Documentation Oracle Cloud Infrastructure

Détection d'événements prédéfinis lors de l'inclusion

Vous pouvez créer des règles pour détecter un contenu spécifique dans les enregistrements de journal. Pour ce faire, vous pouvez créer une règle de détection basée sur un libellé associé aux enregistrements de journal à partir de sources de journal et de types d'entité spécifiques. Utilisez cette fonctionnalité pour identifier les anomalies au moment de l'inclusion.

Avant de créer la règle de détection, identifiez d'abord le libellé que vous pouvez utiliser pour générer l'alerte. Modifiez la source de journal et utilisez le libellé pour détecter un contenu spécifique dans les enregistrements de journal. Reportez-vous à Utilisation de libellés dans les sources. Pour créer un libellé, reportez-vous à Création d'un libellé. Par exemple, si la règle de détection doit être définie pour détecter l'erreur 503 dans Apache Tomcat Access Logs, les étapes suivantes doivent être suivies :

  • Créez un libellé, par exemple Availability Error.

  • Utilisez le libellé dans la source Apache Tomcat Access Logs.

  • Dans la définition de source, mettez en correspondance l'occurrence du champ de base Status avec la valeur 503 et le libellé Availability Error.

  • Créez la règle de détection sur le libellé Availability Error et indiquez la source de journal Apache Tomcat Access Logs en tant que filtre pour les journaux.

Pour créer et gérer une règle de détection de temps d'inclusion, assurez-vous d'abord que les droits d'accès requis sont fournis. Reportez-vous à Autoriser les utilisateurs à effectuer des opérations d'inclusion de règle d'alerte de temps.

Pour créer une règle de détection de temps d'inclusion qui génère une alerte chaque fois qu'un enregistrement de journal contenant les paramètres de libellé et de filtre correspondants est rencontré, procédez comme suit :

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Log Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

    Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Règles de détection.

    La page Règles de détection s'ouvre. Cliquez sur Créer une règle.

    La boîte de dialogue Créer une règle de détection s'ouvre.

  2. Cliquez sur Inclure la règle de détection du temps.

  3. Indiquez un nom de règle pour la règle de détection de temps d'inclusion.

  4. Dans la section Sélectionner un libellé, dans le menu, sélectionnez le libellé qui doit être détecté dans les enregistrements de journal.

    En outre, vous pouvez indiquer le type d'entité et la source de journal à utiliser pour filtrer les enregistrements de journal.

  5. Sous Sélectionner un service cible à configurer, procédez comme suit :

    Indiquez le service cible où l'alerte doit être signalée. Sélectionnez le service Monitoring. Mesure générée dans le service Monitoring avec les informations des alertes générées.

    Sélectionnez le compartiment de mesure dans lequel les mesures doivent être stockées.

    Sélectionnez l'espace de nom de mesure.

    Vous pouvez éventuellement sélectionner le groupe de ressources auquel la mesure appartient.

    Indiquez un nom de mesure pour les mesures générées pour les alertes.

  6. Par défaut, Label et Rule OCID sont utilisés en tant que dimensions. En outre, si nécessaire, vous pouvez sélectionner d'autres valeurs dans les options disponibles des champs pour Dimensions. Il s'agit des valeurs pouvant être utilisées pour filtrer les données de mesure. Les options de champ que vous pouvez sélectionner dépendent de la source de journal que vous avez indiquée à l'étape 4 en plus de certains champs couramment utilisés. Si aucune source de journal n'est indiquée, tous les champs sont disponibles.

  7. Vous pouvez éventuellement développer la section Afficher les options avancées et ajouter des balises à la règle de détection.

  8. Cliquez sur Créer une règle de Détection.

Lorsque la correspondance indiquée dans la source de journal est détectée dans l'enregistrement de journal lors de l'inclusion, une valeur de mesure est publiée dans le service OCI Monitoring. Vous pouvez obtenir des alertes à partir du service OCI Monitoring en configurant une alarme sur cette mesure. Reportez-vous à Créer des alertes pour les événements détectés.

Autoriser les utilisateurs à effectuer des opérations de règle d'alerte de temps d'inclusion

Type de ressource individuel : loganalytics-ingesttime-rule

Partie du type agrégé de ressource : loganalytics-resources-family

Cas d'emploi Stratégies IAM

La règle de temps d'inclusion peut se trouver dans n'importe quel compartiment de la location

Exemples d'instructions de stratégie permettant de fournir le droit d'accès MANAGE pour l'inclusion d'une ressource de règle de temps et l'envoi de mesures au service Monitoring :

allow group <group_name> to manage loganalytics-ingesttime-rule in tenancy

allow service loganalytics to use metrics in tenancy

La règle de temps d'inclusion se trouve dans un compartiment spécifique

Exemples d'instructions de stratégie permettant de fournir le droit d'accès MANAGE pour l'inclusion d'une ressource de règle de temps et l'envoi de mesures au service Monitoring :

allow group <group_name> to manage loganalytics-ingesttime-rule in compartment <compartment_OCID>

allow service loganalytics to use metrics in tenancy

Le droit d'accès Gérer pour la ressource de règle de temps d'inclusion vous permet de répertorier les règles de temps d'inclusion, d'obtenir des détails sur une règle de temps d'inclusion, de créer, de supprimer ou de mettre à jour une règle de temps d'inclusion, et de la déplacer vers un autre compartiment.

Certaines des instructions de stratégie ci-dessus sont incluses dans les modèles de stratégie facilement disponibles définis par Oracle. Vous pouvez envisager d'utiliser le modèle pour votre cas d'emploi. Reportez-vous à Modèles de stratégie définis par Oracle pour les cas d'utilisation courants.