Documentation Oracle Cloud Infrastructure

Détection d'événements prédéfinis lors de l'inclusion

Vous pouvez créer des règles pour détecter un contenu spécifique dans les enregistrements de journal. Pour ce faire, créez une règle de détection basée sur un libellé associé aux enregistrements de journal provenant de sources de journal et de types d'entité spécifiques. Utilisez cette fonctionnalité pour identifier les anomalies au moment de l'inclusion.

Avant de créer la règle de détection, identifiez d'abord l'étiquette que vous pouvez utiliser pour générer l'alerte. Modifiez la source de journal et utilisez le libellé pour détecter un contenu spécifique dans les enregistrements de journal. Reportez-vous à Utilisation de libellés dans les sources. Pour créer un libellé, reportez-vous à Création d'un libellé. Par exemple, si la règle de détection doit être définie pour détecter l'erreur 503 dans Apache Tomcat Access Logs, les étapes suivantes doivent être suivies :

  • Créez un libellé, par exemple Availability Error.

  • Utilisez le libellé dans la source Apache Tomcat Access Logs.

  • Dans la définition de source, mettez en correspondance l'occurrence du champ de base Status ayant la valeur 503, avec le libellé Availability Error.

  • Créez la règle de détection sur le libellé Availability Error et indiquez la source de journal Apache Tomcat Access Logs en tant que filtre pour les journaux.

Pour créer et gérer une règle de détection du temps d'inclusion, assurez-vous d'abord que les droits d'accès requis sont fournis. Reportez-vous à Autoriser les utilisateurs à effectuer des opérations de règle d'alerte de temps d'inclusion.

Pour créer une règle de détection de temps d'inclusion qui génère une alerte chaque fois qu'un enregistrement de journal contenant les paramètres de filtre et de libellé correspondants est rencontré, procédez comme suit :

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Logging Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

    Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Règles de détection.

    La page Règles de détection s'ouvre. Cliquez sur Créer une règle.

    La boîte de dialogue Créer une règle de détection s'ouvre.

  2. Cliquez sur Règle de détection au moment de l'inclusion.

  3. Indiquez un nom de règle pour la règle de détection du temps d'inclusion.

  4. Dans la section Sélectionner un libellé, dans le menu, sélectionnez le libellé qui doit être détecté dans les enregistrements de journal.

    En outre, vous pouvez indiquer le type d'entité et la source de journal à utiliser pour filtrer les enregistrements de journal.

  5. Sous Sélectionner un service cible à configurer, procédez comme suit :

    Indiquez le service cible où l'alerte doit être signalée. Sélectionnez le service Monitoring. Mesure générée dans le service Monitoring avec les informations des alertes générées.

    Sélectionnez le compartiment de mesure dans lequel les mesures doivent être stockées.

    Sélectionnez l'espace de noms de mesure.

    Sélectionnez éventuellement le groupe de ressources auquel la mesure appartient.

    Indiquez un nom de mesure pour les mesures générées pour les alertes.

  6. Par défaut, Label et Rule OCID sont utilisés en tant que dimensions. En outre, si nécessaire, vous pouvez sélectionner d'autres valeurs parmi les options de champs disponibles pour Dimensions. Il s'agit des valeurs qui peuvent être utilisées pour filtrer les données de mesure. Les options de champ disponibles pour sélection dépendent de la source de journal que vous avez indiquée à l'étape 4 en plus de certains champs couramment utilisés. Si aucune source de journal n'est indiquée, tous les champs sont disponibles.

  7. Vous pouvez éventuellement développer la section Afficher les options avancées et ajouter des balises à la règle de détection.

  8. Cliquez sur Créer une règle de détection.

Lorsque la correspondance indiquée dans la source de journal est détectée dans l'enregistrement de journal lors de l'inclusion, une valeur de mesure est publiée dans le service OCI Monitoring. Vous pouvez obtenir des alertes à partir du service OCI Monitoring en configurant une alarme sur cette mesure. Reportez-vous à Création d'alerte pour les événements détectés.

Autoriser les utilisateurs à effectuer des opérations de règle d'alerte de temps d'inclusion

Type de ressource individuel : loganalytics-ingesttime-rule

Partie du type agrégé de ressource : loganalytics-resources-family

Cas d'emploi Stratégies IAM

La règle de temps d'inclusion peut se trouver dans n'importe quel compartiment de la location

Exemples d'instructions de stratégie permettant de fournir le droit d'accès MANAGE pour l'inclusion de la ressource de règle de temps et la publication des mesures vers le service Monitoring :

allow group <group_name> to manage loganalytics-ingesttime-rule in tenancy

allow service loganalytics to use metrics in tenancy

La règle de temps d'inclusion se trouve dans un compartiment spécifique

Exemples d'instructions de stratégie permettant de fournir le droit d'accès MANAGE pour l'inclusion de la ressource de règle de temps et la publication des mesures vers le service Monitoring :

allow group <group_name> to manage loganalytics-ingesttime-rule in compartment <compartment_OCID>

allow service loganalytics to use metrics in tenancy

Le droit d'accès Gérer pour la ressource de règle de temps d'inclusion vous permet de répertorier les règles de temps d'inclusion, d'obtenir des détails sur une règle de temps d'inclusion, de créer, de supprimer ou de mettre à jour une règle de temps d'inclusion, et de la déplacer vers un autre compartiment.

Certaines des instructions de stratégie ci-dessus sont incluses dans les modèles de stratégie facilement disponibles définis par Oracle. Vous pouvez envisager d'utiliser le modèle pour votre cas d'emploi. Reportez-vous à Modèles de stratégie définis par Oracle pour les cas d'utilisation courants.