Remarque :

Analyse des exemples de journaux avec OCI Logging Analytics

Introduction

Un environnement d'entreprise type dispose d'un nombre considérable de télémesures de journal. Il peut s'avérer difficile de trouver des données et des événements de journal intéressants et de les corréler à un flux métier spécifique à partir de toutes vos applications ou d'identifier des comportements anormaux. OCI Logging Analytics est une solution cloud qui agrège, indexe et analyse une variété de données de journal à partir d'environnements sur site et multiclouds. Il vous permet de rechercher, d'explorer et de corréler ces données, de dégager des informations opérationnelles et de prendre des décisions éclairées. Logging Analytics peut inclure, analyser et corréler les journaux à partir de n'importe quelle source. Les activités de corrélation s'appuient à la fois sur l'apprentissage automatique intégré et sur un langage de requête sophistiqué.
Dans ce tutoriel, découvrez comment utiliser OCI Logging Analytics dans un environnement préconfiguré pour effectuer facilement de telles tâches, notamment la détection des valeurs aberrantes, la clusterisation d'événements, la corrélation de journaux et la détection d'anomalies.

Objectifs

Découvrez comment résoudre les problèmes en analysant les fichiers journaux en utilisant des algorithmes d'apprentissage automatique prédéfinis, des tableaux de bord interactifs et en contexte pour identifier rapidement les problèmes et les causes premières grâce à OCI Logging Analytics.

Prérequis

Avant de commencer

Lorsque vous lancez l'exercice, votre propre bureau s'affiche. Vous utiliserez un navigateur pour vous connecter à un environnement Oracle Cloud Infrastructure conçu et configuré pour exécuter des tâches Logging Analytics spécifiques.

Vous allez vous connecter en tant qu'administrateur OCI et effectuer les étapes d'exercice au sein d'une seule région.

Connexion à l'environnement OCI

  1. Si vous ne l'avez pas encore fait, accédez à votre bureau, ouvrez le fichier Luna-Lab.html en cliquant deux fois sur le fichier. Si une boîte de dialogue apparaît, vérifiez que Chrome est sélectionné comme navigateur par défaut et désélectionnez l'envoi de statistiques et de rapports d'incident à Google.

  2. Notez les détails de ce fichier, faites défiler l'affichage pour tous les visualiser : un lien rapide vers OCI, votre nom utilisateur et votre mot de passe, ainsi que d'autres détails relatifs aux exercices. Cliquez sur le bouton OCI CONSOLE. L'interface de connexion OCI s'ouvre dans un onglet distinct. Cliquez sur le bouton Console OCI et une connexion à la console OCI apparaît dans un nouvel onglet de navigateur. Si un message s'affiche concernant les cookies sur le site, cliquez sur le bouton I accept all cookies.

  3. Accédez au premier onglet, copiez votre nom utilisateur et collez-le dans le champ Nom utilisateur du deuxième onglet.

  4. Répétez l'étape 3 ci-dessus, cette fois copiez le mot de passe, puis cliquez sur Connexion. Enregistrez le mot de passe si vous le souhaitez et ignorez tous les autres messages susceptibles de s'afficher.

    Etant donné que votre compartiment comporte un groupe de superadministrateurs et que vous êtes un superadministrateur dans ce groupe, vous devez vous déplacer du compartiment racine vers le compartiment spécifique qui vous a été affecté. Par conséquent, le message d'erreur de ressource rouge lors de l'extraction des résultats de requête. Dans le premier onglet Luna Lab, faites défiler l'affichage vers le bas et notez le nom de compartiment OCI qui vous a été affecté.

  5. Dans la partie supérieure gauche de la console OCI, cliquez sur l'icône de navigation, puis sur Observability and Management, accédez à Logging Analytics et cliquez sur Explorateur de journaux. Ignorez l'erreur lors de l'extraction des résultats de la requête.

  6. Cliquez sur l'icône Filtre à droite de l'explorateur de journaux.

    Accédez ensuite au premier onglet de navigateur, recherchez le nom de compartiment OCI et cliquez sur Copier. De retour à l'environnement OCI, collez le nom du compartiment dans le champ de recherche Compartiment du groupe de journaux, puis sélectionnez le compartiment. Cliquez sur Appliquer.

  7. Dans la fenêtre de temps (en haut à droite), sélectionnez 14 derniers jours.

  8. Pour vérifier que les entités à partir desquelles vous collectez les journaux sont toutes configurées correctement, accédez au menu supérieur gauche, puis sélectionnez Administration. Sur la page Aperçu de l'administration, définissez le champ Compartiment sur celui qui vous a été affecté de la même façon que lors de l'étape précédente. Fermez les zones d'erreur rouges, puis cliquez sur Entités. La liste des entités doit ressembler à l'image ci-dessous.

    Notez que votre environnement peut avoir plus de journaux que ce qui est indiqué ici et que vos graphiques d'analyse peuvent afficher des nombres différents. Les environnements prédéfinis sont améliorés régulièrement. Toutefois, les étapes d'exploration restent identiques.

    image 2

Vous êtes maintenant prêt à explorer Logging Analytics !

Familiarisation

  1. Revenez à l'explorateur de journaux (en haut à gauche).

  2. Dans les options Visualisations, sélectionnez Enregistrements avec histogramme. Voici les principales parties de l'interface utilisateur qui seront utilisées tout au long de ce tutoriel.

    1) Barre de requête, avec les boutons Effacer, Aide sur la recherche et Exécuter à l'extrémité droite de la barre.

    2) Menu Période et menu Actions permettant de rechercher des actions telles que Ouvrir, Enregistrer et Enregistrer sous.

    3) Panneau Champs, dans lequel vous pouvez sélectionner des sources et des champs pour filtrer vos données.

    4) Panneau Visualisation, dans lequel vous pouvez sélectionner le moyen de présenter les données de recherche dans un formulaire qui vous aide.

    5) Panneau principal, où les sorties de visualisation apparaissent au-dessus des résultats de la requête.

  3. La période doit rester personnalisée tout au long du tutoriel. Si la période ne peut pas être réinitialisée sur Personnalisé, vous pouvez redémarrer en revenant à la page Fichiers téléchargés et en cliquant sur Afficher dans l'explorateur de journaux.

    CONSEIL : Si vous perdez une étape, vous pouvez utiliser le bouton Précédent du navigateur. Toutefois, n'utilisez pas le bouton d'actualisation.

Explorer les journaux à l'aide du clustering

  1. Dans le graphique, cliquez sur Journaux de flux OCI VCN pour explorer les données de flux VCN.

  2. Accédez à Actions, puis cliquez sur Enregistrer sous pour enregistrer cette recherche en tant que "Widget".

  3. Saisissez "Save Search" (Enregistrer la recherche), puis cliquez sur Save (Enregistrer).

    A ce stade, le widget peut être ajouté à un tableau de bord directement à partir d'ici ou ultérieurement à partir du menu du tableau de bord.

  4. Créez plusieurs widgets en affichant les autres journaux.

    Vous les ajouterez ensuite à un tableau de bord.

  5. Revenez à l'affichage de toutes vos données de journal.

    Conseil : effacez la barre de requête et cliquez sur Exécuter.

    Vous travaillez avec un total d'environ 74 Ko. Il est plus facile de visualiser un volume important de données en tant que clusters associés. Logging Analytics - Le clustering (apprentissage automatique non supervisé) utilise les données de journal et l'expertise de domaine enrichi pour rechercher des modèles dans les données. Le clustering fonctionne aussi bien sur du texte que sur des nombres, ce qui permet de réduire le volume important de données à moins de modèles pour la détection d'anomalies. Cliquez sur le bouton Cluster dans le panneau de visualisation.

  6. Explorez différents clusters, problèmes potentiels, valeurs aberrantes et tendances.

    Logging Analytics utilise l'apprentissage automatique non supervisé pour rechercher les clusters associés dans des données. Cela réduit les journaux d'environ 74 Ko à 629 modèles de cluster, en temps réel.

    Remarque : les nombres que vous voyez peuvent être légèrement différents de ceux indiqués dans le tutoriel.

  7. Cliquez sur l'onglet Problèmes potentiels.

    Sur les 629 groupes, 76 ont été identifiés automatiquement comme des problèmes potentiels.

  8. Cliquez sur l'onglet Fonctions aberrantes.

    Ces problèmes se sont produits une seule fois et indiquent une anomalie dans le système.

  9. Cliquez ensuite sur l'onglet Trends.

    Il s'agit de modèles de cluster corrélés dans le temps. Cliquez sur 8 Tendances similaires pour afficher un ensemble de journaux associés à partir des journaux d'alertes de base de données. Notez que le nombre exact de tendances affichées peut varier en fonction de la fenêtre de temps sélectionnée.

  10. Enregistrez cette recherche en suivant les mêmes étapes que celles que vous avez effectuées précédemment à l'étape 3.

  11. Créez une visualisation supplémentaire pour comprendre la distribution de votre trafic réseau.

    Commencez par modifier la visualisation en Camembert et sélectionnez un nouvel ensemble de données, OCI VCN Flow Logs.

    Dans la zone de recherche du panneau Champs, recherchez la chaîne "Source". Ensuite, faites glisser "Source IP" de la zone "Other" vers la zone "Group by" du panneau Visualization et cliquez sur Apply.

    Ici, vous pouvez voir la distribution des journaux par "adresse IP source".

  12. Recherchez la distribution des adresses IP de destination à l'aide du langage de requête.

    Entrez la requête suivante dans la barre de requête et cliquez sur Exécuter.

    Conseil : tout élément copié en dehors de l'environnement, à coller dans l'environnement, doit d'abord être collé dans le papier, situé dans la barre d'actions de l'environnement.

    'Log Source' = 'OCI VCN Flow Logs’ | stats count('Destination IP') by 'Destination IP'

    Un graphique à secteurs (tel que défini par défaut) avec des enregistrements est affiché.

  13. Remplacez la visualisation par une arborescence en sélectionnant "Feuille d'arborescence" dans le menu de visualisation.

    Sélectionnez "Tree map" dans le menu de visualisation.

    Sur cette page, vous pouvez visualiser la distribution des adresses IP de destination. Enregistrer sous cette recherche/ce widget.

  1. Corréler des données avec d'autres sources de données à l'aide de la fonctionnalité Lien non supervisé. Entrez les informations suivantes dans la barre de requête, puis cliquez sur Exécuter. Accédez à Administration et, sous Ressources, cliquez sur Téléchargements. Sélectionnez et copiez (Ctrl-C) le nom du chargement. Revenez à l'explorateur de journaux et remplacez la barre de requête logging-analytics-demo par le nom de téléchargement que vous avez copié (sélectionnez logging-analytics-demo et appuyez sur Ctrl-V), puis cliquez sur Exécuter.

    Conseil : appuyez sur Ctrl-I dans la barre de requête pour formater la requête.

    'Upload Name' = 'logging-analytics-demo' and 'Log Source' = 'OCI VCN Flow Logs' 
| eval 'Source Name' = if('Source Port' = 80,
                       HTTP,
                       'Source Port' = 443,
                       HTTPS,
                       'Source Port' = 21,
                       FTP,
                       'Source Port' = 22,
                       SSH,
                       'Source Port' = 137,
                       NetBIOS,
                       'Source Port' = 648,
                       RRP,
                       'Source Port' = 9006,
                       Tomcat,
                       'Source Port' = 9042,
                       Cassandra,
                       'Source Port' = 9060,
                       'Websphere Admin. Console',
                       'Source Port' = 9100,
                       'Network  Printer',
                       'Source Port' = 9200,
                       'Elastic Search',
                       Other) 
 | eval 'Destination Name' = if('Destination Port' = 80,
                            HTTP,
                            'Destination Port' = 443,
                            HTTPS,
                            'Destination Port' = 21,
                            SSH,
                            'Destination Port' = 22,
                            FTP,
                            'Destination Port' = 137,
                            NetBIOS,
                            'Destination Port' = 648,
                            RRP,
                            'Destination Port' = 9006,
                            Tomcat,
                            'Destination Port' = 9042,
                            Cassandra,
                            'Destination Port' = 9060,
                            'Websphere Admin. Console',
                            'Destination Port' = 9100,
                            'Network  Printer',
                            'Destination Port' = 9200,
                            'Elastic Search',
                            Other) 
 | eval Source = 'Source IP' || ':' || 'Source Port' 
 | eval Destination = 'Destination IP' || ':' || 'Destination Port' 
 | link Source,
    Destination 
 | stats avg('Content Size Out') as 'Transfer Size (bytes)',
    unique('Source Name') as 'Traffic From',
    unique('Destination Name') as 'Traffic To' 
 | classify topcount = 300 correlate = -*,
    Source,
    Destination 'Start Time',
    'Traffic From',
    'Transfer Size (bytes)',
    'Traffic To' as Network

    La fonctionnalité eval traduit les noms de port en applications.

    La dernière partie de la requête ajoute d'autres champs d'évaluation de la durée des requêtes, qui créent une ligne unique pour chaque source et destination, et calculent le transfert réseau moyen entre ces adresses. En outre, vous obtenez également le nom traduit "Traffic From" et "Traffic To" pour les ports source et de destination.

  2. Accédez à Analyser, cliquez sur Créer un graphique et renseignez les champs comme indiqué ci-dessous :

  3. Analysez les clusters et analysez les points de données spécifiés, en créant l'analyse ci-dessous :

  4. Vous pouvez choisir différents champs pour contrôler la taille et les couleurs des éléments du graphique.

  5. Placez le pointeur de la souris sur les éléments pour afficher des informations détaillées les concernant.

  6. Vous pouvez cliquer sur les éléments pour avoir accès à leur contenu.

  7. Enregistrez-le en tant que widget.

    Accédez à Options et cliquez sur Options d'affichage. Dans la section "Options du tableau de bord" du panneau, désélectionnez toutes les options et vérifiez uniquement "Analyser" et "Table de données". Cliquez sur Enregistrer les modifications. Ensuite, accédez à Actions et cliquez sur Enregistrer sous pour enregistrer cette analyse en tant que widget.

Créer des tableaux de bord

  1. Accédez à Logging Analytics et cliquez sur Tableaux de bord.

  2. Cliquez sur Créer.

    Entrez le nom du tableau de bord, le compartiment précédemment créé (logging-analytics-demo) et utilisez les recherches enregistrées disponibles en tant que widgets pour le tableau de bord de droite. Glissez-déplacez un widget sur le canevas. Les panneaux peuvent être dimensionnés et déplacés sur le canevas. Ajoutez d'autres widgets créés précédemment. Le tableau de bord peut se présenter comme suit :

    Ou, comme ceci :

En savoir plus

Pour collecter en continu des données de journal à partir de vos entités on-premise, vous pouvez installer des agents de gestion sur vos hôtes, sur site ou dans une infrastructure cloud. Reportez-vous aux détails sous Utiliser les agents de gestion Oracle.

Pour plus d'informations sur les associations d'entités utilisées pour créer des relations, voir :

Création d'entités

Configurer une nouvelle association source-entité

Types d'entité modélisés dans Logging Analytics

Pour plus d'informations techniques, reportez-vous à Logging Analytics.

Explorez d'autres ateliers sur Oracle Learn ou accédez à des contenus de formation plus gratuits sur le canal YouTube Oracle Learning. De plus, accédez à Oracle University pour devenir Oracle Learning Explorer.

Ressources de formation supplémentaires

Explorez d'autres exercices sur docs.oracle.com/learn ou accédez à davantage de contenu d'apprentissage gratuit sur le canal Oracle Learning YouTube. De plus, visitez le site education.oracle.com/learning-explorer pour devenir Oracle Learning Explorer.

Pour consulter la documentation du produit, consultez le centre d'aide Oracle.