filtres de données, puis sur Ajouter.

  5. Entrez le filtre Nom, sélectionnez Supprimer la chaîne comme type et entrez la valeur Expression de recherche device_id=\S*.

  6. Cliquez sur Enregistrer.

Lorsque vous visualisez les enregistrements de journal pour cette source, vous constatez qu'Oracle Log Analytics a supprimé les mots-clés et les valeurs que vous avez indiqués.

Remarque

Assurez-vous que l'expression régulière d'analyseur correspond au modèle d'enregistrement de journal. Sinon, Oracle Log Analytics risque de ne pas analyser correctement les enregistrements après suppression du mot-clé.

Remarque

Outre l'ajout de filtres de données lors de la création d'une source, vous pouvez également modifier une source existante pour ajouter des filtres de données. Pour en savoir plus sur la modification de sources existantes, reportez-vous à Personnalisation d'une source définie par Oracle.

Suppression d'une entrée de journal complète en fonction de mots-clés spécifiques

Oracle Log Analytics permet la recherche d'un mot-clé ou d'une valeur spécifique dans les enregistrements de journal, et la suppression d'une entrée complète dans un enregistrement de journal si ce mot-clé existe.

Prenons l'enregistrement de journal suivant :

ns5xt_119131: NetScreen device_id=ns5xt_119131  [Root]system-notification-00257(traffic): start_time="2017-02-07 05:00:03" duration=4 policy_id=2 service=smtp proto=6 src zone=Untrust dst zone=mail_servers action=Permit sent=756 rcvd=756 src=198.51.100.1 dst=203.0.113.254 src_port=44796 dst_port=25 src-xlated ip=198.51.100.1 port=44796 dst-xlated ip=203.0.113.254 port=25 session_id=18738

Supposons que vous vouliez supprimer l'entrée de journal complète si le mot-clé device_id y figure :

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Log Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

  2. Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.

  3. Cliquez sur le nom de la source à modifier. La page des détails de la source apparaît. Cliquez sur Modifier pour modifier la source.

  4. Cliquez sur l'onglet Filtres de données, puis sur Ajouter.

  5. Entrez le filtre Nom, sélectionnez Supprimer l'entrée de journal comme type et entrez la valeur Expression de recherche .*device_id=.*.

    Il est important que l'expression régulière corresponde à l'intégralité de l'entrée de journal. L'utilisation de .* au début et à la fin de l'expression régulière fait en sorte qu'elle corresponde à tout autre texte de l'entrée de journal.

  6. Cliquez sur Enregistrer.

Lorsque vous visualisez les entrées d'un journal pour cette source, vous constatez qu'Oracle Log Analytics a supprimé toutes les entrées d'un journal contenant la chaîne device_id.

Remarque

Outre l'ajout de filtres de données lors de la création d'une source, vous pouvez également modifier une source existante pour ajouter des filtres de données. Pour en savoir plus sur la modification de sources existantes, reportez-vous à Personnalisation d'une source définie par Oracle.

Utilisation de champs étendus dans les sources

La fonctionnalité de champs étendus de Oracle Log Analytics permet d'extraire des champs supplémentaires d'un enregistrement de journal en plus des champs traités par l'analyseur.

Dans la définition de source, un analyseur est choisi pour décomposer un fichier journal dans des enregistrements de journal, et chaque enregistrement de journal dans un ensemble de champs de base. Ces champs de base doivent être cohérents entre tous les enregistrements de journal. Un analyseur de base extrait les champs communs d'un enregistrement de journal. Toutefois, si vous devez extraire des champs supplémentaires du contenu de l'enregistrement de journal, vous pouvez utiliser la définition des champs étendus. Par exemple, l'analyseur peut être défini pour que l'ensemble du texte, présent à la fin des champs communs d'un enregistrement de journal, soit analysé et stocké dans un champ nommé Message.

Lorsque vous recherchez des journaux à l'aide de la source mise à jour, les valeurs des champs étendus sont affichées avec les champs extraits par l'analyseur de base.

Remarque

Pour ajouter le groupe de journaux en tant que champ d'entrée, indiquez son OCID pour la valeur au lieu du nom.

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Log Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

    Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.

  2. Cliquez sur le nom de la source à modifier. La page des détails de la source apparaît. Cliquez sur Modifier pour modifier la source.
  3. Cliquez sur l'onglet Champs étendus, puis sur Ajouter.
  4. Une condition peut être spécifiée pour que l'extraction de champ se produise uniquement si l'enregistrement de journal en cours d'évaluation remplit une condition prédéfinie. Pour ajouter une condition au champ étendu, développez la section Conditions.
    • Réutiliser l'existant : si nécessaire, afin de réutiliser une condition déjà définie pour la source de journal, cliquez sur le bouton radio Réutiliser l'existant et sélectionnez la condition précédemment définie dans le menu Condition.
    • Créer une condition : activez ce bouton si vous voulez définir une nouvelle condition. Indiquez le champ de condition, l'opérateur et la valeur.

      Par exemple, la définition de champ étendu qui extrait la valeur du champ Security Resource Name à partir de la valeur du champ Message uniquement si le champ Service comporte l'une des valeurs indiquées (NetworkManager, dhclient ou dhcpd) est la suivante :

      • Champ de base : Message
      • Exemple de contenu de champ de base : DHCPDISCOVER from b8:6b:23:b5:c1:bd (HOST1-LAP) via eth0
      • Expression d'extraction : ^DHCPDISCOVER\s+from\s+{Security Resource Name:\S+}\s+.+

      La condition de cette définition de champ étendu doit être établie comme suit :

      • Champ de condition : service
      • Opérateur de condition : IN
      • Valeur de condition : NetworkManager, dhclient, dhcpd

      Dans l'exemple ci-dessus, la valeur extraite du champ Security Resource Name est b8:6b:23:b5:c1:bd.

      Afin de fournir plusieurs valeurs pour le champ Valeur de condition, saisissez les valeurs en appuyant sur Entrée pour chaque valeur.

    En ajoutant une condition, vous pouvez réduire le traitement d'expression régulière sur un enregistrement de journal qui ne comportera probablement pas la valeur que vous essayez d'extraire. Cela permet d'accélérer le traitement et la disponibilité des enregistrements de journal dans l'explorateur de journaux.

  5. Sélectionnez le champ de base dont la valeur doit être extraite dans les champs.

    Les champs affichés dans le champ d'installation standard sont ceux qui sont analysés à partir de l'analyseur de base et certains champs Par défaut remplis par l'ensemble de journaux, comme Entité de journalisation (nom de fichier, table de base de données ou autre emplacement d'origine d'origine de l'enregistrement de journal) et Contenu du journal d'origine.

  6. Entrez un exemple commun de valeur pour le champ de base que vous avez choisi d'extraire dans des champs supplémentaires dans la zone Exemple de contenu de champ de base. Il est utilisé pendant la phase de test afin de démontrer le fonctionnement correct de la définition de champ étendu.
  7. Entrez l'expression d'extraction dans le champ Expression d'extraction et cochez la case Activé.

    Une expression d'extraction suit la syntaxe normale des expressions régulières, sauf lorsque vous spécifiez l'élément d'extraction : vous devez utiliser une macro entre accolades { et }. Les accolades entourent deux valeurs séparées par le signe deux-points :. La première valeur entre accolades est le champ dans lequel stocker les données extraites. La seconde valeur est l'expression régulière qui doit correspondre à la valeur à capturer dans le champ de base.

    Pour inclure plusieurs champs dans le bloc d'expression d'extraction, assurez-vous qu'ils sont séparés par des virgules (,). Dans l'exemple suivant, la même valeur est affectée aux champs étendus eventcount, readycount et resultcnt. 

    Tx\\s+Msg[:]{eventcount,readycount,resultcnt:\\d+}

    La virgule (,) est le seul séparateur que vous pouvez utiliser entre plusieurs champs ajoutés dans l'expression d'extraction.

    Remarque

    Pour extraire plusieurs valeurs d'un champ à l'aide des champs étendus, procédez comme suit :

    1. Commencez par créer un champ pour le contenu de journal pouvant avoir plusieurs valeurs pour un champ, par exemple Error IDs. Reportez-vous à Création d'un champ.

    2. Dans la boîte de dialogue Ajouter une définition de champ étendu, pour le champ de base, sélectionnez un champ de base qui est extrait d'un analyseur et comporte des données à valeurs multiples, par exemple Message, Original Log Content.

    3. Entrez l'exemple de contenu de champ de base contenant plusieurs valeurs d'un champ à extraire.

    4. Sous Expression d'extraction, indiquez l'expression régulière permettant d'extraire chaque valeur du champ. Cliquez sur Ajouter.


    EFD pour plusieurs valeurs d'un champ

  8. Cliquez sur Tester une définition pour vérifier que l'expression d'extraction peut extraire les champs souhaités de l'exemple de contenu de champ de base que vous avez fourni. En cas de correspondance établie, le nombre d'étapes est affiché. Il s'agit de la mesure appropriée de l'efficacité de l'expression d'extraction. Si l'expression est inefficace, l'extraction peut arriver à expiration et le champ n'est pas rempli.
    Remarque

    Il est préférable que le nombre d'étapes ne dépasse pas 1 000 pour des performances optimales. Plus ce nombre est élevé, plus le traitement des journaux et leur mise en disponibilité sont longs dans l'explorateur de journaux.
  9. Cliquez sur Enregistrer.

Si vous utilisez l'option N'analyser automatiquement que l'heure dans la définition de source au lieu de créer un analyseur, le seul champ disponible pour la création de définitions de champ étendu est le champ Contenu du journal d'origine car aucun autre champ n'est rempli par l'analyseur. Reportez-vous à Utilisation de l'analyseur d'heure automatique.

Oracle Log Analytics vous permet de rechercher les champs étendus qui vous intéressent. Vous pouvez effectuer le recherche en fonction du mode de création ou du type de champ de base, ou avec un exemple de contenu du champ. Entrez l'exemple de contenu dans le champ Rechercher ou cliquez sur la flèche vers le bas de la boîte de dialogue de recherche. Dans la boîte de dialogue de recherche, sous Type de création, déterminez si les champs étendus que vous recherchez sont définis par Oracle ou définis par l'utilisateur. Sous Champ de base, vous pouvez sélectionner l'une des options disponibles. Vous pouvez également indiquer l'exemple de contenu ou l'expression de champ d'extraction à utiliser pour la recherche. Cliquez sur Appliquer des filtres.

Tableau 9-1 Exemple de contenu et expression d'extraction de champ étendu

Description Champ de base Exemple de contenu Expression d'extraction de champ étendu
Pour extraire l'extension de fichier d'adresses à partir du champ URI d'un fichier journal d'accès Fusion Middleware

URI

/service/myservice1/endpoint/file1.jpg

{Content Type:\.(jpg|html|png|ico|jsp|htm|jspx)}

Cette opération extrait le suffixe de fichier, tel que jpg ou html, et stocke la valeur dans le champ Type de contenu. Elle extrait uniquement les suffixes répertoriés dans l'expression.

Pour extraire le nom utilisateur du chemin d'accès à une entité de journal

Log Entity

/u01/oracle/john/audit/134fa.xml

/\w+/\w+/{User Name:\w+}/\w+/\w+

Pour extraire l'heure de début du champ Message

Remarque : l'heure de début de l'événement est un champ avec le type de données Horodatage. S'il s'agissait d'un champ avec le type de données Numérique, l'heure de début serait stockée simplement sous forme de nombre et non sous forme d'horodatage.

Message

Backup transaction finished. Start=1542111920

Start={Event Start Time:\d+}

Source : /var/log/messages

Nom de l'analyseur : Linux Syslog Format

Message

authenticated mount request from 10.245.251.222:735 for /scratch (/scratch)

authenticated {Action:\w+} request from {Address:[\d\.]+}:{Port:\d+} for {Directory:\S+}\s(

Source : /var/log/yum.log

Nom de l'analyseur : Yum Format

Message

Updated: kernel-headers-2.6.18-371.0.0.0.1.el5.x86_64

{Action:\w+}: {Package:.*}

Source : Database Alert Log

Nom de l'analyseur : Database Alert Log Format (Oracle DB 11.1+)

Message

Errors in file /scratch/cs113/db12101/diag/rdbms/pteintg/pteintg/trace/pteintg_smon_3088.trc (incident=4921): ORA-07445: exception encountered: core dump [semtimedop()+10] [SIGSEGV] [ADDR:0x16F9E00000B1C] [PC:0x7FC6DF02421A] [unknown code] []

Errors in file {Trace File:\S+} (incident={Incident:\d+}): {Error ID:ORA-\d+}: exception encountered: core dump [semtimedop()+10] [SIGSEGV] [ADDR:{Address:[\w\d]+] [PC:{Program Counter:[\w\d]+}] [unknown code] []

Source : FMW WLS Server Log

Nom de l'analyseur : WLS Server Log Format

Message

Server state changed to STARTING

Server state changed to {Status:\w+}

Configuration des options d'enrichissement de champ

Oracle Log Analytics permet la configuration d'options d'enrichissement de champ afin d'extraire et d'afficher des informations pertinentes à partir des données de champs étendus.

L'une des options d'enrichissement de champ est Géolocalisation, qui convertit les adresses IP ou les coordonnées de lieu présentes dans les enregistrements de journal en un code pays ou pays. Il peut être utilisé dans des sources de journal telles que les journaux d'accès Web qui ont des adresses IP client externes.

A l'aide de l'option d'enrichissement de champ Recherche, vous pouvez mettre en correspondance des combinaisons champ-valeur entre des journaux et une table de recherche externe.

Incluez des informations supplémentaires dans vos entrées de journal à l'aide de l'option Champs supplémentaires. Ces informations sont ajoutées à chaque entrée de journal au moment du traitement.

Pour remplacer une chaîne/expression dans un champ par une autre expression et stocker le résultat dans un champ de sortie, utilisez l'option Substitution.

Remarque

  • Pour une source, vous pouvez définir un maximum de trois enrichissements de champ, chacun de type différent.

  • Pour ajouter le groupe de journaux en tant que champ d'entrée, indiquez son OCID pour la valeur au lieu du nom.

Rubriques :

Utilisation des recherches au moment de l'ingestion dans la source

Oracle Log Analytics permet d'enrichir les données du journal avec d'autres combinaisons champ-valeur à partir des recherches, en configurant l'option d'enrichissement de champ Recherche dans la source. Oracle Log Analytics met en correspondance la valeur du champ indiqué avec une table de recherche externe et, en présence d'un résultat, ajoute les autres combinaisons champ-valeur de l'enregistrement de recherche correspondant aux données du journal. Reportez-vous à Gestion des recherches.

Vous pouvez ajouter des données à partir de plusieurs consultations en configurant l'option Enrichissement de champ de consultation plusieurs fois. L'enrichissement de champ de recherche est traité dans le même ordre que lors de sa création. Par conséquent, si vous avez des codes express associés où les clés se chevauchent et aident à ajouter d'autres enrichissements au traitement de chaque code express, veillez à inclure les clés qui se chevauchent dans les sélections d'entrée et de sortie de la définition d'enrichissement de champ de recherche. Pour obtenir un exemple d'utilisation de plusieurs codes express associés pour enrichir les données de journal, voir Exemple d'ajout d'enrichissements de champs de consultation multiples.

Etapes d'ajout d'enrichissement de champ de consultation

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Log Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

    Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.

    La page Sources apparaît. Cliquez sur Créer une source.

    Vous pouvez également cliquer sur l'icône de menu Actions Icône Actions en regard de l'entrée de source à modifier et sélectionner Modifier. La page Modifier une source apparaît.

    Remarque

    Assurez-vous qu'un analyseur est sélectionné dans la page de définition de source afin que le bouton Ajouter soit activé pour l'enrichissement de champ.

  2. Cliquez sur l'onglet Enrichissement de champ, puis sur Ajouter.

    La boîte de dialogue Ajouter un enrichissement de champ apparaît.

  3. Dans la fenêtre Ajouter un enrichissement de champs,

    1. Sélectionnez le compartiment dans lequel se trouve la recherche.
    2. Sélectionnez Recherche dans Fonction.
    3. Sélectionnez le nom de la table de recherche dans le menu déroulant.
    4. Sous Champs d'entrée, sélectionnez la colonne de table de recherche et le champ de source de journal avec lequel elle doit être mise en correspondance. Il s'agit de mettre en correspondance la clé de la table de recherche avec un champ rempli par l'analyseur dans Champ de source de journal. Par exemple, la colonne errid de la table de recherche peut être mise en correspondance avec le champ Error ID des journaux.

      La liste des champs d'entrée dans Champ de source de journal est limitée aux champs que la source de journal remplit.

    5. Sous Actions, sélectionnez le nouveau champ de source de journal et la valeur du champ dans la colonne de la table de recherche avec laquelle elle doit être mise en correspondance. Lorsqu'un enregistrement correspondant est trouvé dans la table de recherche spécifiée en fonction de la correspondance d'entrée ci-dessus, le champ d'entrée indiqué dans le champ Source de journal est ajouté au journal avec la valeur de la colonne d'interrogation de sortie spécifiée dans Valeur de champ. Par exemple, la colonne erraction de la table de recherche peut être mise en correspondance avec le champ Action.

      Vous pouvez également cliquer sur + Autre élément pour mapper d'autres champs de sortie.

    6. Cliquez sur Ajouter un enrichissement de champs.

    La recherche est ajoutée à la table d'enrichissement de champ.

  4. La case Activé doit rester cochée.

  5. Pour ajouter d'autres recherches, répétez les étapes 3 et 4.

Lorsque vous affichez les enregistrements de journal de la source de journal pour laquelle vous avez créé l'enrichissement de champ de recherche au moment de l'inclusion, vous pouvez constater que le champ de sortie affiche les valeurs fournies par rapport aux entrées de journal en raison de la référence de table de recherche que vous avez utilisée en créant l'enrichissement de champ. Reportez-vous à Gestion des recherches.

Exemple d'ajout d'enrichissements de champs de consultation multiples

Vous pouvez ajouter jusqu'à trois enrichissements de champ de consultation à une source. Les consultations individuelles peuvent ou non être liées les unes aux autres.

L'exemple suivant illustre comment trois codes express associés peuvent être configurés de sorte que les données de journal puissent être enrichies avec les informations des trois codes express. Considérez les trois recherches connexes suivantes qui contiennent des informations sur plusieurs hôtes :

Lookup1: SystemConfigLookup

Numéro de série Constructeur Système d'exploitation Mémoire Type de processeur Lecteur de disque ID d'hôte
NUMÉRO DE SÉRIE-01 Manuf1 OS1 256TB Proc1 Disque dur 1 001
NUMÉRO DE SÉRIE-02 Manuf2 OS2 7.5TB Proc3 Disque dur électronique 1 002
NUMÉRO DE SÉRIE-03 Manuf2 OS3 16TB Proc2 Disque dur électronique 1 003
NUMÉRO DE SÉRIE-04 Manuf3 OS1 512TB Proc5 Disque dur 1 004
NUMÉRO DE SÉRIE-05 Manuf1 OS1 128TB Proc4 Disque dur 1 001

Lookup2: GeneralHostConfigLookup

ID d'hôte Propriétaire d'hôte Lieu de l'hôte Description de l'hôte Adresse IP de l'hôte
1 001 Jack San Francisco Description de l'hôte Jack 192.0.2.76
1 002 Alexis Denver Description de l'hôte Alexis 203.0.113.58
1 003 Jean Seattle Description de l'hôte John 198.51.100.11
1 004 Jane San José Description de l'hôte Jane 198.51.100.164

Lookup3: NetworkConfigLookup

Adresse IP Masque de sous-réseau Passerelle Serveur DNS
192.0.2.76 255.255.255.252 192.0.2.1 Serveur récursif
203.0.113.58 255.255.255.0 203.0.113.1 Serveur faisant autorité
198.51.100.11 255.255.255.224 198.51.100.1 Serveur racine
198.51.100.164 255.255.255.192 198.51.100.1 Serveur récursif

Entre les recherches Lookup1 et Lookup2, Host ID est la clé commune qui peut être sélectionnée comme sortie dans le premier enrichissement de champ de recherche et comme entrée dans le deuxième enrichissement de champ de recherche. De même, entre les recherches Lookup2 et Lookup3, IP Address est la clé commune qui peut être sélectionnée comme sortie dans le premier enrichissement de champ de consultation et comme entrée dans le deuxième enrichissement de champ de consultation.

Avec le paramètre ci-dessus, laissez les enrichissements de champ de recherche être configurés dans l'ordre 1, 2 et 3 :

Enrichissement de champ de consultation Nom de table de recherche Champs d'entrée Actions
1 SystemConfigLookup
  • Champ de source de journal : Serial Number
  • Colonne de table de consultation : Serial Number
  • Nouveau champ de source de journal 1 : Operating System
  • Valeur du champ 1 : Operating System
  • Nouveau champ de source de journal 2 : Memory
  • Valeur du champ 2 : Memory
  • Nouveau champ Source de journal 3 : Host ID
  • Valeur du champ 3 : Host ID
2 GeneralHostConfigLookup
  • Champ de source de journal : Host ID
  • Colonne de table de consultation : Host ID
  • Nouveau champ de source de journal 1 : Host Owner
  • Valeur du champ 1 : Host Owner
  • Nouveau champ de source de journal 2 : Host IP Address
  • Valeur du champ 2 : Host IP Address
3 NetworkConfigLookup
  • Champ de source de journal : Host IP Address
  • Colonne de table de consultation : IP Address
  • Nouveau champ de source de journal 1 : Gateway
  • Valeur du champ 1 : Gateway
  • Nouveau champ de source de journal 2 : DNS Server
  • Valeur du champ 2 : DNS Server

Une fois la configuration d'enrichissement ci-dessus terminée, lorsque le champ Serial Number est détecté dans les données de journal, il est enrichi de Operating System, Memory, Host ID, Host Owner, Host IP Address, Gateway et DNS Server à partir des trois recherches. So, for the serial number SER-NUM-01 detected in the log, it is enriched with additional information OS1, 256TB, 1001, Jack, 192.0.2.76, 192.0.2.1, and Recursive server.

Utiliser le champ de géolocalisation pour regrouper les journaux

Après avoir configuré l'enrichissement du champ Géolocalisation, vous pouvez afficher les enregistrements de journal regroupés par pays ou code pays. Cela est utile lorsque vous analysez des journaux qui contiennent des informations d'emplacement cruciales telles que l'adresse IP ou les coordonnées d'emplacement, par exemple, des journaux d'accès, des journaux de trace ou des journaux de transport d'application.

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Log Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

    Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.

    La page Sources apparaît. Cliquez sur Créer une source.

    Vous pouvez également cliquer sur l'icône de menu Actions Icône Actions en regard de l'entrée de source à modifier et sélectionner Modifier. La page Modifier une source apparaît.

  2. Ajoutez la définition des champs étendus pour le champ de base qui contient les enregistrements d'adresse IP ou de noms d'hôte spécifiques au pays, tels que l'adresse IP d'hôte.
  3. Cliquez sur l'onglet Enrichissement de champ, puis sur Ajouter.
  4. Dans la fenêtre Ajouter un enrichissement de champs, sélectionnez Géolocalisation comme fonction.
  5. Sous la section Champs d'entrée, sélectionnez Champ IP, qui est le nom du champ de gelocation extrait par l'analyseur des journaux, par exemple Client Coordinates ou Host IP Address (Client).

    Pour détecter les menaces à l'aide des informations de géolocalisation, cochez la case Enrichissement des informations sur les menaces. Lors de l'assimilation des données de journal, si la valeur d'adresse IP associée au champ d'entrée Adresse source dans le contenu de journal est marquée comme une menace, elle est ajoutée au champ Adresses IP de menace. Vous pouvez ensuite utiliser ce champ pour filtrer les journaux auxquels une menace est associée. En outre, ces enregistrements de journal auront également une étiquette IP de menace avec une priorité de problème Elevée. Vous pouvez utiliser le libellé dans votre recherche.

    Les enregistrements de journal associés à une priorité de problème Elevée comportent un point rouge dans la ligne. Cela rend ces enregistrements de journal plus importants dans leur apparence dans le tableau, ce qui vous permet de les repérer et de les analyser facilement. Vous pouvez ensuite ouvrir les adresses IP de menace dans la console Oracle Threat Intelligence et obtenir plus d'informations sur la menace.

  6. Cliquez sur Ajouter.

Ajouter des données supplémentaires à vos entrées de journal au moment du traitement

Vous pouvez inclure plus d'informations dans chacune de vos entrées en tant que métadonnées supplémentaires. Ces informations ne font pas partie de l'entrée de journal mais sont ajoutées au moment du traitement, par exemple, ID de conteneur, Noeud. Pour obtenir un exemple d'ajout de métadonnées lors du téléchargement de journaux à la demande, reportez-vous à Téléchargement de journaux à la demande.

Les informations ainsi ajoutées peuvent ne pas être directement visibles dans l'explorateur de journaux. Pour la rendre visible dans l'explorateur de journaux pour votre analyse de journal, procédez comme suit :

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Log Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

    Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.

    La page Sources apparaît. Cliquez sur l'icône Icône Actions du menu Actions en regard de l'entrée de source à modifier et sélectionnez Modifier. La page Modifier la source apparaît.

    Remarque

    Assurez-vous qu'un analyseur est sélectionné dans la page de définition de source afin que le bouton Ajouter soit activé pour l'enrichissement de champ.

  2. Cliquez sur l'onglet Enrichissement de champ, puis sur Ajouter.

    La boîte de dialogue Ajouter un enrichissement de champ apparaît.

  3. Dans la fenêtre Ajouter un enrichissement de champs,

    1. Sélectionnez Champs supplémentaires comme fonction.
    2. Sous Mettre en correspondance les champs, sélectionnez les champs à mettre en correspondance avec la source. Les champs sélectionnés dans les analyseurs associés à cette source ne sont pas disponibles ici.
    3. Cliquez sur Ajouter.

Une fois que vous avez spécifié les champs supplémentaires, ils sont visibles dans l'explorateur de journaux pour l'analyse des journaux. Ils peuvent également être sélectionnés lors de la configuration des champs étendus ou des libellés pour les sources.

Utiliser la fonction de substitution pour remplacer une expression dans un champ

Lors du traitement du journal, si vous voulez remplacer une partie de la valeur du champ par une autre chaîne ou expression, utilisez la fonction de substitution et stockez l'expression résultante du champ dans un autre champ de sortie.

Prenons le scénario dans lequel vous voulez capturer tous les enregistrements de journal dont le champ est URI avec le contenu du format http://www.example.com/forum/books?<ISBN>, et où la valeur ISBN varie avec chaque enregistrement de journal. Dans ce cas, vous pouvez remplacer la valeur ISBN dans le champ de chaque enregistrement de journal par une chaîne allExampleBooks et la stocker dans un champ modified_URI. Par conséquent, tous les enregistrements de journal capturés avec URI au format ci-dessus auront également le champ modified_URI avec la valeur http://www.example.com/forum/books?allExampleBooks. Vous pouvez désormais utiliser le champ modified_URI dans votre requête de recherche pour filtrer ces journaux en vue d'une analyse plus approfondie dans l'explorateur de journaux.

En outre, utilisez l'option Substituer toutes les correspondances pour remplacer toutes les occurrences de la valeur dans le champ. Par exemple, si le champ Original log content comporte plusieurs occurrences d'adresse IP que vous souhaitez remplacer par une chaîne, vous pouvez utiliser cette option. Le résultat peut être enregistré dans un champ, par exemple Altered log content. Vous pouvez désormais utiliser le champ Altered log content dans la requête pour filtrer tous les enregistrements de journal qui ont des adresses IP dans le champ Original log content.

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Log Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

    Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.

    La page Sources apparaît. Cliquez sur Créer une source.

    Vous pouvez également cliquer sur l'icône de menu Actions Icône Actions en regard de l'entrée de source à modifier et sélectionner Modifier. La page Modifier une source apparaît.

  2. Entrez le nom de la source et une description appropriée, puis sélectionnez le type de source. Sélectionnez un analyseur qui doit être utilisé pour analyser les journaux. Ces sélections déterminent les champs disponibles pour l'enrichissement des champs.

  3. Cliquez sur l'onglet Enrichissement de champ, puis sur Ajouter un enrichissement de champ.

  4. Dans la boîte d'enrichissement de champ Ajouter, sélectionnez Substitution comme fonction.

  5. Dans la section Champs d'entrée :

    1. Sélectionnez le champ de source de journal contenant les valeurs à remplacer, par exemple URI.

    2. Sous Expression à mettre en correspondance, indiquez l'expression d'expression régulière à mettre en correspondance pour la chaîne du champ à remplacer.

    3. Indiquez la chaîne/expression de remplacement qui doit remplacer la valeur d'origine du champ d'entrée.

    4. Si le champ comporte plusieurs occurrences de la chaîne que vous souhaitez remplacer, cochez la case Substituer toutes les correspondances.

  6. Sous la section Champ de sortie, sélectionnez le champ qui doit stocker la nouvelle valeur du champ d'entrée une fois la valeur d'origine remplacée par la valeur de substitution.

  7. Cliquez sur Ajouter un enrichissement de champs.

Utilisation de libellés dans les sources

Oracle Log Analytics permet d'ajouter des libellés ou des balises aux enregistrements de journal, en fonction de conditions définies.

Lorsqu'une entrée de journal correspond à la condition que vous avez définie, un libellé est rempli avec cette entrée de journal. Ce libellé est disponible dans les visualisations de l'explorateur de journaux, ainsi que pour la recherche et le filtrage des entrées de journal.

Vous pouvez employer des libellés définis par Oracle ou créés par l'utilisateur dans les sources. Pour créer un libellé personnalisé afin de baliser une entrée de journal spécifique, reportez-vous à Création d'un libellé.

  1. Pour utiliser des libellés dans une source existante, modifiez cette source. Pour connaître les étapes d'ouverture de la page Modifier une source, reportez-vous à Modification de la source.

  2. Cliquez sur l'onglet Libellés.

  3. Pour ajouter un libellé conditionnel, cliquez sur Ajouter un libellé conditionnel.

    Dans la section Conditions, procédez comme suit :

    1. Sélectionnez le champ de journal sur lequel appliquer la condition dans la liste Champ d'entrée.

    2. Select the operator from the Operator list Contains, Contains Ignore Case, Contains Regex, Contains one of Regexes, Ends With, Equal, Equal Ignore Case, In, In Ignore Case, Is Null, Not Contains, Not Equal, Not In, Not Null, and Starts With.

    3. Dans le champ Valeur de condition, indiquez la valeur de la condition à mettre en correspondance pour appliquer le libellé.

      Remarque

      Pour ajouter le groupe de journaux en tant que champ d'entrée, indiquez son OCID pour la valeur au lieu du nom.

    4. Pour ajouter d'autres conditions, cliquez sur l'icône Ajouter une condition Icône Ajouter une condition et répétez les étapes 3a à 3c. Sélectionnez l'opération logique à appliquer aux conditions multiples. Sélectionnez ET, OU, PAS ET ou PAS OU.

      Pour ajouter un groupe de conditions, cliquez sur l'icône Condition de groupe Icône Condition de groupe, puis répétez les étapes 3a à 3c pour ajouter chaque condition. Un groupe de conditions doit avoir plusieurs conditions. Sélectionnez l'opération logique à appliquer au groupe de conditions. Sélectionnez ET, OU, PAS ET ou PAS OU.

      Pour enlever une condition, cliquez sur l'icône Enlever une condition Icône Enlever une condition.

      Pour afficher la liste des conditions sous forme d'instruction, cliquez sur Afficher le récapitulatif des conditions.

  4. Sous Actions, sélectionnez des libellés déjà disponibles définis par l'utilisateur ou par Oracle. Si nécessaire, vous pouvez créer un libellé en cliquant sur Créer un libellé.

    Cochez la case Activé.

  5. Cliquez sur Ajouter.

Oracle Log Analytics vous permet de rechercher les libellés qui vous intéressent dans l'explorateur de journaux. Vous pouvez effectuer la recherche en fonction de l'un des paramètres définis pour les libellés. Entrez la chaîne de recherche dans le champ Rechercher. Vous pouvez indiquer les critères de recherche dans la boîte de dialogue de recherche. Sous Type de création, déterminez si les libellés que vous recherchez sont définis par Oracle ou définis par l'utilisateur. Sous les champs Champ d'entrée, Opérateur et Champ de sortie, vous pouvez sélectionner l'une des options disponibles. Vous pouvez également fournir la valeur de condition ou la valeur de sortie à utiliser pour la recherche. Cliquez sur Appliquer des filtres.

Vous pouvez maintenant effectuer des recherches sur les données de journal en fonction des libellés que vous avez créés. Reportez-vous à Filtrage des journaux par libellé.

Utiliser les champs conditionnels pour enrichir le jeu de données

Si vous voulez sélectionner une valeur arbitraire et y écrire une valeur, vous pouvez éventuellement utiliser les champs conditionnels. L'ajout d'une valeur dans un champ arbitraire à l'aide de la fonctionnalité des champs conditionnels est très semblable à l'utilisation des recherches. Toutefois, l'utilisation des champs conditionnels offre plus de flexibilité dans vos conditions de correspondance et sont idéaux pour traiter un petit nombre de conditions, ou définitions de remplissage des champs. Par exemple, si vous appliquez quelques conditions pour remplir un champ, vous pouvez éviter de créer et de gérer une recherche à l'aide de champs conditionnels.

Les étapes d'ajout des champs conditionnels sont similaires à celles du workflow ci-dessus pour l'ajout de libellés conditionnels.

  • A l'étape 3, au lieu de cliquer sur Ajouter un libellé conditionnel, cliquez sur Ajouter un champ conditionnel. Le reste de l'étape 3 de sélection des conditions reste le même que le flux de travail ci-dessus.

  • à l'étape 4 ci-dessus,

    1. Dans le menu Champ de sortie, sélectionnez l'un des champs déjà disponibles définis par Oracle ou créés par l'utilisateur. Si nécessaire, vous pouvez créer un champ en cliquant sur Créer un champ.

    2. Entrez une valeur de sortie à écrire pour le champ de sortie lorsque la condition d'entrée est vraie.

      Par exemple, la source peut être configurée afin d'attacher la valeur de sortie authentication.login pour le champ de sortie Security Category lorsque l'enregistrement de journal contient le champ d'entrée Method défini sur la valeur CONNECT.

      Cochez la case Activé.

Utilisation de l'analyseur d'heure automatique

Oracle Log Analytics permet de configurer la source afin d'utiliser un analyseur générique au lieu de créer un analyseur pour vos journaux. Dans ce cas, l'heure du journal est analysée à partir des entrées de journal uniquement si l'heure peut être identifiée par Oracle Log Analytics.

Cela est particulièrement utile lorsque vous hésitez sur le mode d'analyse des journaux ou d'écriture des expressions régulières pour analyser les journaux, et que vous voulez simplement transmettre les données de journal brutes à des fins d'analyse. En règle générale, un analyseur définit la manière dont les champs sont extraits d'une entrée de journal pour un type donné de fichier journal. Toutefois, l'analyseur générique d'Oracle Log Analytics peut :

  • Détecter l'horodatage et le fuseau horaire des entrées de journal

  • Créer un horodatage en utilisant l'heure actuelle en cas d'absence d'horodatage sur les entrées de journal

  • Déterminer si les entrées de journal sont composées de plusieurs lignes ou d'une seule ligne

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Log Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

    Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.

  2. Sur la page Sources, cliquez sur Créer une source.
    La boîte de dialogue Créer une source apparaît.
  3. Dans le champ Source, saisissez le nom de la source.
  4. Dans le champ Type de source, sélectionnez Fichier.
  5. Cliquez sur Type d'entité et sélectionnez le type d'entité pour cette source.
  6. Sélectionnez N'analyser automatiquement que l'heure. Oracle Log Analytics applique automatiquement le type d'analyseur générique.
  7. Cliquez sur Enregistrer.
Lorsque vous accédez aux enregistrements de journal de la source qui vient d'être créée, Oracle Log Analytics extrait et affiche les informations suivantes des entrées du journal :

  • Horodatage :

    • Si aucun horodatage n'est indiqué pour une entrée de journal, l'analyseur générique crée et affiche l'horodatage en fonction de l'heure de collecte des données de journal.

    • Lorsqu'un enregistrement de journal contient un horodatage mais que le fuseau horaire n'est pas défini, l'analyseur générique utilise le fuseau horaire de l'agent de gestion.

      Avec l'agent de gestion, si le fuseau horaire n'est pas détecté correctement, vous pouvez le définir manuellement dans les fichiers de configuration d'agent. Reportez-vous à Indication manuelle du fuseau horaire et de l'encodage de caractères pour les fichiers.

      Lorsque vous téléchargez des journaux à la demande, vous pouvez spécifier le fuseau horaire avec votre téléchargement pour imposer le fuseau horaire si nous ne parvenons pas à le détecter correctement. Si vous utilisez l'interface de ligne de commandes, reportez-vous à la section Référence de ligne de commandes : Log Analytics- Téléchargement. Si vous utilisez l'API REST, reportez-vous à l'API Log Analytics - Téléchargement.

    • Lorsqu'un fichier journal comporte des enregistrements de journal avec plusieurs fuseaux horaires, l'analyseur générique peut prendre en charge jusqu'à 11 fuseaux horaires.

    • Lorsqu'un fichier journal affiche des entrées de journal avec fuseau horaire et d'autres sans, l'analyseur générique utilise le fuseau horaire précédemment trouvé pour celles qui n'en indiquent pas.

    • Lors de l'inclusion de journaux à l'aide de l'agent de gestion, si le fuseau horaire ou le décalage du fuseau horaire n'est pas indiqué dans les enregistrements de journal, Oracle Log Analytics compare l'heure de dernière modification du système d'exploitation avec l'horodatage de la dernière entrée du journal pour déterminer le fuseau horaire correct.

  • Plusieurs lignes : lorsqu'une entrée de journal couvre plusieurs lignes, l'analyseur générique peut capturer ce contenu multilignes correctement.