Documentation Oracle Cloud Infrastructure

Créer une source

Les sources définissent l'emplacement des journaux de l'entité et le mode d'enrichissement des entrées de journal. Pour démarrer la collecte de journal en continu via les agents de gestion OCI, une source doit être associée à des entités.

Remarque

Pour des étapes plus spécifiques à

Autres sujets :

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Logging Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

    Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.

    La page Sources apparaît. Cliquez sur Créer une source.

  2. Dans le champ Nom, saisissez le nom de la source.

    Ajoutez éventuellement une description.

  3. Dans la liste Type de source, sélectionnez le type de la source de journal.
    Oracle Log Analytics prend en charge trois types de source de journal pour les sources personnalisées :

    • Fichier : utilisez ce type pour collecter la plupart des types de journal, tels que les journaux de base de données, d'application et d'infrastructure.

    • Oracle Diagnostic Logging (ODL) : utilisez ce type pour les journaux qui suivent le format des journaux Oracle Diagnostics. Il s'agit généralement des journaux de diagnostic d'Oracle Fusion Middleware et d'Oracle Applications.

    • Processeur d'écoute Syslog : ce type est généralement utilisé pour les dispositifs réseau tels que les appliances de détection des intrusions, les pare-feu ou tout autre dispositif sur lequel aucun agent de gestion n'a pu être installé.

    • Microsoft Windows : utilisez ce type pour collecter les messages d'événement Windows. Oracle Logging Analytics peut collecter toutes les entrées historiques du journal des événements Windows. Il prend en charge Windows et les canaux d'événement personnalisés.

      Remarque

      Ce type de source ne requiert pas le champ Analyseur de journal.

    • Base de données : utilisez ce type de source pour collecter les journaux stockés dans les tables d'une base de données sur site. Avec ce type de source, une requête SQL est exécutée régulièrement pour collecter les données de table sous forme d'entrée de journal.

    • API REST : utilisez ce type de source pour configurer une collecte de journaux continue basée sur l'API REST à partir d'URL d'adresse qui répondent avec des messages de journal. Avec ce type de source, un appel d'API GET ou POST est effectué vers l'URL endpoint que vous fournissez pour obtenir les journaux.

  4. Cliquez sur le champ Type d'entité et sélectionnez le type d'entité pour cette source de journal. Par la suite, lorsque vous associez cette source à une entité pour activer la collecte de journal via l'agent de gestion, seules les entités de ce type sont disponibles pour association. Une source peut comprendre un seul type d'entité ou plusieurs types d'entité.

    • Si vous avez sélectionné Fichier, API REST ou Oracle Diagnostic Log (ODL), il est recommandé de sélectionner le type d'entité de source de journal qui correspond le mieux à ce que vous allez surveiller. Evitez de sélectionner des types d'entité composites comme Cluster de base de données. Sélectionnez plutôt le type d'entité Instance de base de données car les journaux sont générés au niveau de l'instance.

    • Si vous avez sélectionné le type de source Processus d'écoute syslog, sélectionnez l'une des variantes de Host.

    • Si vous avez sélectionné le type de source Base de données, le type d'entité est limité aux types de base de données admissibles.

    • Si vous avez sélectionné le type de source Système d'événements Windows, le type d'entité par défaut Host (Windows) est automatiquement sélectionné et ne peut pas être modifié.

  5. Cliquez sur le champ Analyseur et sélectionnez le nom de l'analyseur approprié, tel que Format des entrées de journal d'audit de base de données.
    Vous pouvez sélectionner plusieurs analyseurs de fichier pour les fichiers journaux. Cela est particulièrement utile lorsqu'un fichier journal contient des entrées avec des syntaxes différentes et ne peut pas être analysé par un seul analyseur.

    L'ordre d'ajout des analyseurs est important. Lorsqu'Oracle Logging Analytics lit un fichier journal, il essaie le premier analyseur et passe au deuxième si le premier ne fonctionne pas. Ce processus se poursuit jusqu'à aboutir à un analyseur fonctionnel. Sélectionnez d'abord l'analyseur le plus courant pour cette source.

    Pour le type de source ODL, le seul analyseur disponible est Format Oracle Diagnostic Logging.

    Pour le type de source Syslog, l'une des variantes d'analyseur, comme Format standard syslog ou Format RFC5424 syslog, est généralement utilisée. Vous pouvez également sélectionner l'un des analyseurs syslog définis par Oracle pour des dispositifs réseau spécifiques.

    Le champ Analyseur de fichiers n'est pas disponible pour les types de source Système d'événements Windows et API REST. Pour le type de source Système d'événements Windows, Oracle Logging Analytics extrait les données de journal déjà analysées.

    Pour analyser uniquement les informations horaires des entrées de journal, vous pouvez sélectionner l'analyseur d'heure automatique. Reportez-vous à Utilisation de l'analyseur d'heure automatique.

  6. Saisissez les informations suivantes en fonction du type de source :

    • Type de source Syslog : indiquez le port de processus d'écoute.

    • Type de source Windows : indiquez un nom de canal de service d'événements. Le nom du canal doit correspondre au nom de l'événement Windows afin que l'agent puisse former l'association pour récupérer les journaux.

    • Type de source Base de données : indiquez les instructions SQL et cliquez sur Configurer. Mettez en correspondance les colonnes de table SQL avec les champs disponibles dans le menu. Pour créer un champ pour la mise en correspondance, cliquez sur l'icône Icône Ajouter.

    • Type de source d'API REST : cliquez sur Ajouter une adresse de journal pour fournir une URL d'adresse de journal unique ou sur Ajouter une adresse de liste de journaux pour plusieurs journaux pour fournir une URL d'adresse de liste de journaux pour plusieurs journaux à partir desquels les journaux peuvent être collectés périodiquement en fonction de la configuration de l'heure dans l'interface utilisateur. Pour plus d'informations sur la configuration de la collecte de journaux d'API REST, reportez-vous à Configuration de la collecte de journaux d'API REST.

    • Types de source Fichier et ODL : utilisez les onglets Inclure et Exclure.

      • Dans l'onglet Modèles inclus, cliquez sur Ajouter afin d'indiquer des modèles de nom de fichier pour cette source.

        Entrez le modèle de nom de fichier et la description.

        Vous pouvez saisir des paramètres entre accolades {}, comme {AdrHome}, dans le cadre du modèle de nom de fichier. Oracle Logging Analytics remplace ces paramètres dans le modèle d'inclusion par les propriétés d'entité lorsque la source est associée à une entité. La liste des paramètres possibles est définie par le type d'entité. Si vous créez vos propres types d'entité, vous pouvez définir vos propres propriétés. Lorsque vous créez une entité, vous êtes invité à fournir une valeur pour chaque propriété de cette entité. Vous pouvez également ajouter vos propres propriétés personnalisées par entité, si nécessaire. Toutes ces propriétés peuvent être utilisées en tant que paramètres dans les modèles inclus.

        Par exemple, pour une entité donnée avec la propriété {AdrHome} définie sur /u01/oracle/database/, le modèle d'inclusion {AdrHome}/admin/logs/*.log est remplacé par /u01/oracle/database/admin/logs/*.log pour cette entité spécifique. Toutes les autres entités sur le même hôte peuvent présenter une valeur différente pour {AdrHome}, ce qui entraîne la collecte d'un ensemble complètement différent de fichiers journaux pour chaque entité.

        Vous pouvez associer une source à une entité uniquement si les paramètres requis par la source dans les modèles possèdent une valeur pour l'entité concernée.

        Vous pouvez configurer des avertissements dans la collection de journal pour vos modèles. Dans la liste déroulante Envoyer un avertissement, sélectionnez la situation dans laquelle l'avertissement doit être émis :

        • Pour chaque modèle présentant un problème : lorsque vous avez défini plusieurs modèles d'inclusion, un avertissement de collecte de journal est envoyé pour chaque modèle de nom de fichier qui ne correspond pas.

        • Uniquement si tous les modèles présentent des problèmes : lorsque vous avez défini plusieurs modèles d'inclusion, un avertissement de collecte de journal est envoyé uniquement si tous les modèles de nom de fichier ne correspondent pas.

      • Vous pouvez utiliser un modèle exclu lorsque des fichiers se trouvant au même emplacement ne doivent pas être inclus dans la définition de source. Dans l'onglet Modèles exclus, cliquez sur Ajouter pour définir les modèles de nom de fichier journal à exclure de la source de journal.

        Par exemple, un fichier nommé audit.aud est présent dans le répertoire que vous avez configuré en tant que source d'inclusion (/u01/app/oracle/admin/rdbms/diag/trace/). Ce même emplacement contient un autre fichier portant le nom audit-1.aud. Vous pouvez exclure tous les fichiers correspondant au modèle audit-*.aud.

  7. Ajoutez des filtres de données. Reportez-vous à Utilisation de filtres de données dans les sources.
  8. Ajoutez des champs étendus. Reportez-vous à Utilisation de champs étendus dans les sources.
  9. Configurez les options d'enrichissement de champ. Reportez-vous à Configuration des options d'enrichissement de champ.
  10. Ajouter des libellés. Reportez-vous à Utilisation de libellés dans les sources.
  11. Cliquez sur Enregistrer.

Utilisation de filtres de données dans les sources

Oracle Logging Analytics permet de masquer les informations sensibles dans les entrées de journal, ainsi que des entrées de journal complètes avant de télécharger les données de journal vers le cloud.

Lorsque vous modifiez ou créez une source à l'aide de l'onglet Filtres de données, vous pouvez masquer les adresses IP, l'ID utilisateur, le nom d'hôte et d'autres informations sensibles grâce à des chaînes de remplacement, supprimer des mots-clés et des valeurs spécifiques d'une entrée de journal, et masquer une entrée de journal entière.

Vous pouvez ajouter des filtres de données lors de la création d'une source de journal ou lors de la modification d'une source existante. Pour en savoir plus sur la modification de sources de journal existantes, reportez-vous à Personnalisation d'une source définie par Oracle.

Si les données de journal sont envoyées à Oracle Logging Analytics à l'aide du téléchargement à la demande ou de la collecte à partir de la banque d'objets, le masquage est effectué côté cloud avant l'indexation des données. Si vous collectez les journaux à l'aide de l'agent de gestion, les journaux sont masqués avant que le contenu ne quitte vos locaux.

Rubriques :

Masquage des données de journal

Le processus de masquage consiste à prendre un ensemble de texte existant et à le remplacer par un autre texte statique pour cacher le contenu d'origine.

Pour masquer des informations telles que le nom utilisateur et le nom d'hôte dans les entrées de journal, procédez comme suit :

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Logging Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

  2. Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.

  3. Cliquez sur le nom de la source à modifier. La page des détails de la source apparaît. Cliquez sur Modifier pour modifier la source.

  4. Cliquez sur l'onglet Filtres de données, puis sur Ajouter.

  5. Entrez le nom du masque, sélectionnez Masque comme type, et entrez la valeur Expression de recherche et la valeur Expression de remplacement associée.

    La valeur Expression de recherche peut être une recherche en texte brut ou une expression régulière standard. Le texte correspondant à l'expression de recherche est remplacé par l'expression de remplacement dans toute l'entrée de journal.

    Nom Expression de recherche Expression de remplacement
    masquer le nom utilisateur User=\S User=confidential
    masquer l'hôte Host=\S+ Host=mask_host
    Remarque

    La syntaxe de la chaîne de remplacement doit correspondre à la syntaxe de la chaîne à remplacer. Par exemple, un nombre ne doit pas être remplacé par une chaîne. Une adresse IP au format 123.45.67.89 doit être remplacée par 000.000.000.000 et non par 000.000. Si les syntaxes ne correspondent pas, les analyseurs peuvent rencontrer des problèmes.

  6. Cliquez sur Enregistrer.

Lorsque vous visualisez les entrées de journal masquées pour cette source de journal, vous constatez qu'Oracle Logging Analytics a masqué les valeurs des champs que vous avez spécifiés.

  • User = confidentiel

  • Host = masque_hôte

Masquage des données de journal par hachage

Lorsque vous masquez les données de journal à l'aide du masque comme le décrit la section précédente, les informations masquées sont remplacées par une chaîne statique fournie dans l'expression de remplacement. Par exemple, lorsque le nom utilisateur est masqué avec la chaîne confidentiel, le nom utilisateur est toujours remplacé par l'expression confidentiel dans les enregistrements de journal, à chaque occurrence. En utilisant un masque de hachage, vous pouvez hacher la valeur trouvée avec un hachage unique. Par exemple, si les enregistrements de journal contiennent plusieurs noms utilisateur, chaque nom utilisateur est haché en valeur unique. Par conséquent, si la chaîne user1 est remplacée par le hachage de texte ebdkromluceaqie à chaque occurrence, le hachage peut toujours être utilisé pour déterminer que ces entrées de journal concernent le même utilisateur. Cependant, le nom utilisateur réel n'est pas visible.

Risque associé : comme il s'agit d'un hachage, il n'est pas possible de récupérer la valeur réelle du texte d'origine masqué. Cependant, en prenant le hachage de n'importe quelle chaîne, vous aboutissez au même hachage à chaque fois. Tenez compte de ce risque lors du masquage des données de journal par hachage. Par exemple, pour la chaîne oracle, le hachage MD5 est a189c633d9995e11bf8607170ec9a4b8. Chaque fois que quelqu'un tente de créer un hachage MD5 de la chaîne oracle, la valeur est toujours la même. Bien que vous ne puissiez pas partir de ce hachage MD5 et revenir à la chaîne d'origine oracle, si une personne tente de deviner la valeur oracle et de la hacher à nouveau, elle constate que le hachage correspond à celui de l'entrée de journal.

Pour appliquer le filtre de données de masque de hachage aux données de journal, procédez comme suit :

  1. Accédez à la page Créer une source. Pour connaître les étapes à suivre, reportez-vous à Création d'une source.

  2. Vous pouvez également modifier une source qui existe déjà. Pour connaître les étapes d'ouverture de la page Modifier une source, reportez-vous à Modification de la source.

  3. Cliquez sur l'onglet Filtres de données, puis sur Ajouter.

  4. Entrez le nom du masque, sélectionnez Masque de hachage comme type, et entrez la valeur Expression de recherche et la valeur Expression de remplacement associée.

    Nom Expression de recherche Expression de remplacement
    Masquer le nom utilisateur User=(\S+)s+ Hachage de texte
    Masquer le port Port=(\d+)s+ Hachage numérique

  5. Cliquez sur Enregistrer.

Pour utiliser un masque de hachage sur un champ basé sur une chaîne, vous pouvez employer un hachage de texte ou numérique comme champ de chaîne. Toutefois, si le champ de données est numérique (entier, long ou à virgule flottante, par exemple), vous devez utiliser un hachage numérique. Si vous n'appliquez pas un hachage numérique, le texte de remplacement entraîne la rupture de vos expressions régulières qui dépendent du caractère numérique de cette valeur. La valeur n'est pas non plus stockée.

Le remplacement a lieu avant l'analyse des données. En règle générale, lorsque les données doivent être masquées, le remplacement numérique n'est pas toujours implicite. Vous devez donc choisir le type de hachage lors de la création de la définition du masque.

Dans l'exemple de masquage par hachage ci-dessus, chaque nom utilisateur est remplacé par un hachage de texte unique, et chaque numéro de port est remplacé par un hachage numérique unique.

Vous pouvez utiliser le masque de hachage lors du filtrage ou de l'analyse des données de journal. Reportez-vous à Filtre des journaux par masque de hachage.

Suppression de mots-clés ou de valeurs spécifiques dans les enregistrements de journal

Oracle Logging Analytics permet de rechercher un mot-clé ou une valeur spécifique dans les enregistrements de journal, et de supprimer le mot-clé ou la valeur mis en correspondance s'il existe dans les enregistrements de journal.

Prenons l'enregistrement de journal suivant :

ns5xt_119131: NetScreen device_id=ns5xt_119131  [Root]system-notification-00257(traffic): start_time="2017-02-07 05:00:03" duration=4 policy_id=2 service=smtp proto=6 src zone=Untrust dst zone=mail_servers action=Permit sent=756 rcvd=756 src=192.0.2.1 dst=203.0.113.1 src_port=44796 dst_port=25 src-xlated ip=192.0.2.1 port=44796 dst-xlated ip=203.0.113.1 port=25 session_id=18738

Pour masquer le mot-clé device_id et sa valeur dans l'enregistrement de journal, procédez comme suit :

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Logging Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

  2. Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.

  3. Cliquez sur le nom de la source à modifier. La page des détails de la source apparaît. Cliquez sur Modifier pour modifier la source.

  4. Cliquez sur l'onglet Filtres de données, puis sur Ajouter.

  5. Entrez le filtre Nom, sélectionnez Supprimer la chaîne comme type et entrez la valeur Expression de recherche device_id=\S*.

  6. Cliquez sur Enregistrer.

Lorsque vous visualisez les enregistrements de journal pour cette source, vous constatez qu'Oracle Logging Analytics a supprimé les mots-clés ou les valeurs que vous avez indiqués.

Remarque

Assurez-vous que l'expression régulière d'analyseur correspond au modèle d'enregistrement de journal. Sinon, Oracle Logging Analytics risque de ne pas analyser correctement les enregistrements après suppression du mot-clé.

Remarque

Outre l'ajout de filtres de données lors de la création d'une source, vous pouvez également modifier une source existante pour ajouter des filtres de données. Pour en savoir plus sur la modification de sources existantes, reportez-vous à Personnalisation d'une source définie par Oracle.

Suppression d'une entrée de journal complète en fonction de mots-clés spécifiques

Oracle Logging Analytics permet de rechercher un mot-clé ou une valeur spécifique dans les enregistrements de journal, et de supprimer une entrée de journal complète dans un enregistrement de journal s'il existe.

Prenons l'enregistrement de journal suivant :

ns5xt_119131: NetScreen device_id=ns5xt_119131  [Root]system-notification-00257(traffic): start_time="2017-02-07 05:00:03" duration=4 policy_id=2 service=smtp proto=6 src zone=Untrust dst zone=mail_servers action=Permit sent=756 rcvd=756 src=198.51.100.1 dst=203.0.113.254 src_port=44796 dst_port=25 src-xlated ip=198.51.100.1 port=44796 dst-xlated ip=203.0.113.254 port=25 session_id=18738

Supposons que vous vouliez supprimer l'entrée de journal complète si le mot-clé device_id y figure :

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Logging Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

  2. Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.

  3. Cliquez sur le nom de la source à modifier. La page des détails de la source apparaît. Cliquez sur Modifier pour modifier la source.

  4. Cliquez sur l'onglet Filtres de données, puis sur Ajouter.

  5. Entrez le filtre Nom, sélectionnez Supprimer l'entrée de journal comme type et entrez la valeur Expression de recherche .*device_id=.*.

    Il est important que l'expression régulière corresponde à l'intégralité de l'entrée de journal. L'utilisation de .* au début et à la fin de l'expression régulière fait en sorte qu'elle corresponde à tout autre texte de l'entrée de journal.

  6. Cliquez sur Enregistrer.

Lorsque vous visualisez les entrées de journal pour cette source de journal, vous constatez qu'Oracle Logging Analytics a supprimé toutes les entrées de journal contenant la chaîne device_id.

Remarque

Outre l'ajout de filtres de données lors de la création d'une source, vous pouvez également modifier une source existante pour ajouter des filtres de données. Pour en savoir plus sur la modification de sources existantes, reportez-vous à Personnalisation d'une source définie par Oracle.

Utilisation de champs étendus dans les sources

La fonctionnalité de champs étendus d'Oracle Logging Analytics permet d'extraire des champs supplémentaires d'un enregistrement de journal en plus des champs que l'analyseur a analysés.

Dans la définition de source, un analyseur est choisi pour décomposer un fichier journal en entrées de journal, et chaque entrée de journal en ensemble de champs de base. Ces champs de base doivent être cohérents entre toutes les entrées de journal. Un analyseur de base extrait les champs communs d'un enregistrement de journal. Toutefois, si vous devez extraire des champs supplémentaires du contenu des entrées de journal, vous pouvez utiliser la définition de champs étendus. Par exemple, l'analyseur peut être défini de sorte que l'ensemble du texte présent à la fin des champs communs d'une entrée de journal soit analysé et stocké dans un champ nommé Message.

Lorsque vous recherchez des journaux à l'aide de la source mise à jour, les valeurs des champs étendus sont affichées avec les champs extraits par l'analyseur de base.

Remarque

Pour ajouter le groupe de journaux en tant que champ d'entrée, indiquez son OCID pour la valeur au lieu du nom.

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Logging Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

    Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.

  2. Cliquez sur le nom de la source à modifier. La page des détails de la source apparaît. Cliquez sur Modifier pour modifier la source.
  3. Cliquez sur l'onglet Champs étendus, puis sur Ajouter.
  4. Il est possible de spécifier une condition pour que l'extraction de champ se produise uniquement si l'entrée de journal en cours d'évaluation remplit une condition prédéfinie. Pour ajouter une condition au champ étendu, développez la section Conditions.
    • Réutiliser l'existant : si nécessaire, afin de réutiliser une condition déjà définie pour la source de journal, cliquez sur le bouton radio Réutiliser l'existant et sélectionnez la condition précédemment définie dans le menu Condition.
    • Créer une condition : activez ce bouton si vous voulez définir une nouvelle condition. Indiquez le champ de condition, l'opérateur et la valeur.

      Par exemple, la définition de champ étendu qui extrait la valeur du champ Security Resource Name à partir de la valeur du champ Message uniquement si le champ Service comporte l'une des valeurs indiquées (NetworkManager, dhclient ou dhcpd) est la suivante :

      • Champ de base : Message
      • Exemple de contenu de champ de base : DHCPDISCOVER from b8:6b:23:b5:c1:bd (HOST1-LAP) via eth0
      • Expression d'extraction : ^DHCPDISCOVER\s+from\s+{Security Resource Name:\S+}\s+.+

      La condition de cette définition de champ étendu doit être établie comme suit :

      • Champ de condition : service
      • Opérateur de condition : IN
      • Valeur de condition : NetworkManager, dhclient, dhcpd

      Dans l'exemple ci-dessus, la valeur extraite du champ Security Resource Name est b8:6b:23:b5:c1:bd.

      Afin de fournir plusieurs valeurs pour le champ Valeur de condition, saisissez les valeurs en appuyant sur Entrée pour chaque valeur.

    En ajoutant une condition, vous pouvez réduire le traitement d'expression régulière sur une entrée de journal qui ne comporte probablement pas la valeur que vous essayez d'extraire. Cela permet d'accélérer le traitement et la disponibilité des entrées de journal dans l'explorateur de journaux.

  5. Sélectionnez le champ de base dont la valeur doit être extraite dans les champs.

    Les champs affichés dans le champ de base sont ceux qui sont analysés par l'analyseur de base et certains champs par défaut remplis par la collecte de journal, comme Entité de journal (nom du fichier, table de base de données ou autre emplacement d'origine de l'entrée de journal) et Contenu du journal d'origine.

  6. Entrez un exemple commun de valeur pour le champ de base que vous avez choisi d'extraire dans des champs supplémentaires dans la zone Exemple de contenu de champ de base. Il est utilisé pendant la phase de test afin de démontrer le fonctionnement correct de la définition de champ étendu.
  7. Entrez l'expression d'extraction dans le champ Expression d'extraction et cochez la case Activé.

    Une expression d'extraction suit la syntaxe normale des expressions régulières, sauf lorsque vous spécifiez l'élément d'extraction : vous devez utiliser une macro entre accolades { et }. Les accolades entourent deux valeurs séparées par le signe deux-points :. La première valeur entre accolades est le champ dans lequel stocker les données extraites. La seconde valeur est l'expression régulière qui doit correspondre à la valeur à capturer dans le champ de base.

    Remarque

    Lorsque vous souhaitez extraire plusieurs valeurs d'un champ à l'aide des champs étendus :

    1. Créez d'abord un champ pour le contenu de journal qui peut avoir plusieurs valeurs pour un champ, par exemple Error IDs. Reportez-vous à Création d'un champ.

    2. Dans la boîte de dialogue Ajouter une définition de champ étendu, pour le champ de base, sélectionnez un champ de base extrait d'un analyseur et contenant des données à valeurs multiples, par exemple, Message, Original Log Content.

    3. Entrez l'exemple de contenu de champ de base qui contient plusieurs valeurs d'un champ à extraire.

    4. Sous Expression d'extraction, indiquez l'expression régulière permettant d'extraire chaque valeur du champ. Cliquez sur Ajouter.


    EFD pour plusieurs valeurs d'un champ

  8. Cliquez sur Tester une définition pour vérifier que l'expression d'extraction peut extraire les champs souhaités de l'exemple de contenu de champ de base que vous avez fourni. En cas de correspondance établie, le nombre d'étapes est affiché. Il s'agit de la mesure appropriée de l'efficacité de l'expression d'extraction. Si l'expression est inefficace, l'extraction peut arriver à expiration et le champ n'est pas rempli.
    Remarque

    Il est préférable que le nombre d'étapes ne dépasse pas 1 000 pour des performances optimales. Plus ce nombre est élevé, plus le traitement des journaux et leur mise en disponibilité sont longs dans l'explorateur de journaux.
  9. Cliquez sur Enregistrer.

Si vous utilisez l'option N'analyser automatiquement que l'heure dans la définition de source au lieu de créer un analyseur, le seul champ disponible pour la création de définitions de champ étendu est le champ Contenu du journal d'origine car aucun autre champ n'est rempli par l'analyseur. Reportez-vous à Utilisation de l'analyseur d'heure automatique.

Oracle Logging Analytics permet de rechercher les champs étendus que vous recherchez. Vous pouvez effectuer le recherche en fonction du mode de création ou du type de champ de base, ou avec un exemple de contenu du champ. Entrez l'exemple de contenu dans le champ Rechercher ou cliquez sur la flèche vers le bas de la boîte de dialogue de recherche. Dans la boîte de dialogue de recherche, sous Type de création, déterminez si les champs étendus que vous recherchez sont définis par Oracle ou définis par l'utilisateur. Sous Champ de base, vous pouvez sélectionner l'une des options disponibles. Vous pouvez également indiquer l'exemple de contenu ou l'expression de champ d'extraction à utiliser pour la recherche. Cliquez sur Appliquer des filtres.

Tableau 8-1 Exemple de contenu et expression d'extraction de champ étendu

Description Champ de base Exemple de contenu Expression d'extraction de champ étendu
Pour extraire l'extension de fichier d'adresses à partir du champ URI d'un fichier journal d'accès Fusion Middleware

URI

/service/myservice1/endpoint/file1.jpg

{Content Type:\.(jpg|html|png|ico|jsp|htm|jspx)}

Cette opération extrait le suffixe de fichier, tel que jpg ou html, et stocke la valeur dans le champ Type de contenu. Elle extrait uniquement les suffixes répertoriés dans l'expression.

Pour extraire le nom utilisateur du chemin d'accès à une entité de journal

Log Entity

/u01/oracle/john/audit/134fa.xml

/\w+/\w+/{User Name:\w+}/\w+/\w+

Pour extraire l'heure de début du champ Message

Remarque : l'heure de début de l'événement est un champ avec le type de données Horodatage. S'il s'agissait d'un champ avec le type de données Numérique, l'heure de début serait stockée simplement sous forme de nombre et non sous forme d'horodatage.

Message

Backup transaction finished. Start=1542111920

Start={Event Start Time:\d+}

Source : /var/log/messages

Nom de l'analyseur : Linux Syslog Format

Message

authenticated mount request from 10.245.251.222:735 for /scratch (/scratch)

authenticated {Action:\w+} request from {Address:[\d\.]+}:{Port:\d+} for {Directory:\S+}\s(

Source : /var/log/yum.log

Nom de l'analyseur : Yum Format

Message

Updated: kernel-headers-2.6.18-371.0.0.0.1.el5.x86_64

{Action:\w+}: {Package:.*}

Source : Database Alert Log

Nom de l'analyseur : Database Alert Log Format (Oracle DB 11.1+)

Message

Errors in file /scratch/cs113/db12101/diag/rdbms/pteintg/pteintg/trace/pteintg_smon_3088.trc (incident=4921): ORA-07445: exception encountered: core dump [semtimedop()+10] [SIGSEGV] [ADDR:0x16F9E00000B1C] [PC:0x7FC6DF02421A] [unknown code] []

Errors in file {Trace File:\S+} (incident={Incident:\d+}): {Error ID:ORA-\d+}: exception encountered: core dump [semtimedop()+10] [SIGSEGV] [ADDR:{Address:[\w\d]+] [PC:{Program Counter:[\w\d]+}] [unknown code] []

Source : FMW WLS Server Log

Nom de l'analyseur : WLS Server Log Format

Message

Server state changed to STARTING

Server state changed to {Status:\w+}

Configuration des options d'enrichissement de champ

Oracle Logging Analytics permet de configurer des options d'enrichissement de champ afin d'extraire et d'afficher des informations pertinentes à partir des données des champs étendus.

L'une des options d'enrichissement de champ est Géolocalisation, qui convertit les adresses IP ou les coordonnées de lieu présentes dans les enregistrements de journal en un pays ou un code de pays. Il peut être utilisé dans des sources de journal telles que les journaux d'accès Web qui ont des adresses IP client externes.

A l'aide de l'option d'enrichissement de champ Recherche, vous pouvez mettre en correspondance des combinaisons champ-valeur entre des journaux et une table de recherche externe.

Incluez des informations supplémentaires dans vos entrées de journal à l'aide de l'option Champs supplémentaires. Ces informations sont ajoutées à chaque entrée de journal au moment du traitement.

Pour remplacer une chaîne/expression dans un champ par une autre expression et stocker le résultat dans un champ de sortie, utilisez l'option Substitution.

Remarque

  • Pour une source, vous pouvez définir un maximum de trois enrichissements de champ, chacun de types différents.

  • Pour ajouter le groupe de journaux en tant que champ d'entrée, indiquez son OCID pour la valeur au lieu du nom.

Rubriques :

Utilisation des recherches au moment de l'inclusion dans la source

Oracle Logging Analytics permet d'enrichir les données de journal avec d'autres combinaisons champ-valeur à partir des recherches en configurant l'option Enrichissement de champ de recherche dans la source. Oracle Logging Analytics met en correspondance la valeur du champ spécifié avec une table de recherche externe et, en cas de correspondance, ajoute les autres combinaisons champ-valeur de l'enregistrement de recherche correspondant aux données de journal. Reportez-vous à Gestion des recherches.

Vous pouvez ajouter des données à partir de plusieurs recherches en configurant l'option Enrichissement de champ de recherche plusieurs fois. L'enrichissement de champ de consultation est traité dans le même ordre que lors de sa création. Par conséquent, si vous avez des codes express associés dans lesquels les clés se chevauchent et que vous aidez à ajouter d'autres enrichissements au traitement de chaque code express, veillez à inclure les clés se chevauchant dans les sélections d'entrée et de sortie de la définition d'enrichissement de champ de recherche. Pour obtenir un exemple d'utilisation de plusieurs consultations associées afin d'enrichir les données de journal, reportez-vous à Exemple d'ajout de plusieurs enrichissements de champ de consultation.

Etapes d'ajout d'enrichissement de champ de consultation

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Logging Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

    Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.

    La page Sources apparaît. Cliquez sur Créer une source.

    Vous pouvez également cliquer sur l'icône de menu Actions Icône Actions en regard de l'entrée de source à modifier et sélectionner Modifier. La page Modifier une source apparaît.

    Remarque

    Assurez-vous qu'un analyseur est sélectionné dans la page de définition de source afin que le bouton Ajouter soit activé pour l'enrichissement de champ.

  2. Cliquez sur l'onglet Enrichissement de champ, puis sur Ajouter.

    La boîte de dialogue Ajouter un enrichissement de champ apparaît.

  3. Dans la boîte de dialogue Ajouter un enrichissement de champ, procédez comme suit :

    1. Sélectionnez le compartiment dans lequel se trouve la recherche.
    2. Sélectionnez Recherche dans Fonction.
    3. Sélectionnez le nom de la table de recherche dans le menu déroulant.
    4. Sous Champs d'entrée, sélectionnez la colonne de table de recherche et le champ de source de journal avec lequel elle doit être mise en correspondance. Il s'agit de mettre en correspondance la clé de la table de recherche avec un champ rempli par l'analyseur dans Champ de source de journal. Par exemple, la colonne errid de la table de recherche peut être mise en correspondance avec le champ Error ID des journaux.

      La liste des champs d'entrée dans Champ de source de journal est limitée aux champs que la source de journal remplit.

    5. Sous Actions, sélectionnez le nouveau champ de source de journal et la valeur de champ dans la colonne de table de recherche avec laquelle il doit être mis en correspondance. Lorsqu'un enregistrement correspondant est trouvé dans la table de recherche spécifiée en fonction de la mise en correspondance d'entrée ci-dessus, le champ de sortie indiqué dans le champ de source de journal est ajouté au journal avec la valeur de la colonne de recherche de sortie indiquée dans Valeur de champ. Par exemple, la colonne erraction de la table de recherche peut être mise en correspondance avec le champ Action.

      Vous pouvez également cliquer sur + Autre élément pour mettre en correspondance d'autres champs de sortie.

    6. Cliquez sur Add field enrichment (Ajouter un enrichissement de champ).

    La recherche est ajoutée à la table d'enrichissement de champ.

  4. La case Activé doit rester cochée.

  5. Pour ajouter d'autres recherches, répétez les étapes 3 et 4.

Lorsque vous affichez les enregistrements de journal de la source de journal pour laquelle vous avez créé l'enrichissement de champ de recherche au moment de l'inclusion, vous pouvez constater que le champ de sortie affiche les valeurs fournies par rapport aux entrées de journal en raison de la référence de table de recherche que vous avez utilisée en créant l'enrichissement de champ. Reportez-vous à Gestion des recherches.

Exemple d'ajout de plusieurs enrichissements de champ de consultation

Vous pouvez ajouter jusqu'à trois enrichissements de champ de consultation à une source. Les recherches individuelles peuvent ou non être liées entre elles.

L'exemple suivant illustre la configuration de trois codes express associés de sorte que les données de journal puissent être enrichies avec les informations des trois codes express. Tenez compte des trois recherches connexes suivantes qui contiennent des informations sur plusieurs hôtes :

Lookup1: SystemConfigLookup

Numéro de série Constructeur Système d'exploitation Mémoire Type de processeur Lecteur de disque ID d'hôte
SÉRUM-01 Manuf1 OS1 256TB Proc1 Disque dur 1 001
SÉRUM-02 Manuf2 OS2 7.5TB Proc3 Disque dur électronique 1 002
SÉRUM-03 Manuf2 OS3 16TB Proc2 Disque dur électronique 1 003
SÉRUM-04 Manuf3 OS1 512TB Proc5 Disque dur 1 004
SÉRUM-05 Manuf1 OS1 128TB Proc4 Disque dur 1 001

Lookup2: GeneralHostConfigLookup

ID d'hôte Propriétaire de l'hôte Emplacement de l'hôte Description de l'hôte Adresse IP de l'hôte
1 001 Jack San Francisco Description de l'hôte Jack 192.0.2.76
1 002 Alexis Denver Description de l'hôte Alexis 203.0.113.58
1 003 John Seattle Description de l'hôte John 198.51.100.11
1 004 Jane San Jose Description de l'hôte Jane 198.51.100.164

Lookup3: NetworkConfigLookup

Adresse IP Masque de sous-réseau Passerelle Serveur DNS
192.0.2.76 255.255.255.252 192.0.2.1 Serveur récursif
203.0.113.58 255.255.255.0 203.0.113.1 Serveur autorisé
198.51.100.11 255.255.255.224 198.51.100.1 Serveur racine
198.51.100.164 255.255.255.192 198.51.100.1 Serveur récursif

Entre les recherches Lookup1 et Lookup2, Host ID est la clé commune qui peut être sélectionnée comme sortie dans le premier enrichissement de champ de recherche et comme entrée dans le deuxième enrichissement de champ de recherche. De même, entre les recherches Lookup2 et Lookup3, IP Address est la clé commune qui peut être sélectionnée comme sortie dans le premier enrichissement de champ de recherche et comme entrée dans le deuxième enrichissement de champ de recherche.

Avec le paramètre ci-dessus, laissez les enrichissements de champ de recherche être configurés dans l'ordre 1, 2 et 3 :

Enrichissement de champ de consultation Nom de table de recherche Champs d'entrée Actions
1 SystemConfigLookup
  • Champ de source de journal : Serial Number
  • Colonne de table de consultation : Serial Number
  • Champ New Log Source 1 : Operating System
  • Valeur de champ 1 : Operating System
  • Nouveau champ de source de journal 2 : Memory
  • Valeur de champ 2 : Memory
  • Champ New Log Source 3 : Host ID
  • Valeur de champ 3 : Host ID
2 GeneralHostConfigLookup
  • Champ de source de journal : Host ID
  • Colonne de table de consultation : Host ID
  • Champ New Log Source 1 : Host Owner
  • Valeur de champ 1 : Host Owner
  • Champ New Log Source 2 : Host IP Address
  • Valeur de champ 2 : Host IP Address
3 NetworkConfigLookup
  • Champ de source de journal : Host IP Address
  • Colonne de table de consultation : IP Address
  • Nouveau champ de source de journal 1 : Gateway
  • Valeur de champ 1 : Gateway
  • Champ New Log Source 2 : DNS Server
  • Valeur de champ 2 : DNS Server

Une fois la configuration d'enrichissement ci-dessus terminée, lorsque le champ Serial Number est détecté dans les données de journal, il est enrichi avec Operating System, Memory, Host ID, Host Owner, Host IP Address, Gateway et DNS Server à partir des trois recherches. So, for the serial number SER-NUM-01 detected in the log, it is enriched with additional information OS1, 256TB, 1001, Jack, 192.0.2.76, 192.0.2.1, and Recursive server.

Utiliser le champ de géolocalisation pour regrouper les journaux

Après avoir configuré l'enrichissement de champ de géolocalisation, vous pouvez afficher les enregistrements de journal regroupés par pays ou code pays. Cela est utile lorsque vous analysez des journaux qui contiennent des informations d'emplacement cruciales, telles que l'adresse IP ou les coordonnées d'emplacement, par exemple, les journaux d'accès, les journaux de trace ou les journaux de transport d'application.

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Logging Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

    Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.

    La page Sources apparaît. Cliquez sur Créer une source.

    Vous pouvez également cliquer sur l'icône de menu Actions Icône Actions en regard de l'entrée de source à modifier et sélectionner Modifier. La page Modifier une source apparaît.

  2. Ajoutez la définition des champs étendus pour le champ de base qui contient les enregistrements d'adresse IP ou de nom d'hôte propres au pays, tels que l'adresse IP de l'hôte.
  3. Cliquez sur l'onglet Enrichissement de champ, puis sur Ajouter.
  4. Dans la boîte de dialogue Ajouter un enrichissement de champ, sélectionnez Géolocalisation en tant que Fonction.
  5. Sous la section Champs d'entrée, sélectionnez Champ IP, qui est le nom du champ de gelocation extrait par l'analyseur des journaux, par exemple, Client Coordinates ou Host IP Address (Client).

    Pour détecter les menaces à l'aide des informations de géolocalisation, activez la case à cocher Enrichissement des informations sur les menaces. Lors de l'ingestion des données de journal, si la valeur d'adresse IP associée au champ d'entrée Adresse source dans le contenu de journal est marquée comme une menace, elle est ajoutée au champ Adresses IP de menace. Vous pouvez ensuite utiliser ce champ pour filtrer les journaux auxquels une menace est associée. En outre, ces enregistrements de journal ont également une étiquette Adresse IP de menace avec une priorité de problème Elevée. Vous pouvez utiliser le libellé dans votre recherche.

    Les enregistrements de journal associés à une priorité de problème Elevée comportent un point rouge dans la ligne. Cela rend ces enregistrements de journal plus importants dans leur apparence dans la table, ce qui vous permet de les repérer et de les analyser facilement. Vous pouvez ensuite ouvrir les adresses IP de menace dans la console Oracle Threat Intelligence et obtenir plus d'informations sur la menace.

  6. Cliquez sur Ajouter.

Ajouter des données supplémentaires à vos entrées de journal au moment du traitement

Vous pouvez inclure plus d'informations dans chacune de vos entrées en tant que métadonnées supplémentaires. Ces informations ne font pas partie de l'entrée de journal, mais sont ajoutées lors du traitement, par exemple, ID de conteneur, Noeud. Pour obtenir un exemple d'ajout de métadonnées lors du téléchargement de journaux à la demande, reportez-vous à Téléchargement de journaux à la demande.

Les informations ainsi ajoutées peuvent ne pas être directement visibles dans l'explorateur de journaux. Pour le rendre visible dans l'explorateur de journaux pour votre analyse de journal, procédez comme suit :

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Logging Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

    Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.

    La page Sources apparaît. Cliquez sur l'icône de menu Actions Icône Actions en regard de l'entrée de source à modifier et sélectionnez Modifier. La page Modifier une source apparaît.

    Remarque

    Assurez-vous qu'un analyseur est sélectionné dans la page de définition de source afin que le bouton Ajouter soit activé pour l'enrichissement de champ.

  2. Cliquez sur l'onglet Enrichissement de champ, puis sur Ajouter.

    La boîte de dialogue Ajouter un enrichissement de champ apparaît.

  3. Dans la boîte de dialogue Ajouter un enrichissement de champ, procédez comme suit :

    1. Sélectionnez Champs supplémentaires comme Fonction.
    2. Sous Mettre en correspondance les champs, sélectionnez les champs à mettre en correspondance avec la source. Les champs sélectionnés dans les analyseurs associés à cette source ne sont pas disponibles ici.
    3. Cliquez sur Ajouter.

Une fois que vous avez indiqué les champs supplémentaires, ils sont visibles dans l'explorateur de journaux pour l'analyse des journaux. Ils peuvent également être sélectionnés lors de la configuration des champs étendus ou des libellés pour les sources.

Utiliser une fonction de substitution pour remplacer une expression dans un champ

Pendant le traitement du journal, si vous souhaitez remplacer une partie de la valeur du champ par une autre chaîne ou expression, utilisez la fonction de substitution et stockez l'expression résultante du champ dans un autre champ de sortie.

Prenons le scénario dans lequel vous souhaitez capturer tous les enregistrements de journal contenant le champ URI avec le contenu du format http://www.example.com/forum/books?<ISBN>, et la valeur de ISBN varie en fonction de chaque enregistrement de journal. Dans ce cas, vous pouvez remplacer la valeur ISBN dans le champ de chaque enregistrement de journal par une chaîne allExampleBooks et la stocker dans un champ modified_URI. Par conséquent, tous les enregistrements de journal capturés avec URI au format ci-dessus auront également le champ modified_URI avec la valeur http://www.example.com/forum/books?allExampleBooks. Vous pouvez désormais utiliser le champ modified_URI dans votre requête de recherche pour filtrer ces journaux en vue d'une analyse plus approfondie dans l'explorateur de journaux.

En outre, utilisez l'option Substituer toutes les correspondances pour remplacer toutes les occurrences de la valeur dans le champ. Par exemple, si le champ Original log content comporte plusieurs occurrences d'adresse IP à remplacer par une chaîne, vous pouvez utiliser cette option. Le résultat peut être enregistré dans un champ, par exemple Altered log content. Vous pouvez désormais utiliser le champ Altered log content dans la requête pour filtrer tous les enregistrements de journal ayant des adresses IP dans le champ Original log content.

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Logging Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

    Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.

    La page Sources apparaît. Cliquez sur Créer une source.

    Vous pouvez également cliquer sur l'icône de menu Actions Icône Actions en regard de l'entrée de source à modifier et sélectionner Modifier. La page Modifier une source apparaît.

  2. Entrez le nom de la source, une description appropriée et sélectionnez le type de source. Sélectionnez un analyseur à utiliser pour analyser les journaux. Ces sélections détermineront les champs disponibles pour l'enrichissement des champs.

  3. Cliquez sur l'onglet Enrichissement de champ, puis sur Ajouter un enrichissement de champ.

  4. Dans la boîte de dialogue Ajouter un enrichissement de champ, sélectionnez Substitution en tant que Fonction.

  5. Dans la section Champs d'entrée, procédez comme suit :

    1. Sélectionnez le champ de source de journal contenant les valeurs à remplacer, par exemple, URI.

    2. Sous Expression à mettre en correspondance, indiquez l'expression régulière à mettre en correspondance pour la chaîne dans le champ qui doit être remplacé.

    3. Indiquez la chaîne/expression de remplacement à remplacer par la valeur d'origine du champ d'entrée.

    4. Si le champ contient plusieurs occurrences de la chaîne à remplacer, activez la case à cocher Substituer toutes les correspondances.

  6. Dans la section Champ de sortie, sélectionnez le champ qui doit stocker la nouvelle valeur du champ d'entrée une fois que la valeur d'origine a été remplacée par la valeur de substitution.

  7. Cliquez sur Add field enrichment (Ajouter un enrichissement de champ).

Utilisation de libellés dans les sources

Oracle Logging Analytics permet d'ajouter des libellés ou des balises aux enregistrements de journal, en fonction de conditions définies.

Lorsqu'une entrée de journal correspond à la condition que vous avez définie, un libellé est rempli avec cette entrée de journal. Ce libellé est disponible dans les visualisations de l'explorateur de journaux, ainsi que pour la recherche et le filtrage des entrées de journal.

Vous pouvez employer des libellés définis par Oracle ou créés par l'utilisateur dans les sources. Pour créer un libellé personnalisé afin de baliser une entrée de journal spécifique, reportez-vous à Création d'un libellé.

  1. Pour utiliser des libellés dans une source existante, modifiez cette source. Pour connaître les étapes d'ouverture de la page Modifier une source, reportez-vous à Modification de la source.

  2. Cliquez sur l'onglet Libellés.

  3. Pour ajouter un libellé conditionnel, cliquez sur Ajouter un libellé conditionnel.

    Dans la section Conditions, procédez comme suit :

    1. Sélectionnez le champ de journal sur lequel appliquer la condition dans la liste Champ d'entrée.

    2. Sélectionnez l'opérateur dans la liste Opérateur.

    3. Dans le champ Valeur de condition, indiquez la valeur de la condition à mettre en correspondance pour appliquer le libellé.

      Remarque

      Pour ajouter le groupe de journaux en tant que champ d'entrée, indiquez son OCID pour la valeur au lieu du nom.

    4. Pour ajouter d'autres conditions, cliquez sur l'icône Ajouter une condition Icône Ajouter une condition et répétez les étapes de 3a à 3c. Sélectionnez l'opération logique à appliquer aux conditions multiples. Sélectionnez ET, OU, NOT AND ou NOT OR.

      Pour ajouter un groupe de conditions, cliquez sur l'icône Condition de groupe Icône Condition de groupe et répétez les étapes 3a à 3c pour ajouter chaque condition. Un groupe de conditions doit avoir plusieurs conditions. Sélectionnez l'opération logique à appliquer au groupe de conditions. Sélectionnez ET, OU, NOT AND ou NOT OR.

      Pour enlever une condition, cliquez sur l'icône Enlever une condition Icône Supprimer la condition.

      Pour afficher la liste des conditions sous forme d'instruction, cliquez sur Afficher le récapitulatif des conditions.

  4. Sous Actions, sélectionnez des libellés déjà disponibles définis par Oracle ou créés par l'utilisateur. Si nécessaire, vous pouvez créer un libellé en cliquant sur Créer un libellé.

    Cochez la case Activé.

  5. Cliquez sur Ajouter.

Oracle Logging Analytics permet de rechercher les libellés dans l'explorateur de journaux. Vous pouvez effectuer la recherche en fonction de l'un des paramètres définis pour les libellés. Entrez la chaîne de recherche dans le champ Rechercher. Vous pouvez indiquer les critères de recherche dans la boîte de dialogue de recherche. Sous Type de création, déterminez si les libellés que vous recherchez sont définis par Oracle ou définis par l'utilisateur. Sous les champs Champ d'entrée, Opérateur et Champ de sortie, vous pouvez sélectionner l'une des options disponibles. Vous pouvez également fournir la valeur de condition ou la valeur de sortie à utiliser pour la recherche. Cliquez sur Appliquer des filtres.

Vous pouvez maintenant effectuer des recherches sur les données de journal en fonction des libellés que vous avez créés. Reportez-vous à Filtrage des journaux par libellé.

Utiliser les champs conditionnels pour enrichir l'ensemble de données

Si vous voulez sélectionner un champ arbitraire et y écrire une valeur, vous pouvez éventuellement utiliser les champs conditionnels. L'ajout d'une valeur dans un champ arbitraire à l'aide de la fonctionnalité des champs conditionnels est très similaire à l'utilisation des recherches. Toutefois, les champs conditionnels offrent davantage de flexibilité dans les conditions de correspondance et sont idéaux pour traiter un petit nombre de conditions, ou dé définitions de remplissage de champ. Par exemple, si vous appliquez quelques conditions pour remplir un champ, vous pouvez éviter de créer et de gérer une recherche en utilisant des champs conditionnels.

Les étapes d'ajout des champs conditionnels sont similaires à celles du workflow ci-dessus pour l'ajout de libellés conditionnels.

  • A l'étape 3, au lieu de cliquer sur Ajouter un libellé conditionnel, cliquez sur Ajouter un champ conditionnel. Le reste de l'étape 3 de sélection des conditions reste le même que le workflow ci-dessus.

  • A l'étape 4 ci-dessus,

    1. Pour le champ de sortie, sélectionnez l'un des champs déjà disponibles définis par Oracle ou créés par l'utilisateur dans le menu. Si nécessaire, vous pouvez créer un champ en cliquant sur Créer un champ.

    2. Entrez une valeur de sortie à écrire pour le champ de sortie lorsque la condition d'entrée est vraie.

      Par exemple, la source peut être configurée afin d'attacher la valeur de sortie authentication.login pour le champ de sortie Security Category lorsque l'enregistrement de journal contient le champ d'entrée Method défini sur la valeur CONNECT.

      Cochez la case Activé.

Utilisation de l'analyseur d'heure automatique

Oracle Logging Analytics permet de configurer la source afin d'utiliser un analyseur générique au lieu de créer un analyseur pour vos journaux. Dans ce cas, l'heure des journaux est analysée à partir des entrées de journal uniquement si l'heure peut être identifiée par Oracle Logging Analytics.

Cela est particulièrement utile lorsque vous hésitez sur le mode d'analyse des journaux ou d'écriture des expressions régulières pour analyser les journaux, et que vous voulez simplement transmettre les données de journal brutes à des fins d'analyse. En règle générale, un analyseur définit la manière dont les champs sont extraits d'une entrée de journal pour un type donné de fichier journal. Cependant, l'analyseur générique d'Oracle Logging Analytics peut :

  • Détecter l'horodatage et le fuseau horaire des entrées de journal

  • Créer un horodatage en utilisant l'heure actuelle en cas d'absence d'horodatage sur les entrées de journal

  • Déterminer si les entrées de journal sont composées de plusieurs lignes ou d'une seule ligne

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Logging Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

    Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.

  2. Sur la page Sources, cliquez sur Créer une source.
    La boîte de dialogue Créer une source apparaît.
  3. Dans le champ Source, saisissez le nom de la source.
  4. Dans le champ Type de source, sélectionnez Fichier.
  5. Cliquez sur Type d'entité et sélectionnez le type d'entité pour cette source.
  6. Sélectionnez N'analyser automatiquement que l'heure. Oracle Logging Analytics applique automatiquement le type d'analyseur générique.
  7. Cliquez sur Enregistrer.
Lorsque vous accédez aux enregistrements de journal de la source qui vient d'être créée, Oracle Logging Analytics extrait et affiche les informations suivantes des entrées de journal :

  • Horodatage :

    • Si aucun horodatage n'est indiqué pour une entrée de journal, l'analyseur générique crée et affiche l'horodatage en fonction de l'heure de collecte des données de journal.

    • Lorsqu'un enregistrement de journal contient un horodatage mais que le fuseau horaire n'est pas défini, l'analyseur générique utilise le fuseau horaire de l'agent de gestion.

      Avec l'agent de gestion, si le fuseau horaire n'est pas détecté correctement, vous pouvez le définir manuellement dans les fichiers de configuration d'agent. Reportez-vous à Indication manuelle du fuseau horaire et de l'encodage de caractères pour les fichiers.

      Lorsque vous téléchargez des journaux à la demande, vous pouvez spécifier le fuseau horaire avec votre téléchargement pour imposer le fuseau horaire si nous ne parvenons pas à le détecter correctement. Si vous utilisez l'interface de ligne de commande, reportez-vous à Référence de ligne de commande : Logging Analytics - Téléchargement. Si vous utilisez l'API REST, reportez-vous à API Logging Analytics - Téléchargement.

    • Lorsqu'un fichier journal comporte des enregistrements de journal avec plusieurs fuseaux horaires, l'analyseur générique peut prendre en charge jusqu'à 11 fuseaux horaires.

    • Lorsqu'un fichier journal affiche des entrées de journal avec fuseau horaire et d'autres sans, l'analyseur générique utilise le fuseau horaire précédemment trouvé pour celles qui n'en indiquent pas.

    • Lors de l'inclusion des journaux à l'aide de l'agent de gestion, si le fuseau horaire ou le décalage de fuseau horaire n'est pas indiqué dans les enregistrements de journal, Oracle Logging Analytics compare l'heure de dernière modification du système d'exploitation avec l'horodatage de la dernière entrée de journal pour déterminer le fuseau horaire correct.

  • Plusieurs lignes : lorsqu'une entrée de journal couvre plusieurs lignes, l'analyseur générique peut capturer ce contenu multiligne correctement.