Gestion des recherches

A l'aide d'Oracle Logging Analytics, vous pouvez enrichir les données d'événement en ajoutant des combinaisons champ-valeur à partir de recherches. Oracle Logging Analytics utilise les recherches pour mettre en correspondance les combinaisons champ-valeur d'événements avec une table de recherche externe. En cas de correspondance, Oracle Logging Analytics ajoute les combinaisons champ-valeur aux événements.

Types de recherche :

Simple : ces tables contiennent une simple liste d'éléments, et leurs lignes correspondent à une seule relation. Par exemple, si vous créez une table de recherche pour les erreurs, chaque ligne peut contenir les informations relatives à une seule erreur, comme l'ID d'erreur, le message d'erreur, la cause et l'action corrective. Reportez-vous à Création d'une recherche simple.
Dictionnaire : il s'agit d'une option plus intelligente permettant d'intégrer les relations logiques entre les champs et leurs valeurs à l'aide d'opérateurs tels que CONTAINS, CONTAINS IGNORE CASE MULTILINE REGEX et EQUAL. Pour obtenir la liste exhaustive des opérateurs, des exemples et des étapes permettant de créer ce type de recherche, reportez-vous à Création d'une recherche de dictionnaire.

Voici les tables de recherche simples définies par Oracle actuellement disponibles dans Oracle Logging Analytics :

Messages d'erreur BEA
Messages d'erreur CRS
Messages d'erreur OGC
Messages d'erreur ORA
Messages d'erreur TNS

Pour connaître les droits d'accès permettant d'effectuer toutes les opérations sur les recherches, reportez-vous à Autoriser les utilisateurs à effectuer toutes les opérations sur les recherches.

Remarque

La taille d'un fichier de recherche unique ne doit pas dépasser 10 Mo. Cependant, il n'y a pas de limite au nombre de lignes dans la recherche.

Remarque

Si vous voulez empêcher un utilisateur d'afficher le contenu d'une recherche, même indirectement, cet utilisateur NE DOIT PAS être autorisé à :

Télécharger des journaux
Afficher les journaux contenant les champs enrichis à l'aide de ces recherches restreintes

Enrichissement des journaux avec les recherches

Il arrive souvent que les journaux ne contiennent pas toutes les informations requises pour consolider l'analyse. Dans ce cas, vous pouvez créer une table de recherche pour récupérer les informations que vous avez déjà collectées afin de mieux comprendre les données des journaux. Par exemple, le champ ID d'erreur des événements de journal ne fournit pas de description des erreurs. Vous pouvez créer une recherche mettant en correspondance l'ID d'erreur avec les descriptions, puis utiliser les options d'enrichissement de champ afin de rendre les descriptions disponibles pour la recherche dans les enregistrements de journal. Voici quelques exemples de scénario dans lesquels vous pouvez créer des recherches :

Inventaire de produits : ID de produit, spécifications techniques, prix, stock disponible, numéro de rack
Informations sur les employés : ID d'employé, données personnelles, organisation, rôle, barème, salaire, responsable
Référence de bibliothèque : titre, auteur, résumé, édition, éditions précédentes, prix

Utilisation des recherches

Vous pouvez principalement utiliser les recherches simples au moment de l'inclusion à l'aide de la fonction Recherche source. Reportez-vous à Utilisation des recherches d'inclusion dans la source.

Vous pouvez également utiliser des recherches simples lors d'une requête, comme indiqué ci-dessous :

Dans la requête lookup suivante, le message d'erreur est extrait de la table de recherche ORA Error Messages en mettant en correspondance le champ d'ID d'erreur, et affiché dans une table récapitulative avec d'autres champs tels que la source de journal et l'entité :

'Error ID' like 'ORA%' | lookup table = 'ORA Error Messages' select errmsg using 'Error ID' = errid | fields -*, 'Log Source', Entity, errmg

Informations issues des journaux :
- Error ID : ID d'erreur mentionné dans les journaux spécifié sous la forme ORA%
- Log Source : source des journaux
- Entity : entité des journaux
Informations issues de la table de recherche définie par Oracle ORA Error Messages :
- errid : ID d'erreur spécifié sous la forme ORA%
- errmsg : message d'erreur pour l'ID d'erreur
Les autres détails disponibles dans la table de recherche ORA Error Messages sont errcause (cause de l'erreur) et erraction (action associée à l'erreur) pour chaque ID d'erreur. Pour afficher le contenu de la table de recherche, utilisez la commande searchlookup comme suit :
```
* | searchlookup table = 'ORA Error Messages'
```

Affichage des détails de la recherche

Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Logging Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.
Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Recherches.
Sous Recherches, cliquez sur la recherche dont vous voulez visualiser les détails.

La page Détails de recherche affiche les détails que vous avez fournis lors de sa création, ainsi que le contenu de la table de recherche. Vous pouvez également effectuer les actions suivantes : Déplacer la ressource, Ajouter des balises et Supprimer. Pour plus de détails sur ces actions, reportez-vous à la section suivante.

Pour effectuer d'autres actions sur la recherche, sur la page de liste Consultations, sélectionnez le compartiment, le type et le type de création de la recherche, puis affinez la recherche dans la section Filtres. Vous pouvez également inclure des filtres de balise pour filtrer les recherches par balise. Une fois la recherche identifiée, cliquez sur l'icône Actions dans la ligne de la recherche :

Télécharger à nouveau le fichier : en cas de recherches créées par l'utilisateur, si vous disposez d'une nouvelle version de la table de consultation ou si un téléchargement précédent a échoué, vous pouvez la recharger.
Supprimer : vous devrez peut-être supprimer certaines de vos recherches anciennes ou inutilisées. Pour supprimer la recherche, confirmez-la dans la boîte de dialogue Supprimer la recherche. Vous ne pouvez supprimer un code express que s'il est créé par l'utilisateur.
Copier l'OCID : l'OCID de la ressource de recherche est copié. Vous pouvez l'utiliser pour faire référence à cette ressource partout dans Oracle Cloud Infrastructure.
Déplacement de la ressource : la boîte Déplacement de la ressource vers un autre compartiment apparaît. Dans les options, sélectionnez le compartiment vers lequel déplacer la recherche, puis cliquez sur Déplacer une ressource.
Ajouter des balises : reportez-vous à l'ajout de balises aux ressources Logging Analytics.

Mise à jour d'une recherche existante

Mettez à jour le fichier CSV avec les combinaisons champ-valeur.
Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Logging Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.
Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Recherches.
Sous Recherches, cliquez sur l'icône Actions de la ligne correspondant à la recherche à mettre à jour, puis sur Télécharger de nouveau un fichier.

La boîte de dialogue Télécharger de nouveau un fichier apparaît.
Sélectionnez le fichier CSV de recherche mis à jour que vous avez créé précédemment, puis cliquez sur Télécharger.

Création d'une recherche simple

Après avoir créé une recherche simple, exécutez une requête avec la commande searchlookup pour répertorier les valeurs dans la recherche, puis utilisez la commande lookup dans une requête pour mettre en correspondance les champs de sortie avec ces valeurs.

Créez un fichier CSV de recherche avec les combinaisons champ-valeur. Par exemple, pour créer une recherche mettant en correspondance l'ID d'erreur avec les descriptions :
```
errid,description
02323,Network Not Reachable
09912,User Activity
12322,Out of Memory
```
La première ligne est l'en-tête avec les titres errid et description pour les valeurs des lignes suivantes.
Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Logging Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.
Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Recherches.

La page de liste des codes express s'affiche. Dans le volet de navigation de gauche, sélectionnez le compartiment dans lequel la recherche doit être créée.
Sous Recherches, cliquez sur Créer une recherche.
Sur la page Créer un code express, entrez le nom de la recherche, par exemple server error code lookups, et éventuellement une description.
Sous Type, sélectionnez Simple.
Sélectionnez le fichier CSV de recherche que vous aviez créé précédemment.
Vous pouvez éventuellement développer la section Afficher les options avancées et ajouter des balises à la recherche. Cliquez sur Créer.

Création d'une recherche de dictionnaire

Après avoir créé la recherche de type dictionnaire, utilisez la commande searchlookup pour répertorier les recherches. Utilisez la commande lookup à des fins de mise en correspondance avec les champs dans n'importe quelle requête uniquement après avoir utilisé les commandes link ou cluster dans la requête.

Rubriques complémentaires :

Vous pouvez utiliser des recherches de type dictionnaire uniquement au moment de la requête et non au moment de l'inclusion dans la fonction source.

Pour consulter des exemples d'utilisation de la recherche de dictionnaire dans Cluster et Lien, reportez-vous à Utilisation de la recherche de dictionnaire dans Cluster et à Utilisation de la recherche de dictionnaire dans Lien.

Pour obtenir un exemple d'utilisation de la recherche de dictionnaire afin de fournir la géolocalisation, reportez-vous à Spécification de la géolocalisation à l'aide d'une recherche.

Créez un fichier CSV de recherche avec les combinaisons champ-valeur.

Par exemple :
```
Operator,Condition,Issue,Area
CONTAINS,message header or abbreviation processing failed,Processing Error,Messaging
CONTAINS,Failed to associate the transaction context with the response while marshalling,Marshalling Error,Response
CONTAINS,A RuntimeException was generated by the RMI server,Exception,RMI
```
La première ligne est l'en-tête, où Operator et Condition sont les champs obligatoires spécifiés dans le même ordre. Les paramètres suivants sont répertoriés dans la ligne d'en-tête après les paramètres obligatoires. Les lignes suivantes sont les valeurs des paramètres répertoriés dans la ligne d'en-tête dans le même ordre.

Reportez-vous au tableau ci-dessous pour obtenir la liste des opérateurs valides et des exemples d'utilisation.

Remarque :
- Si un champ contient une virgule, placez-le entre guillemets.
- Si un champ contient des guillemets, ajoutez aux guillemets un ensemble de guillemets comme caractère d'échappement.
Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Logging Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.
Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Recherches.

La page de liste des codes express s'affiche. Dans le volet de navigation de gauche, sélectionnez le compartiment dans lequel la recherche doit être créée.
Sous Recherches, cliquez sur le lien Créer une recherche.
Sur la page Créer une recherche, entrez le nom de la recherche, par exemple cluster dictionary lookups, et éventuellement une description.
Sous Type, sélectionnez Dictionnaire.
Sélectionnez le fichier CSV de recherche que vous aviez créé précédemment.
Vous pouvez éventuellement développer la section Afficher les options avancées et ajouter des balises à la recherche. Cliquez sur Créer.

Opérateur CIDRMATCH

L'opérateur CIDRMATCH prend en charge la règle d'opération de correspondance CIDR (Classless Inter-Domain Routing) dans une recherche de dictionnaire. Par exemple, le dictionnaire suivant renvoie Network Name avec la valeur Database Network si l'adresse IP d'entrée est comprise entre 192.0.2.0 et 192.0.2.255 :

Operator,Condition,Network Name
CIDRMATCH,192.0.2.10/24,Database Network

Liste des opérateurs valides et exemples d'utilisation

Opérateur	Description	Exemple
`CONTAINS`	True si la valeur contient la chaîne spécifiée dans le champ Condition. Distingue les majuscules des minuscules.	`CONTAINS,Request 'GetResponse' Timed out,Timeout Error`
`CONTAINS IGNORE CASE`	Même principe que ci-dessus, mais sans distinguer les majuscules des minuscules.	`CONTAINS IGNORE CASE,request 'getresponse' timed out,Timeout Error`
`CONTAINS REGEX`	True si la valeur correspond à l'expression régulière indiquée.	`CONTAINS REGEX,Request '\S+' Timed out,Timeout Error`
`CONTAINS IGNORE CASE REGEX`	Même principe que ci-dessus, mais sans distinguer les majuscules des minuscules.	`CONTAINS IGNORE CASE REGEX,request '\S+' timed out,Timeout Error`
`CONTAINS MULTILINE REGEX`	A utiliser pour une correspondance avec une chaîne multiligne	`CONTAINS MULTILINE REGEX,Request 'GetResponse' Timed out,Timeout Error`
`CONTAINS IGNORE CASE MULTILINE REGEX`	Même principe que ci-dessus, mais sans distinguer les majuscules des minuscules.	`CONTAINS IGNORE CASE MULTILINE REGEX,Request 'GetResponse' Timed out,Timeout Error`
`CONTAINS ONE OF REGEXES`	Indiquez plusieurs expressions régulières. True si au moins une correspondance est établie. Répertoriez les expressions régulières entre `[]` et séparez-les par des virgules. Les expressions régulières ne peuvent pas contenir de virgule. Si vous devez utiliser des guillemets doubles dans l'expression régulière, ajoutez aux guillemets un ensemble de guillemets comme caractère d'échappement.	`CONTAINS ONE OF REGEXES,"[Request '\S+' Timed out,Server\S+Timed out]",Timeout Error`
`NOT CONTAINS`	Ne contient pas la chaîne spécifiée.	`NOT CONTAINS,Request 'GetResponse' Timed out,Success`
`EQUAL`	Le contenu est égal à la valeur indiquée.	`EQUAL,500,HTTP Server Error`
`EQUAL IGNORE CASE`	Même principe que ci-dessus, mais sans distinguer les majuscules des minuscules.	`EQUAL,In-Progress,Request In Progress`
`NOT EQUAL`	True si le contenu n'est pas égal à la valeur indiquée.	`NOT EQUAL,200,HTTP Request Failed`
`STARTS WITH`	Comparaison avec le début du contenu.	`STARTS WITH,Request failed with,Fail`
`ENDS WITH`	Comparaison avec la fin du contenu.	`ENDS WITH,timed out,Timeout`
`IN`	True si au moins une des valeurs est égale.	`IN,"[500,501,502,503]",HTTP Server Error`
`IN IGNORE CASE`	Même principe que ci-dessus, mais sans distinguer les majuscules des minuscules.	`IN IGNORE CASE,[fail,timeout,error,fatal],Request Failed`
`NOT IN`	True si le contenu n'est égal à aucune valeur de la liste.	`NOT IN,"[500,501,503,400,401,404]",HTTP Request Successful`
`NULL`	True si le contenu du champ est NULL.	`NULL,,No Value`
`NOT NULL`	True si le contenu du champ n'est pas NULL.	`NOT NULL,,Value Present`
`CIDRMATCH`	Règle d'opération de correspondance CIDR (Classless Inter-Domain Routing) dans une recherche de dictionnaire	Reportez-vous à Opérateur CIDRMATCH.

Liste des opérateurs numériques et logiques et exemples

Remarque

Assurez-vous que les opérateurs numériques ne sont pas mélangés avec les opérateurs de chaîne dans un même dictionnaire. Si les opérateurs sont mélangés dans un même dictionnaire et qu'une valeur de chaîne est transmise dans la requête, un message d'erreur est renvoyé concernant le type lors de la mise en correspondance à l'aide des opérateurs numériques.

Opérateur	Description	Exemple
`=`	Valeur numérique égale à	`=,1,Value is 1`
`!=`	Valeur numérique différente de	`!=,1,Value is Not 1`
`>`	Supérieur à la valeur donnée	`>,1,Value is above 1`
`<`	Inférieur à la valeur donnée	`<,1,Value is below 1`
`>=`	Supérieur ou égal à la valeur donnée	`>=,1,Value is equal or above 1`
`<=`	Inférieur ou égal à la valeur donnée	`<=,1,Value is equal or below 1`
`BETWEEN`	Entre les deux valeurs données, toutes deux incluses	`BETWEEN,1-10,Value is equal or above 1 and equal or below 10`
`> AND <`	Supérieur à N1 et inférieur à N2	`> AND <,1-10,Above 1 and below 10`
`>= AND <=`	Identique à BETWEEN : supérieur ou égal à N1, et inférieur ou égal à N2	`>= AND <=,1-10,Above or equal to 1 and below or equal to 10`
`>= AND <`	Supérieur ou égal à N1, et inférieur à N2	`>= AND <,1-10,Above or equal to 1 and below 10`
`> AND <=`	Supérieur à N1, et inférieur ou égal à N2	`> AND <=,1-10,Above 1 and below or equal to 10`
`> OR <`	Supérieur à N1 ou inférieur à N2	`> OR <,1-10` Supérieur à 1 ou inférieur à 10
`>= OR <=`	Supérieur ou égal à N1, ou inférieur ou égal à N2	`>= OR <=,100-10,Above or equal to 100 or below or equal to 10`
`>= OR <`	Supérieur ou égal à N1, ou inférieur à N2	`>= OR <,10-1,Above or equal to 10 or below 1`
`> OR <=`	Supérieur à N1, ou inférieur ou égal à N2	`> OR <=,100-10,Above 100 or below or equal to 10`
`>= OR !=`	Supérieur ou égal à N1, ou différent de N2	`>= OR !=,10-1,Above or equal to 10 or not equal to 1`
`<= OR !=`	Inférieur ou égal à N1, ou différent de N2	`<= OR !=,10-100,Below or equal to 10 or not equal to 100`
`>= OR =`	Supérieur ou égal à N1, ou égal à N2	`>= OR =,10-1,Above or equal to 1 or equal to 1`
`<= OR =`	Inférieur ou égal à N1, ou égal à N2	`<= OR =,10-100,Below or equal to 10 or equal to 100`
`> AND !=`	Supérieur à N1 et différent de N2	`> AND !=,10-100,Above 10 and not equal to 100`
`< AND !=`	Inférieur à N1 et différent de N2	`< AND !=,10-1,Below 10 and not equal to 1`

Utilisation de commentaires lors de la définition de recherches de dictionnaire

Utilisez # comme premier champ pour ajouter des commentaires à une recherche de dictionnaire. Voici un exemple de recherche avec des commentaires :

Operator,Condition,Label,Module
# ----------------------------------
# Startup/Shutdown and Terminations
# ----------------------------------
CONTAINS,Server started in RUNNING mode,Server Started,WebLogic Server
CONTAINS,A critical service failed. The server will shut itself down,Server Shutdown,WebLogic Server
CONTAINS,state changed to FAILED,Server Failed,
CONTAINS,Removing .* from cluster view due to PeerGone,Cluster Removed,WebLogic Server
# ----------------------
# Connection Error / Timeouts and Slowness
# ----------------------
CONTAINS,Unable to connect to WSM policy manager,WSM Policy Manager Connection Error,
CONTAINS REGEX,java.sql.SQLTimeoutException: \S+: user requested cancel of current operation,SQL Timeout,Database
CONTAINS,This member is running extremely slowly and may endanger the rest of the cluster,WebLogic Cluster Slowness,WebLogic Server

Utilisation de la recherche de dictionnaire dans une requête

Vous pouvez utiliser le même dictionnaire dans plusieurs requêtes. Par exemple, la requête suivante applique le même dictionnaire au champ Message et affiche les résultats cumulés à l'aide de la visualisation en graphique à secteurs :

'Log Source' = 'Linux Syslog Logs'
| lookup table = 'Linux Error Categories' select Issue, Area using Message
| stats count by Area

Utilisation de la recherche de dictionnaire dans une requête

Autoriser les utilisateurs à effectuer toutes les opérations sur les codes express

Type de ressource individuel : loganalytics-lookup

Partie du type agrégé de ressource : loganalytics-features-family

Instruction de stratégie de ressource si la stratégie familiale n'est pas définie :

Cas d'emploi	Stratégies IAM
La recherche peut se trouver dans la location	`allow group <user_group> to READ loganalytics-lookup in tenancy`
Restreignez le droit d'accès pour la recherche à un compartiment spécifique.	`allow group <user_group> to READ loganalytics-lookup in compartment <compartment_name>`

Notez que pour que l'instruction de stratégie ci-dessus limite le droit d'accès à la ressource de recherche avec la portée (location ou compartiment) requise pour fonctionner, aucune autre instruction de stratégie ne doit couvrir la famille de types de ressource et une portée plus étendue.

Remarque

Si vous voulez empêcher un utilisateur d'afficher le contenu d'une recherche, même indirectement, cet utilisateur NE DOIT PAS être autorisé à :

Télécharger des journaux
Afficher les journaux contenant les champs enrichis à l'aide de ces recherches restreintes

Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une stratégie IAM pour loganalytics-lookup :

`Inspect`	`Read`	`Use`	`Manage`
S/O	S/O	Enregistrer une recherche	Gérer présente le même niveau de droits d'accès et d'opérations d'API que Utiliser.

En règle générale, seuls les administrateurs disposent des autorisations USE et MANAGE pour créer ou supprimer une recherche. Si vous souhaitez disposer des privilèges nécessaires pour exécuter des requêtes de recherche, vous devez disposer de l'autorisation READ.

Instruction d'agrégation de stratégie de famille qui couvre le droit d'accès à la ressource de consultation :

Cas d'emploi	Stratégies IAM
La recherche peut se trouver dans la location	`allow group <user_group> to read loganalytics-features-family in tenancy`

Remarque

Si vous avez activé Oracle Logging Analytics à l'aide de l'interface utilisateur d'intégration qui est disponible lorsque vous accédez au service pour la première fois, certaines stratégies sont déjà créées. Reportez-vous à Stratégies créées pendant l'intégration de Logging Analytics.

Autorisations pour l'utilisation des ressources de consultation

Si vous utilisez déjà l'explorateur de journaux, les kits SDK ou l'interface de ligne de commande pour exécuter les requêtes, vous disposez déjà des droits d'accès requis pour exécuter les commandes de requête searchlookup ou lookup sur les recherches existantes définies par Oracle et créées par l'utilisateur.

Si vous utilisez le principal d'instance pour exécuter les requêtes, fournissez le droit d'accès suivant si vous n'avez pas déjà fourni l'accès loganalytics-features-family au groupe dynamique :

Allow dynamic-group <dynamic-group-name> to {LOG_ANALYTICS_LOOKUP_READ} in tenancy

Allow dynamic-group <dynamic-group-name> to {LOG_ANALYTICS_LOOKUP_READ} in compartment <compartment_name>

Documentation Oracle Cloud Infrastructure