Remarque :

• Ce tutoriel nécessite l'accès à Oracle Cloud. Pour vous inscrire pour obtenir un compte gratuit, reportez-vous à Introduction à Oracle Cloud Infrastructure Free Tier.
• Il utilise des exemples de valeur pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. A la fin de l'exercice, remplacez ces valeurs par celles propres à votre environnement cloud.

Analyse des exemples de journaux avec OCI Logging Analytics

Introduction

Il existe d'importants volumes de télémétrie dans un environnement d'entreprise type. Comment savoir si vos données de journal comportent des événements de journal intéressants ? Comment corréler les événements de journal appartenant à un flux métier spécifique de toutes vos applications ? Comment identifiez-vous les flux métier qui se comportent de façon anormale ? OCI Logging Analytics est une solution cloud qui agrège, indexe et analyse une variété de données de journal à partir d'environnements sur site et multiclouds. Il vous permet de rechercher, d'explorer et de corréler ces données, de dégager des informations opérationnelles et de prendre des décisions éclairées. Logging Analytics peut inclure, analyser et corréler les journaux à partir de n'importe quelle source. Les activités de corrélation s'appuient à la fois sur l'apprentissage automatique intégré et sur un langage de requête sophistiqué.
Dans ce tutoriel, découvrez comment utiliser Oracle Cloud Infrastructure Logging Analytics pour effectuer facilement de telles tâches, notamment la détection de valeurs aberrantes, le clustering d'événements, la corrélation de journaux et la détection d'anomalies.

Objectifs

Découvrez comment résoudre les problèmes en analysant les fichiers journaux en utilisant des algorithmes d'apprentissage automatique prédéfinis, des tableaux de bord interactifs et en contexte pour identifier rapidement les problèmes et les causes premières grâce à OCI Logging Analytics.

Prérequis

Remarque : vous pouvez utiliser un compte d'évaluation pour ce tutoriel. Toutefois, si vous convertissez votre compte en "toujours gratuit", vous serez déconnecté du service et vous ne pourrez pas l'utiliser pour ce tutoriel.

Préparation de votre environnement

Vous devez être administrateur OCI et effectuer ces étapes dans une seule région.

Tâches de configuration prérequises génériques pour configurer la location Oracle Cloud Infrastructure et utiliser Oracle Logging Analytics.

Activer Logging Analytics

S'il s'agit de la première utilisation de Logging Analytics dans l'environnement en cours, vous devez activer le service en procédant comme suit. Si vous avez activé Logging Analytics, continuez avec la section Télécharger des exemples de journaux.

1. Le service Logging Analytics est disponible dans le menu supérieur de la console OCI. Accédez à Observability and Management et cliquez sur Logging Analytics.

   

2. Si vous utilisez le service pour la première fois dans cette région, consultez la page d'intégration qui vous fournira des détails de haut niveau sur le service et une option de démarrage de Logging Analytics. Cliquez sur Démarrer à l'aide de Logging Analytics.

   

3. Vérifiez les stratégies créées automatiquement. Un groupe de journaux appelé Par défaut est créé s'il n'existe pas. Une fois le service Logging Analytics activé, cliquez sur Configurer l'ingestion pour continuer.

   

4. Sélectionnez Configurer l'analyse du journal d'audit OCI dans cette région, puis cliquez sur Suivant.

   

5. Après avoir vérifié les modifications, cliquez sur Configurer l'ingestion.

   

6. Une fois l'analyse des journaux d'audit OCI activée, cliquez sur Accéder au tableau de bord des journaux d'audit OCI.

   

Télécharger les exemples de journal

1. Connectez-vous à la console OCI à l'aide de vos informations d'identification de location.

2. Assurez-vous que vous êtes dans votre région d'origine.

   

3. Ouvrez Cloud Shell en cliquant sur l'icône située à droite du sélecteur de région. Cloud Shell s'ouvre en bas de la fenêtre de navigateur et est disponible en quelques minutes.

4. Exécutez les commandes suivantes :

   wget https://objectstorage.us-phoenix-1.oraclecloud.com/p/RHMd3hXQ4v33Bm7YE6IONjSvsNPFBNAf7BkcVgysjr9wgNA3gzZEB5DevHqkMR1t/n/ax1zffkcg1fy/b/oci_quick_start_script_do_not_delete/o/logging-analytics-demo-v1.0.zip
   

   unzip logging-analytics-demo-v1.0.zip
   

   cd logging-analytics-demo
   

   ./setup.sh
   

   Exemple de sortie pour la commande ./setup.sh :

   Running demo setup script: Jan-12-2021 
   Checking to see if compartment logging-analytics-demo already exists 
   Does not exist yet, create compartment 
   . . . 
   Create log directories 
   Update Log Record timestamps
   Loading files ...
   Processing source/cisco-asa (convert - I file(s)) - Cisco ASA Logs
   . . .
   Processed in 12 seconds
   Compressing files 
   Uploading Logs 
   . . .
   Uploading oci_api_gw_access.zip
   Uploading oci_api_gw_exec.zip
   

   Le script de configuration configure toutes les ressources OCI nécessaires et charge les données de journal échantillon.

   Remarque : Le script de configuration peut être réexécuté. Si vous avez déjà téléchargé les mêmes fichiers, cliquez sur l'icône de navigation, puis sur Observability and Management, accédez à Logging Analytics et cliquez sur Administration. Sous Ressources, cliquez sur Téléchargements. Sélectionnez logging-analytics-demo et supprimer ce téléchargement avant d'exécuter à nouveau le script. Lors de la décompression, si vous êtes invité à "remplacer", répondez "A" ([A]ll).

   Le script de configuration crée également un groupe de superadministrateurs appelé Logging-Analytics-SuperAdmins. Pour permettre à d'autres utilisateurs OCI d'utiliser Logging Analytics et d'analyser ces exemples de journaux, ajoutez ces utilisateurs à ce groupe comme suit :

   a. Dans le menu de la console OCI, accédez à Identité > Utilisateurs.

   b. Cliquez sur le nom de l'utilisateur qui utilisera Logging Analytics.

   c. Dans la moitié inférieure de l'écran, cliquez sur le bouton Add User to Group.

   d. Dans la boîte de dialogue, sélectionnez le groupe Logging-Analytics-SuperAdmins et cliquez sur le bouton Ajouter pour enregistrer vos modifications.

5. Pour vérifier que les exemples d'enregistrements de journal ont été correctement chargés et que votre environnement est configuré, procédez comme suit :

   Vérifiez la création des entités en cliquant sur l'icône de navigation, puis sur Observability and Management, accédez à Logging Analytics et cliquez sur Administration. Sous Ressources, cliquez sur Entités. Sélectionnez le compartiment logging-analytics-demo. La liste des entités doit ressembler à la capture d'écran ci-dessous :

   

   Vérifiez le téléchargement en accédant à Logging Analytics, puis cliquez sur Administration. Sous Ressources, cliquez sur Téléchargements. Cliquez sur logging-analytics-demo.

   Cliquez sur Avertissements dans le menu de gauche et vérifiez qu'il n'y a pas d'avertissement ou d'erreur.

   Ensuite, accédez à Fichiers téléchargés, cliquez sur Statut et sélectionnez cette option pour filtrer par Echec. Aucun enregistrement ne doit être affiché. Modifier le statut en En cours. Cela ne doit afficher aucun enregistrement, indiquant que tous les fichiers ont été chargés avec succès.

   

Familiarisation

1. Cliquez sur Afficher dans l'explorateur de journaux dans le menu de gauche de la page Fichiers téléchargés.

   

2. L'image suivante présente les principales parties de l'interface utilisateur qui seront utilisées tout au long de ce tutoriel.

   

   1) Barre de requête, avec les boutons Effacer, Aide sur la recherche et Exécuter à l'extrémité droite de la barre.

   2) Menu Période et menu Actions permettant de rechercher des actions telles que Ouvrir, Enregistrer et Enregistrer sous.

   3) Panneau Champs, dans lequel vous pouvez sélectionner des sources et des champs pour filtrer vos données.

   4) Panneau Visualisation, dans lequel vous pouvez sélectionner des sources et des champs pour filtrer vos données.

   5) Panneau principal, où les sorties de visualisation apparaissent au-dessus des résultats de la requête.

3. La période doit rester personnalisée tout au long du tutoriel. Si la période ne peut pas être réinitialisée sur Personnalisé, vous pouvez redémarrer en revenant à la page Fichiers téléchargés et en cliquant sur Afficher dans l'explorateur de journaux.

   CONSEIL : Si vous perdez une étape, vous pouvez utiliser le bouton Précédent du navigateur. Toutefois, n'utilisez pas le bouton d'actualisation.

Explorer les journaux à l'aide du clustering

1. Cliquez sur Journaux de flux OCI VCN pour explorer les données de flux VCN.

   

2. Accédez à Actions, puis cliquez sur Enregistrer sous pour enregistrer cette recherche en tant que "Widget".

   

3. Saisissez "Save Search" (Enregistrer la recherche), puis cliquez sur Save (Enregistrer).

   A ce stade, le widget peut être ajouté à un tableau de bord directement à partir d'ici ou ultérieurement à partir du menu du tableau de bord.

   

4. Créez plusieurs widgets en affichant les autres journaux.

   Vous les ajouterez ensuite à un tableau de bord.

5. Revenez à l'affichage de toutes vos données de journal.

   Conseil : effacez la barre de requête et cliquez sur Exécuter.

   Vous travaillez avec un total d'environ 74 Ko. Il est plus facile de visualiser un volume important de données en tant que clusters associés. Logging Analytics - Le clustering (apprentissage automatique non supervisé) utilise les données de journal et l'expertise de domaine enrichi pour rechercher des modèles dans les données. Le clustering fonctionne aussi bien sur du texte que sur des nombres, ce qui permet de réduire le volume important de données à moins de modèles pour la détection d'anomalies. Cliquez sur le bouton Cluster dans le panneau de visualisation.

   

6. Explorez différents clusters, problèmes potentiels, valeurs aberrantes et tendances.

   Logging Analytics utilise l'apprentissage automatique non supervisé pour rechercher les clusters associés dans des données. Cela réduit les journaux d'environ 74 Ko à 629 modèles de cluster, en temps réel.

   Remarque : les nombres que vous voyez peuvent être légèrement différents de ceux indiqués dans le tutoriel.

   

7. Cliquez sur l'onglet Problèmes potentiels.

   Sur les 629 groupes, 76 ont été identifiés automatiquement comme des problèmes potentiels.

   

8. Cliquez sur l'onglet Fonctions aberrantes.

   Ces problèmes se sont produits une seule fois et indiquent une anomalie dans le système.

   

9. Cliquez ensuite sur l'onglet Trends.

   Il s'agit de modèles de cluster corrélés dans le temps. Cliquez sur 8 Tendances similaires pour afficher un ensemble de journaux associés à partir des journaux d'alertes de base de données. Notez que le nombre exact de tendances affichées peut varier en fonction de la fenêtre de temps sélectionnée.

   

10. Enregistrez cette recherche en suivant les mêmes étapes que celles que vous avez effectuées précédemment à l'étape 3.

11. Créez une visualisation supplémentaire pour comprendre la distribution de votre trafic réseau.

    Commencez par modifier la visualisation en Camembert et sélectionnez un nouvel ensemble de données, OCI VCN Flow Logs.

    

    Dans la zone de recherche du panneau Champs, recherchez la chaîne "Source". Ensuite, faites glisser "Source IP" de la zone "Other" vers la zone "Group by" du panneau Visualization et cliquez sur Apply.

    

    Ici, vous pouvez voir la distribution des journaux par "adresse IP source".

    

12. Recherchez la distribution des adresses IP de destination à l'aide du langage de requête.

    Entrez la requête suivante dans la barre de requête et cliquez sur Exécuter.

    'Log Source' = 'OCI VCN Flow Logs’ | stats count('Destination IP') by 'Destination IP' 
    

    

    Un graphique à secteurs (tel que défini par défaut) avec des enregistrements est affiché.

    

13. Remplacez la visualisation par une arborescence en sélectionnant "Feuille d'arborescence" dans le menu de visualisation.

    Sélectionnez "Feuille d'arborescence" dans le menu de visualisation.

    Sur cette page, vous pouvez visualiser la distribution des adresses IP de destination. Enregistrer sous cette recherche/ce widget.

    

Explorer les journaux à l'aide du lien

1. Corréler des données avec d'autres sources de données à l'aide de la fonctionnalité Lien non supervisé. Entrez les informations suivantes dans la barre de requête et cliquez sur Exécuter.

   Conseil : appuyez sur Ctrl-I dans la barre de requête pour formater la requête.

   'Upload Name' = 'logging-analytics-demo' and 'Log Source' = 'OCI VCN Flow Logs' 
   | eval 'Source Name' = if('Source Port' = 80,
                          HTTP,
                          'Source Port' = 443,
                          HTTPS,
                          'Source Port' = 21,
                          FTP,
                          'Source Port' = 22,
                          SSH,
                          'Source Port' = 137,
                          NetBIOS,
                          'Source Port' = 648,
                          RRP,
                          'Source Port' = 9006,
                          Tomcat,
                          'Source Port' = 9042,
                          Cassandra,
                          'Source Port' = 9060,
                          'Websphere Admin. Console',
                          'Source Port' = 9100,
                          'Network  Printer',
                          'Source Port' = 9200,
                          'Elastic Search',
                          Other) 
    | eval 'Destination Name' = if('Destination Port' = 80,
                               HTTP,
                               'Destination Port' = 443,
                               HTTPS,
                               'Destination Port' = 21,
                               SSH,
                               'Destination Port' = 22,
                               FTP,
                               'Destination Port' = 137,
                               NetBIOS,
                               'Destination Port' = 648,
                               RRP,
                               'Destination Port' = 9006,
                               Tomcat,
                               'Destination Port' = 9042,
                               Cassandra,
                               'Destination Port' = 9060,
                               'Websphere Admin. Console',
                               'Destination Port' = 9100,
                               'Network  Printer',
                               'Destination Port' = 9200,
                               'Elastic Search',
                               Other) 
    | eval Source = 'Source IP' || ':' || 'Source Port' 
    | eval Destination = 'Destination IP' || ':' || 'Destination Port' 
    | link Source,
       Destination 
    | stats avg('Content Size Out') as 'Transfer Size (bytes)',
       unique('Source Name') as 'Traffic From',
       unique('Destination Name') as 'Traffic To' 
    | classify topcount = 300 correlate = -*,
       Source,
       Destination 'Start Time',
       'Traffic From',
       'Transfer Size (bytes)',
       'Traffic To' as Network                        
   

   La fonctionnalité eval traduit les noms de port en applications.

   La dernière partie de la requête ajoute d'autres champs d'évaluation de la durée des requêtes, qui créent une ligne unique pour chaque source et destination, et calculent le transfert réseau moyen entre ces adresses. En outre, vous obtenez également le nom traduit "Traffic From" et "Traffic To" pour les ports source et de destination.

2. Accédez à Analyser, cliquez sur Créer un graphique et renseignez les champs comme indiqué ci-dessous :

   

3. Analysez les clusters et analysez les points de données spécifiés, en créant l'analyse ci-dessous :

   

4. Vous pouvez choisir différents champs pour contrôler la taille et les couleurs des éléments du graphique.

   

5. Placez le pointeur de la souris sur les éléments pour afficher des informations détaillées les concernant.

   

6. Vous pouvez cliquer sur les éléments pour avoir accès à leur contenu.

   

7. Enregistrez-le en tant que widget.

   Accédez à Options et cliquez sur Options d'affichage. Dans la section "Options du tableau de bord" du panneau, désélectionnez toutes les options et vérifiez uniquement "Analyser" et "Table de données". Cliquez sur Enregistrer les modifications. Ensuite, accédez à Actions et cliquez sur Enregistrer sous pour enregistrer cette analyse en tant que widget.

Créer des tableaux de bord

1. Accédez à Logging Analytics et cliquez sur Tableaux de bord.

   

2. Cliquez sur Créer.

   Entrez le nom du tableau de bord, le compartiment précédemment créé (logging-analytics-demo) et utilisez les recherches enregistrées disponibles en tant que widgets pour le tableau de bord de droite. Glissez-déplacez un widget sur le canevas. Les panneaux peuvent être dimensionnés et déplacés sur le canevas. Ajoutez d'autres widgets créés précédemment. Le tableau de bord peut se présenter comme suit :

   

   Ou, comme ceci :

   

En savoir plus

Pour collecter en continu des données de journal à partir de vos entités on-premise, vous pouvez installer des agents de gestion sur vos hôtes, sur site ou dans une infrastructure cloud. Reportez-vous aux détails sous Utiliser les agents de gestion Oracle.

Pour plus d'informations sur les associations d'entités utilisées pour créer des relations, voir :

Création d'entités

Configurer une nouvelle association source-entité

Types d'entité modélisés dans Logging Analytics

Pour plus d'informations techniques, reportez-vous à Logging Analytics.

Explorez d'autres ateliers sur Oracle Learn ou accédez à des contenus de formation plus gratuits sur le canal YouTube Oracle Learning. De plus, accédez à Oracle University pour devenir Oracle Learning Explorer.

Ressources de formation supplémentaires

Explorez d'autres exercices sur docs.oracle.com/learn ou accédez à davantage de contenu d'apprentissage gratuit sur le canal Oracle Learning YouTube. De plus, visitez le site education.oracle.com/learning-explorer pour devenir Oracle Learning Explorer.

Pour consulter la documentation du produit, consultez le centre d'aide Oracle.

---

Informations relatives au titre et au copyright

Analyze Sample Logs with OCI Logging Analytics Tutorial

F50678-01

November 2021

Copyright © 2021, Oracle and/or its affiliates.