• Source

• Entité

• Groupe de journaux

• Association source-entité

• Analyseur

• Partitionnement des journaux

Source

Il s'agit de la définition de l'emplacement des fichiers journaux, et des méthodes de collecte, de masquage des données à l'aide de masques de données, d'analyse à l'aide d'analyseurs, d'extraction des données à l'aide de définitions de champ étendu, d'enrichissement à l'aide de libellés et de définitions de fonction d'enrichissement, et d'extraction des données de mesure à partir d'un fichier journal. Les sources de journal peuvent être utilisées pour collecter les journaux en continu à partir d'un agent de gestion Oracle Cloud Infrastructure, ou fournies lors du téléchargement à la demande d'un fichier journal vers des règles de collecte Oracle Logging Analytics ou de banque d'objets Oracle Cloud Infrastructure. Chaque fois que des journaux sont collectés ou envoyés à Oracle Logging Analytics, une source doit être fournie pour indiquer le contexte de traitement des journaux.

Oracle Logging Analytics est livré avec des centaines de sources définies par Oracle couvrant une grande variété de produits Oracle et non Oracle, et de nouvelles sources sont ajoutées à la liste en continu.

Entité

Lors de l'utilisation de ressources sur site, par exemple une instance de serveur Fusion Middleware, vous pouvez définir une entité dans Oracle Logging Analytics qui référence cette ressource réelle sur l'hôte sur site. Pour activer la collecte des journaux via l'agent de gestion Oracle Cloud Infrastructure, vous pouvez associer une source de journal à une entité que vous avez déjà créée. La collecte continue des journaux par l'intermédiaire de l'agent démarre. Pour la collecte continue des journaux via un agent, une définition d'entité est requise. Lors du téléchargement des journaux vers Oracle Logging Analytics via une API REST, la spécification de l'entité est facultative. Toutefois, il est recommandé d'utiliser le modèle d'entité pour définir l'origine des journaux et rendre l'expérience d'analyse plus puissante.

Une entité doit être d'un certain type. Près de 100 types d'entité définis par Oracle sont déjà disponibles. Vous pouvez également créer des types d'entité personnalisés.

Lorsqu'une entité est créée pour un type spécifique, le type d'entité définit les propriétés à fournir pour ce type. Ces propriétés permettent de localiser l'emplacement des fichiers journaux. Par exemple, pour le type d'entité Oracle Database, vous devez fournir des valeurs de chemin pour les propriétés telles que ADR_HOME, ORACLE_HOME et INSTALL_HOME.

Groupe de journaux

Lors de la collecte des journaux à l'aide de l'une des méthodes disponibles, vous devez spécifier le groupe de journaux dans lequel stocker les journaux. Le groupe de journaux permet de déterminer qui a accès à l'interrogation des journaux dans l'explorateur de journaux ou les tableaux de bord, ainsi que de purger les journaux. Par exemple, votre organisation peut décider de mettre en place des groupes de journaux distincts pour les journaux sécurisés et les journaux non sécurisés. Ils sont placés dans des compartiments OCI séparés, et des stratégies peuvent être écrites pour accorder différents niveaux d'accès à différents groupes d'utilisateurs.

Association source-entité

L'association d'une source de journal à une entité démarre le processus de collecte de journal en continu via l'agent de gestion Oracle Cloud Infrastructure. Si la source et l'entité sont correctement définies, les métadonnées d'association sont envoyées à l'agent pour effectuer la collecte de journal. Les journaux sont envoyés au cloud à des fins d'indexation et d'enrichissement avant leur mise à disposition pour la recherche.

L'association source-entité est applicable uniquement à la collecte continue des journaux via l'agent de gestion Oracle Cloud Infrastructure. Lorsque vous effectuez l'association, tous les chemins de fichier paramétrés dans la source de journal sont remplacés par la valeur de propriété réelle pour l'instance d'entité concernée. Par exemple, si vous surveillez la source Journaux d'alertes de base de données par rapport à myDatabaseInstance1, la définition de source des journaux d'alertes de base de données recherche les journaux sous un chemin tel que {ADR_HOME}/alert/log*.log. La définition d'entité pour myDatabaseInstance1 comporte une valeur pour ADR_HOME que vous fournissez. Lors de l'exécution de l'association, cette variable ADR_HOME est remplacée dans le chemin par le chemin absolu des entrées de journal. Ce modèle permet de disposer d'une source de journal unique qui peut surveiller les journaux de plusieurs instances d'entité avec des chemins de fichier différents pour chaque entité.

Analyseur

L'analyseur détermine le mode d'analyse d'un fichier journal en entrées de journal et d'analyse des entrées de journal en champs. Les analyseurs peuvent être écrits dans des expressions régulières pour les journaux semi-structurés ou non structurés. Des analyseurs JSON et XML peuvent être écrits pour les journaux de ces formats.

Partitionnement des journaux

Oracle Logging Analytics peut ingérer de très grandes quantités de données de journal quotidiennement par locataire. Si vous prévoyez d'ingérer de manière persistante plus de 6 To de données de journal par jour pour un seul locataire dans une même région, Oracle vous recommande d'utiliser la fonctionnalité de partitionnement de journal. Le partitionnement permet de segmenter physiquement les données de journal présentant une caractéristique commune pour permettre l'assimilation parallèle et l'interrogation parallèle des données, optimisant ainsi les performances de recherche.

La fonctionnalité de partitionnement dépend de la clé indiquée lors de l'inclusion des données de journal. Cette clé est appelée ensemble de journaux. Il peut s'agir de n'importe quelle valeur de chaîne logique qui correspond à la façon dont les journaux sont généralement utilisés en fonction de votre infrastructure, de votre architecture d'application ou de votre structure organisationnelle.

Lors de l'interrogation des données, les meilleures performances sont obtenues lorsque les requêtes sont limitées à un petit ensemble d'ensembles de journaux. Les journaux des applications sous-jacentes de chaque ensemble de journaux sont isolés et indépendants des opérations informatiques et du point de vue de l'entreprise. La plupart des recherches sont ciblées sur un jeu de journaux, ce qui améliore les performances de recherche. Bien que vous puissiez certainement interroger tous les ensembles de journaux, ces requêtes prendront plus de temps pour renvoyer des données.

Reportez-vous à Exemples d'utilisation de la fonctionnalité de partitionnement de journal.