Documentazione dell'infrastruttura Oracle Cloud

Creare un'origine

Le origini definiscono la posizione dei log dell'entità e la modalità di integrazione delle voci di log. Per avviare la raccolta continua dei log tramite i Management Agent OCI, è necessario associare un'origine a una o più entità.

Nota

Per passaggi più specifici a

Argomenti aggiuntivi:

  1. Aprire il menu di navigazione e fare clic su Observability & Management. In Log Analytics, fare clic su Amministrazione.

    Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Amministrazione. Fare clic su Origini.

    Viene visualizzata la pagina Origini. Fare clic su Crea origine.

  2. Immettere il nome dell'origine nel campo Nome.

    Facoltativamente, aggiungere una descrizione.

  3. Nell'elenco Tipo di origine selezionare il tipo per l'origine log.
    Oracle Log Analytics supporta tre tipi di origine log per le origini personalizzate:

    • File: utilizzare questo tipo per raccogliere la maggior parte dei tipi di log, ad esempio i log di database, applicazione e infrastruttura.

    • Oracle Diagnostic Logging (ODL): utilizzare questo tipo per i log in formato Oracle Diagnostics Logs. Questi log vengono in genere utilizzati per i log di diagnostica per Oracle Fusion Middleware e Oracle Applications.

    • Listener syslog: in genere viene utilizzato per i dispositivi di rete, ad esempio Intrusion Detection Appliance, Firewall o altro dispositivo in cui non è possibile installare un Management Agent.

    • Microsoft Windows: utilizzare questo tipo per raccogliere i messaggi degli eventi di Windows. Oracle Log Analytics può raccogliere tutte le voci cronologiche del log degli eventi di Windows. Supporta Windows e canali di eventi personalizzati.

      Nota

      Questo tipo di origine non richiede il campo Parser di log.

    • Database: utilizzare questo tipo di origine per raccogliere i log memorizzati nelle tabelle all'interno di un database in locale. Con questo tipo di origine, viene eseguita periodicamente una query SQL per raccogliere i dati della tabella come voci di log.

    • API REST: utilizzare questo tipo di origine per impostare una raccolta di log continua basata su API REST dagli URL degli endpoint che rispondono con i messaggi di log. Con questo tipo di origine, viene effettuata una chiamata API GET o POST all'URL dell'endpoint fornito per ottenere i log.

    • comando OS: utilizzare questo tipo di origine per impostare una raccolta continua di output eseguendo script dei comandi del sistema operativo sull'host dell'agente, sotto forma di log.

  4. Fare clic sul campo Tipo di entità e selezionare il tipo di entità per questa origine log. In seguito, quando si associa questa origine a un'entità per abilitare la raccolta dei log tramite il Management Agent, solo le entità di questo tipo saranno disponibili per l'associazione. Un'origine può avere uno o più tipi di entità.

    • Se è stato selezionato File, API REST, Oracle Diagnostic Log (ODL) o comando OS, si consiglia di selezionare il tipo di entità per l'origine log che corrisponde maggiormente a quello che si intende monitorare. Evitare di selezionare tipi di entità composte come Cluster di database e selezionare invece il tipo di entità Istanza di database perché i log vengono generati a livello di istanza.

    • Se è stato selezionato il tipo di origine Listener Syslog, selezionare una delle varianti di Host.

    • Se è stato selezionato il tipo di origine Database, il tipo di entità è limitato ai tipi di database idonei.

    • Se è stato selezionato il tipo di origine Windows Event System, il tipo di entità predefinito Host (Windows) viene selezionato automaticamente e non può essere modificato.

  5. Fare clic sul campo Parser e selezionare il nome del parser pertinente che acquisisce meglio i campi nei log.
    È possibile selezionare più parser di file per i file di log. Ciò è particolarmente utile quando un file di log contiene voci con sintassi diversa e non può essere analizzato da un singolo parser.

    L'ordine in cui si aggiungono i parser è importante. Quando Oracle Log Analytics legge un file di log, prova il primo parser e passa al secondo parser se il primo non funziona. Ciò continua fino a quando non viene trovato un parser di lavoro. Selezionare prima il parser più comune per questa origine.

    Per il tipo di origine ODL, l'unico parser disponibile è Oracle Diagnostic Logging Format.

    Per il tipo di origine Syslog, in genere viene utilizzato uno dei parser della variante, ad esempio Syslog Standard Format o Syslog RFC5424 Format. È inoltre possibile effettuare una selezione dai parser syslog definiti da Oracle per dispositivi di rete specifici.

    Per il tipo di origine del comando del sistema operativo, le seguenti funzioni parser non sono supportate:

    • La funzione Dettagli intestazione non è supportata nei casi in cui la dimensione del blocco JSON o XML è maggiore di 1 MB e l'intestazione si trova alla fine del blocco o dell'intestazione avvolge il corpo.
    • Offset temporale

    Il campo Parser file non è disponibile per i tipi di origine Windows Event System e REST API. Per il tipo di origine Windows Event System, Oracle Log Analytics recupera i dati di log già analizzati.

    Per analizzare solo le informazioni sull'ora dalle voci di log, è possibile selezionare il parser dell'ora automatico. Vedere Usa parser orario automatico.

  6. Immettere le seguenti informazioni a seconda del tipo di origine:

    • Tipo di origine syslog: specificare la porta del listener.

    • Tipo di origine Windows: specificare un nome di canale del servizio eventi. Il nome del canale deve corrispondere al nome dell'evento Windows in modo che l'agente possa formare l'associazione per raccogliere i log.

    • Tipo di origine database: specificare le istruzioni SQL e fare clic su Configura. Mappare le colonne della tabella SQL ai campi disponibili nel menu. Per creare un nuovo campo per il mapping, fare clic sull'icona Icona Aggiungi.

    • Tipo di origine API REST: fare clic su Aggiungi endpoint di log per fornire un singolo URL dell'endpoint di log o su Aggiungi endpoint della lista di log per più log per fornire un URL dell'endpoint della lista di log per più log da cui è possibile raccogliere periodicamente i log in base alla configurazione temporale nell'interfaccia utente. Per ulteriori informazioni sull'impostazione della raccolta di log dell'API REST, vedere Impostazione della raccolta di log dell'API REST.

    • Tipi di origine file e ODL: utilizzare le schede Includi ed escludi

      • Nella scheda Pattern inclusi fare clic su Aggiungi per specificare i pattern dei nomi file per l'origine.

        Immettere il pattern e la descrizione del nome file.

        È possibile immettere i parametri tra parentesi graffe {}, ad esempio {AdrHome}, come parte del pattern dei nomi file. Oracle Log Analytics sostituisce questi parametri nel pattern di inclusione con proprietà di entità quando l'origine è associata a un'entità. L'elenco dei parametri possibili è definito dal tipo di entità. Se si creano tipi di entità personalizzati, è possibile definire proprietà personalizzate. Quando si crea un'entità, verrà richiesto di fornire un valore per ciascuna proprietà per tale entità. Se necessario, è inoltre possibile aggiungere le proprie proprietà personalizzate per entità. Tutte queste proprietà possono essere utilizzate come parametri qui in Pattern inclusi.

        Ad esempio, per una determinata entità in cui la proprietà {AdrHome} è impostata su /u01/oracle/database/, il pattern di inclusione {AdrHome}/admin/logs/*.log verrà sostituito con /u01/oracle/database/admin/logs/*.log per questa entità specifica. Ogni altra entità sullo stesso host può avere un valore diverso per {AdrHome}, il che comporterebbe la raccolta di un set di file di log completamente diverso per ogni entità.

        È possibile associare un'origine a un'entità solo se i parametri richiesti dall'origine nei pattern hanno un valore per l'entità specificata.

        È possibile configurare le avvertenze nella raccolta log per i pattern. Nell'elenco a discesa Invia avvertenza, selezionare la situazione in cui deve essere emesso l'avviso:

        • Per ogni pattern che presenta un problema: quando sono stati impostati più pattern di inclusione, verrà inviata un'avvertenza di raccolta log per ogni pattern di nome file che non corrisponde.

        • Solo se tutti i pattern presentano problemi: dopo aver impostato più pattern di inclusione, verrà inviata un'avvertenza di raccolta log solo se tutti i pattern dei nomi file non corrispondono.

      • È possibile utilizzare un pattern escluso quando sono presenti file nella stessa posizione che non si desidera includere nella definizione di origine. Nella scheda Pattern esclusi fare clic su Aggiungi per definire i pattern dei nomi dei file di log da escludere da questa origine log.

        Ad esempio, nella directory configurata come origine di inclusione (/u01/app/oracle/admin/rdbms/diag/trace/) è presente un file denominato audit.aud. Nella stessa posizione, esiste un altro file con il nome audit-1.aud. È possibile escludere qualsiasi file con il motivo audit-*.aud.

    • tipo di comando del sistema operativo: utilizzare la scheda Comandi per includere gli script dei comandi del sistema operativo e i relativi dettagli, che devono essere eseguiti sull'host dell'agente, in modo da raccogliere l'output sotto forma di log.

      • Comando: fornire il percorso dello script del comando del sistema operativo memorizzato sull'host dell'agente. Il percorso deve essere relativo alla cartella dello script personalizzato. Il campo Comando non può contenere le sequenze di attraversamento della directory padre /../ o \..\. Il comando non può terminare con /.. o \...

        Percorso di esempio:

        Se il percorso assoluto dello script personalizzato è /opt/oracle/mgmt_agent/agent_inst/state/laStorage/os_cmd/scripts/user1scripts/my_script1.sh, specificare il percorso user1scripts/my_script1.sh in questo campo.

        Per informazioni dettagliate sullo script personalizzato del comando del sistema operativo e sulla posizione in cui memorizzarlo nell'host dell'agente, vedere Prerequisiti per l'impostazione della raccolta dell'output del comando del sistema operativo.

      • Argomenti: facoltativamente, è possibile specificare argomenti per lo script e separare ogni argomento da uno spazio vuoto.

      • Descrizione: facoltativamente, fornire una descrizione significativa per questo comando e per il set di argomenti.

    Dopo aver fornito i dettagli dello script del comando del sistema operativo, abilitare la casella di controllo corrispondente alla riga corrispondente per abilitare l'impostazione.

  7. Aggiungere filtri dati. Vedere Usa filtri dati nelle origini.
  8. Aggiungi campi estesi. Vedere Usa campi estesi nelle origini.
  9. Configurare le opzioni di integrazione dei campi. Vedere Configura opzioni di integrazione dei campi.
  10. Aggiungere etichette. Vedere Usa etichette nelle origini.
  11. Fare clic su Salva.

Usa filtri dati nelle origini

Oracle Log Analytics consente di mascherare e nascondere le informazioni riservate dalle voci di log e di nascondere intere voci di log prima che i dati di log vengano caricati nel cloud.

Utilizzando la scheda Filtri dati quando si modifica o si crea un'origine, è possibile mascherare indirizzi IP, ID utente, nome host e altre informazioni riservate con stringhe di sostituzione, eliminare parole chiave e valori specifici da una voce di log e nascondere anche un'intera voce di log.

È possibile aggiungere filtri dati quando si crea un'origine log o quando si modifica un'origine esistente. Per ulteriori informazioni sulla modifica delle origini log esistenti, vedere Personalizzare un'origine definita da Oracle.

Se i dati di log vengono inviati a Oracle Log Analytics utilizzando il caricamento o la raccolta su richiesta dall'area di memorizzazione degli oggetti, il mascheramento verrà eseguito sul lato cloud prima dell'indicizzazione dei dati. Se si raccolgono i log utilizzando il Management Agent, i log vengono mascherati prima che il contenuto lasci le sedi.

Argomenti:

Dati di log di mascheramento

Mascheramento è il processo di prendere un insieme di testo esistente e sostituirlo con altro testo statico per nascondere il contenuto originale.

Se si desidera mascherare qualsiasi informazione, ad esempio il nome utente e il nome host, dalle voci di log:

  1. Aprire il menu di navigazione e fare clic su Observability & Management. In Log Analytics, fare clic su Amministrazione.

  2. Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Amministrazione. Fare clic su Origini.

  3. Fare clic sul nome dell'origine che si desidera modificare. Viene visualizzata la pagina dei dettagli di origine. Fare clic su Personalizza per modificare l'origine.

  4. Fare clic sulla scheda Filtri dati e fare clic su Aggiungi.

  5. Immettere il nome della maschera, selezionare maschera come tipo, immettere il valore Trova espressione e il valore Sostituisci espressione associato.

    Il valore di Trova espressione può essere una ricerca in testo semplice o un'espressione regolare standard. Il testo che corrisponde all'espressione Trova viene sostituito con l'espressione Sostituisci in tutta la voce di log.

    Nome Espressione Find Espressione Replace
    nome utente maschera User=\S User=confidential
    host maschera Host=\S+ Host=mask_host
    Nota

    La sintassi della stringa di sostituzione deve corrispondere alla sintassi della stringa da sostituire. Ad esempio, un numero non deve essere sostituito con una stringa. Un indirizzo IP del modulo 123.45.67.89 deve essere sostituito con 000.000.000.000 e non con 000.000. Se le sintassi non corrispondono, i parser potrebbero rompersi.

  6. Fare clic su Salva.

Quando si visualizzano le voci di log mascherate per questa origine log, si scopre che Oracle Log Analytics ha mascherato i valori dei campi specificati.

  • Utente = riservato

  • Host = mask_host

Mascheramento hash dei dati di log

Quando si mascherano i dati di log utilizzando la maschera come descritto nella sezione precedente, le informazioni mascherate vengono sostituite da una stringa statica fornita nell'espressione di sostituzione. Ad esempio, quando il nome utente è mascherato con la stringa confidential, il nome utente viene sempre sostituito con l'espressione confidential nei record di log per ogni occorrenza. Utilizzando la maschera hash, è possibile eseguire l'hash del valore trovato con un hash univoco. Ad esempio, se i record di log contengono più nomi utente, viene eseguito l'hashing di ogni nome utente su un valore univoco. Quindi, se la stringa user1 viene sostituita con l'hash di testo ebdkromluceaqie per ogni occorrenza, l'hash può comunque essere utilizzato per identificare che queste voci di log sono per lo stesso utente. Tuttavia, il nome utente effettivo non sarà visibile.

Rischio associato: poiché si tratta di un hash, non è possibile recuperare il valore effettivo del testo originale mascherato. Tuttavia, prendendo un hash di qualsiasi stringa, si arriva allo stesso hash ogni volta. Assicurarsi di considerare questo rischio durante il mascheramento hash dei dati di log. Ad esempio, la stringa oracle ha l'hash md5 di a189c633d9995e11bf8607170ec9a4b8. Ogni volta che qualcuno tenta di creare un hash md5 della stringa oracle, sarà sempre lo stesso valore. Anche se non è possibile prendere questo hash md5 e invertire di nuovo per ottenere la stringa originale oracle, se qualcuno cerca di indovinare e inoltrare hash il valore oracle, vedrà che l'hash corrisponde a quello nella voce di log.

Per applicare il filtro dei dati della maschera hash ai dati di log:

  1. Andare alla pagina Crea origine. Per i passi, vedere Creare un'origine.

  2. È inoltre possibile modificare un'origine già esistente. Per la procedura di apertura di una pagina Modifica origine, vedere Modifica origine.

  3. Fare clic sulla scheda Filtri dati e fare clic su Aggiungi.

  4. Immettere il nome della maschera, selezionare maschera hash come tipo, immettere il valore Trova espressione e il valore Sostituisci espressione associato.

    Nome Espressione Find Espressione Replace
    Nome utente maschera User=(\S+)s+ Hash testo
    Porta maschera Port=(\d+)s+ Hash numerico

  5. Fare clic su Salva.

Se si desidera utilizzare la maschera hash in un campo basato su stringhe, è possibile utilizzare l'hash Testo o Numerico come campo stringa. Tuttavia, se il campo dati è numerico, ad esempio un numero intero, lungo o a virgola mobile, è necessario utilizzare l'hash numerico. Se non si utilizza l'hash numerico, il testo di sostituzione causerà l'interruzione delle espressioni regolari che dipendono da questo valore. Anche il valore non verrà memorizzato.

Questa sostituzione viene eseguita prima dell'analisi dei dati. In genere, quando i dati devono essere mascherati, non è chiaro se siano sempre numerici. Pertanto, è necessario decidere il tipo di hash durante la creazione della definizione della maschera.

Come risultato del mascheramento hash di esempio sopra, ogni nome utente viene sostituito da un hash di testo univoco e ogni numero di porta viene sostituito da un hash numerico univoco.

È possibile utilizzare la maschera hash quando si filtrano o si analizzano i dati di log. Vedere Filtra log per maschera hash.

Eliminazione di parole chiave o valori specifici dai record di log

Oracle Log Analytics consente di cercare una parola chiave o un valore specifico nei record di log e di eliminare la parola chiave o il valore corrispondente se presente nei record di log.

Prendere in considerazione il record di log seguente:

ns5xt_119131: NetScreen device_id=ns5xt_119131  [Root]system-notification-00257(traffic): start_time="2017-02-07 05:00:03" duration=4 policy_id=2 service=smtp proto=6 src zone=Untrust dst zone=mail_servers action=Permit sent=756 rcvd=756 src=192.0.2.1 dst=203.0.113.1 src_port=44796 dst_port=25 src-xlated ip=192.0.2.1 port=44796 dst-xlated ip=203.0.113.1 port=25 session_id=18738

Se si desidera nascondere la parola chiave device_id e il relativo valore dal record di log:

  1. Aprire il menu di navigazione e fare clic su Observability & Management. In Log Analytics, fare clic su Amministrazione.

  2. Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Amministrazione. Fare clic su Origini.

  3. Fare clic sul nome dell'origine che si desidera modificare. Viene visualizzata la pagina dei dettagli di origine. Fare clic su Personalizza per modificare l'origine.

  4. Fare clic sulla scheda Filtri dati e fare clic su Aggiungi.

  5. Immettere il Nome del filtro, selezionare Stringa di spostamento come Tipo e immettere il valore Trova espressione, ad esempio device_id=\S*

  6. Fare clic su Salva.

Quando si visualizzano i record di log per questa origine, si scopre che Oracle Log Analytics ha eliminato le parole chiave o i valori specificati.

Nota

Assicurarsi che l'espressione regolare del parser corrisponda al pattern dei record di log, altrimenti Oracle Log Analytics potrebbe non analizzare correttamente i record dopo aver eliminato la parola chiave.

Nota

Oltre ad aggiungere filtri dati durante la creazione di un'origine, è possibile modificare un'origine esistente per aggiungere filtri dati. Per ulteriori informazioni sulla modifica delle origini esistenti, vedere Personalizzare un'origine definita da Oracle.

Eliminazione di un'intera voce di log basata su parole chiave specifiche

Oracle Log Analytics consente di cercare una parola chiave o un valore specifico nei record di log ed eliminare un'intera voce di log in un record di log, se tale parola chiave esiste.

Prendere in considerazione il record di log seguente:

ns5xt_119131: NetScreen device_id=ns5xt_119131  [Root]system-notification-00257(traffic): start_time="2017-02-07 05:00:03" duration=4 policy_id=2 service=smtp proto=6 src zone=Untrust dst zone=mail_servers action=Permit sent=756 rcvd=756 src=198.51.100.1 dst=203.0.113.254 src_port=44796 dst_port=25 src-xlated ip=198.51.100.1 port=44796 dst-xlated ip=203.0.113.254 port=25 session_id=18738

Si supponga di voler eliminare l'intera voce di log se in essa è presente la parola chiave device_id:

  1. Aprire il menu di navigazione e fare clic su Observability & Management. In Log Analytics, fare clic su Amministrazione.

  2. Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Amministrazione. Fare clic su Origini.

  3. Fare clic sul nome dell'origine che si desidera modificare. Viene visualizzata la pagina dei dettagli di origine. Fare clic su Personalizza per modificare l'origine.

  4. Fare clic sulla scheda Filtri dati e fare clic su Aggiungi.

  5. Immettere il filtro Nome, selezionare Elimina voce di log come Tipo e immettere il valore Trova espressione, ad esempio .*device_id=.*

    È importante che l'espressione regolare corrisponda all'intera voce di log. L'uso di .* davanti e alla fine dell'espressione regolare garantisce che corrisponda a tutto il resto del testo nella voce di log.

  6. Fare clic su Salva.

Quando si visualizzano le voci di log per questa origine log, si scopre che Oracle Log Analytics ha eliminato tutte le voci di log che contengono la stringa device_id.

Nota

Oltre ad aggiungere filtri dati durante la creazione di un'origine, è possibile modificare un'origine esistente per aggiungere filtri dati. Per ulteriori informazioni sulla modifica delle origini esistenti, vedere Personalizzare un'origine definita da Oracle.

Usa campi estesi nelle origini

La funzione Campi estesi di Oracle Log Analytics consente di estrarre campi aggiuntivi da un record di log oltre a tutti i campi analizzati dal parser.

Nella definizione di origine viene scelto un parser che può suddividere un file di log in record di log e ogni record di log in un insieme di campi di base. Questi campi di base devono essere coerenti in tutti i record di log. Un parser di base estrae i campi comuni da un record di log. Tuttavia, se è necessario estrarre campi aggiuntivi dal contenuto del record di log, è possibile utilizzare la definizione dei campi estesi. Ad esempio, è possibile definire il parser in modo che tutto il testo alla fine dei campi comuni di un record di log venga analizzato e memorizzato in un campo denominato Messaggio.

Quando si cercano i log utilizzando l'origine aggiornata, i valori dei campi estesi vengono visualizzati insieme ai campi estratti dal parser di base.

Nota

Per aggiungere il gruppo di log come campo di input, fornire il relativo OCID per il valore anziché il nome.

  1. Aprire il menu di navigazione e fare clic su Observability & Management. In Log Analytics, fare clic su Amministrazione.

    Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Amministrazione. Fare clic su Origini.

  2. Fare clic sul nome dell'origine che si desidera modificare. Viene visualizzata la pagina dei dettagli di origine. Per modificare l'origine, fare clic su Modifica.
  3. Fare clic sulla scheda Campi estesi, quindi fare clic su Aggiungi.
  4. È possibile specificare una condizione in modo che l'estrazione del campo venga eseguita solo se il record di log da valutare corrisponde a una condizione predefinita. Per aggiungere una condizione al campo esteso, espandere la sezione Condizioni.
    • Riutilizza esistente: se necessario, per riutilizzare una condizione già definita per l'origine log, selezionare il pulsante di opzione Riutilizza esistente e selezionare la condizione definita in precedenza dal menu Condizione.
    • Crea nuova condizione: abilitare questo pulsante se si desidera definire una nuova condizione. Specificare il campo condizione, l'operatore e il valore.

      Ad esempio, la definizione di campo esteso che estrae il valore del campo Nome risorsa di sicurezza dal valore del campo Messaggio solo se il campo Servizio ha uno dei valori specificati NetworkManager, dhclient o dhcpd è la seguente:

      • Campo base: Message
      • Contenuto campo base di esempio: DHCPDISCOVER from b8:6b:23:b5:c1:bd (HOST1-LAP) via eth0
      • Espressione di estrazione: ^DHCPDISCOVER\s+from\s+{Security Resource Name:\S+}\s+.+

      La condizione per questa definizione di campo esteso deve essere definita come segue:

      • Campo condizione: service
      • Operatore condizione: IN
      • Valore condizione: NetworkManager,dhclient,dhcpd

      Nell'esempio precedente, il valore estratto del campo Nome risorsa di sicurezza è b8:6b:23:b5:c1:bd.

      Per fornire più valori per il campo Valore condizione, immettere il valore e premere Invio per ciascun valore.

    Aggiungendo una condizione, è possibile ridurre l'elaborazione dell'espressione regolare in un record di log che probabilmente non avrà il valore che si sta tentando di estrarre. Ciò consente di ridurre in modo efficace i tempi di elaborazione e il ritardo nella disponibilità dei record di log in Esplora log.

  5. Selezionare il campo base in cui il valore è quello che si desidera estrarre ulteriormente nei campi.

    I campi visualizzati nel campo base sono quelli analizzati dal parser di base e alcuni campi predefiniti popolati dalla raccolta di log, ad esempio Entità di log (nome file, tabella di database o altra posizione originale da cui proviene il record di log) e Contenuto log originale.

  6. Immettere un valore di esempio comune per il campo base che si è scelto di estrarre in campi aggiuntivi nello spazio Contenuto campo base di esempio. Viene utilizzato durante la fase di test per dimostrare che la definizione estesa del campo funziona correttamente.
  7. Immettere l'espressione di estrazione nel campo Espressione estrazione e selezionare la casella di controllo Abilitato.

    Un'espressione di estrazione segue la normale sintassi dell'espressione regolare, tranne quando si specifica l'elemento di estrazione, è necessario utilizzare una macro indicata dalle parentesi graffe { e }. All'interno delle parentesi graffe sono presenti due valori separati dai due punti :. Il primo valore all'interno delle parentesi graffe è il campo in cui memorizzare i dati estratti. Il secondo valore è l'espressione regolare che deve corrispondere al valore da acquisire dal campo base.

    • Utilizzare LoganAI per creare l'espressione di estrazione:

      Selezionare la casella di controllo Utilizzare LoganAI per creare l'espressione di estrazione. Specificare le informazioni che si desidera estrarre. È possibile utilizzare il linguaggio naturale per specificare, ad esempio, extract the username from the log content o give me the device ID. Fare clic sull'icona AI Icona AI. L'espressione di estrazione viene generata. Se necessario, è possibile modificare l'espressione e mappare i campi. Eseguire il test della definizione per verificare se l'espressione soddisfa i criteri. In caso contrario, fare di nuovo clic sull'icona AI Icona AI per generare di nuovo l'espressione di estrazione.

      Questa opzione è disponibile solo se l'amministratore ha abilitato LoganAI per la tenancy e l'area correnti.

    • Creare l'espressione di estrazione in modo autonomo:

      Per includere più campi nel blocco di espressioni di estrazione, assicurarsi che siano separati da virgole (,). Nell'esempio seguente, ai campi estesi eventcount, readycount e resultcnt viene assegnato lo stesso valore. 

      Tx\\s+Msg[:]{eventcount,readycount,resultcnt:\\d+}

      La virgola (,) è l'unico separatore che è possibile utilizzare tra più campi aggiunti all'interno dell'espressione di estrazione.

    Nota

    Quando si desidera estrarre più valori da un campo utilizzando i campi estesi:

    1. Creare innanzitutto un campo per il contenuto del log che può avere più valori per un campo, ad esempio Error IDs. Vedere Crea un campo.

    2. Nella finestra di dialogo Aggiungi definizione campo esteso, per il campo base, selezionare un campo base estratto da un parser e contenente dati con più valori, ad esempio Message, Original Log Content.

    3. Inserire Contenuto campo base di esempio con più valori di un campo che si desidera estrarre.

    4. In Espressione estrazione, fornire l'espressione regolare per estrarre ogni valore dal campo. Fare clic su Aggiungi.

  8. Fare clic su Test definizione per verificare che l'espressione di estrazione possa estrarre correttamente i campi desiderati dal contenuto di esempio del campo di base fornito. In caso di esito positivo della corrispondenza, viene visualizzato il Conteggio passi, che è la buona misura dell'efficacia dell'espressione di estrazione. Se l'espressione è inefficiente, l'estrazione potrebbe timeout e il campo non verrà popolato.
    Nota

    È consigliabile mantenere il conteggio dei passi inferiore a 1000 per ottenere le migliori prestazioni. Più alto è questo numero, maggiore sarà il tempo necessario per elaborare i log e renderli disponibili in Log Explorer.
  9. Fare clic su Salva.

Se si utilizza l'opzione Solo tempo di analisi automatico nella definizione di origine anziché creare un parser, l'unico campo disponibile per la creazione di definizioni di campo estese sarà il campo Contenuto log originale poiché nessun altro campo verrà popolato dal parser. Vedere Usa parser orario automatico.

Oracle Log Analytics consente di cercare i campi estesi che si stanno cercando. È possibile eseguire ricerche in base alla modalità di creazione, al tipo di campo di base o con un contenuto di esempio del campo. Immettere il contenuto di esempio nel campo Cerca oppure fare clic sulla freccia verso il basso per la finestra di dialogo di ricerca. Nella finestra di dialogo di ricerca, in Tipo di creazione, selezionare se i campi estesi che si sta cercando sono definiti da Oracle o definiti dall'utente. In Campo base è possibile effettuare una selezione tra le opzioni disponibili. È inoltre possibile specificare il contenuto di esempio o l'espressione del campo di estrazione che può essere utilizzata per la ricerca. Fare clic su Applica filtri.

Tabella 9-1 Esempio di contenuto e espressione di estrazione del campo esteso

Descrizione Campo base Contenuto di esempio Espressione Extended Field Extraction
Per estrarre l'entensione del file endpoint dal campo URI di un file di log di Fusion Middleware Access

URI

/service/myservice1/endpoint/file1.jpg

{Content Type:\.(jpg|html|png|ico|jsp|htm|jspx)}

Questa operazione estrae il suffisso file, ad esempio jpg o html, e memorizza il valore nel campo Tipo di contenuto. Verranno estratti solo i suffissi elencati nell'espressione.

Per estrarre il nome utente dal percorso file di un'entità di log

Log Entity

/u01/oracle/john/audit/134fa.xml

/\w+/\w+/{User Name:\w+}/\w+/\w+

Per estrarre l'ora di inizio dal campo Messaggio

Nota: l'ora di inizio evento è un campo di tipo dati Indicatore orario. Se si trattasse di un campo di tipo dati numerico, l'ora di inizio verrà memorizzata semplicemente come numero e non come indicatore orario.

Message

Backup transaction finished. Start=1542111920

Start={Event Start Time:\d+}

Fonte: /var/log/messages

Nome parser: Linux Syslog Format

Message

authenticated mount request from 10.245.251.222:735 for /scratch (/scratch)

authenticated {Action:\w+} request from {Address:[\d\.]+}:{Port:\d+} for {Directory:\S+}\s(

Fonte: /var/log/yum.log

Nome parser: Yum Format

Message

Updated: kernel-headers-2.6.18-371.0.0.0.1.el5.x86_64

{Action:\w+}: {Package:.*}

Origine: Database Alert Log

Nome parser: Database Alert Log Format (Oracle DB 11.1+)

Message

Errors in file /scratch/cs113/db12101/diag/rdbms/pteintg/pteintg/trace/pteintg_smon_3088.trc (incident=4921): ORA-07445: exception encountered: core dump [semtimedop()+10] [SIGSEGV] [ADDR:0x16F9E00000B1C] [PC:0x7FC6DF02421A] [unknown code] []

Errors in file {Trace File:\S+} (incident={Incident:\d+}): {Error ID:ORA-\d+}: exception encountered: core dump [semtimedop()+10] [SIGSEGV] [ADDR:{Address:[\w\d]+] [PC:{Program Counter:[\w\d]+}] [unknown code] []

Fonte: FMW WLS Server Log

Nome parser: WLS Server Log Format

Message

Server state changed to STARTING

Server state changed to {Status:\w+}

Configura opzioni integrazione campi

Oracle Log Analytics consente di configurare le opzioni di arricchimento dei campi in modo da poter estrarre e visualizzare ulteriormente informazioni significative dai dati dei campi estesi.

Una delle opzioni di integrazione dei campi è Geolocalizzazione, che converte gli indirizzi IP o le coordinate di ubicazione presenti nei record di log in un codice paese o paese. Questo può essere utilizzato nelle origini log come i log di accesso Web che dispongono di indirizzi IP client esterni.

Utilizzando l'opzione Arricchimento campo Ricerca, è possibile abbinare le combinazioni campo-valore dai log a una tabella di ricerca esterna.

Includere ulteriori informazioni nelle voci di log utilizzando l'opzione Campi aggiuntivi. Queste informazioni vengono aggiunte a ogni voce di log durante l'elaborazione.

Per sostituire una stringa o un'espressione in un campo con un'espressione alternativa e memorizzare il risultato in un campo di output, utilizzare l'opzione Sostituzione.

Nota

  • Per un'origine, è possibile definire al massimo tre arricchimenti di campo, ciascuno di tipo diverso.

  • Per aggiungere il gruppo di log come campo di input, fornire il relativo OCID per il valore anziché il nome.

Argomenti:

Usa lookup tempo di inclusione nell'origine

Oracle Log Analytics consente di arricchire i dati di log con ulteriori combinazioni campo-valore dalle ricerche impostando l'opzione Integrazione campo di ricerca nell'origine. Oracle Log Analytics corrisponde al valore del campo specificato a una tabella di ricerca esterna e, se abbinato, aggiunge altre combinazioni campo-valore dal record di ricerca corrispondente ai dati di log. Vedere Gestisci ricerche.
Nota

Per poter aggiungere una ricerca per l'integrazione, gli utenti devono accedere al compartimento predefinito (root).

È possibile aggiungere dati da più ricerche impostando più volte l'opzione Integrazione campi di ricerca. L'arricchimento dei campi di ricerca viene elaborato nello stesso ordine in cui viene creato. Pertanto, se sono presenti ricerche correlate in cui le chiavi si sovrappongono e sono utili per aggiungere ulteriori arricchimenti all'elaborazione di ogni ricerca, assicurarsi di includere le chiavi sovrapposte nelle selezioni di input e output della definizione Arricchimento campi di ricerca. Per un esempio di utilizzo di più ricerche correlate per arricchire i dati di log, vedere Esempio di aggiunta di più arricchimenti dei campi di ricerca.

Passi per aggiungere l'integrazione dei campi di ricerca

  1. Aprire il menu di navigazione e fare clic su Observability & Management. In Log Analytics, fare clic su Amministrazione.

    Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Amministrazione. Fare clic su Origini.

    Viene visualizzata la pagina Origini. Fare clic su Crea origine.

    In alternativa, fare clic sull'icona del menu Azioni Icona Azioni accanto alla voce di origine che si desidera modificare e selezionare Personalizza. Viene visualizzata la pagina Personalizza origine.

    Nota

    Assicurarsi che un parser sia selezionato nella pagina della definizione di origine in modo che il pulsante Aggiungi sia abilitato per l'arricchimento dei campi.

  2. Fare clic sulla scheda Integrazione campo, quindi fare clic su Aggiungi.

    Viene visualizzata la finestra di dialogo Aggiungi arricchimento campo.

  3. Nella finestra di dialogo Aggiungi arricchimento campo,

    1. Selezionare il compartimento in cui si trova la ricerca.
    2. Selezionare Ricerca come Funzione.
    3. Selezionare Nome tabella di ricerca dal menu a discesa.
    4. In Campi di input, selezionare la colonna della tabella di ricerca e il campo di origine log a cui deve essere mappato. Questa operazione consente di mappare la chiave dalla tabella di ricerca a un campo popolato dal parser in Campo origine log. Ad esempio, è possibile mappare la colonna errid nella tabella di ricerca al campo Error ID nei log.

      L'elenco dei campi di input in Campo origine log sarà limitato ai campi popolati dall'origine log.

    5. In Azioni, selezionare il nuovo campo di origine log e il valore del campo nella colonna della tabella di ricerca a cui deve essere mappato. Quando viene trovato un record corrispondente nella tabella di ricerca specificata in base al mapping di input sopra riportato, al log viene aggiunto il campo di output specificato nel campo di origine log con il valore della colonna di ricerca di output specificato in valore campo. Ad esempio, la colonna erraction nella tabella di ricerca può essere mappata al campo Action.

      Facoltativamente, fare clic su + Altro elemento per mappare altri campi di output.

    6. Fare clic su Aggiungi arricchimento campo.

    La ricerca viene ora aggiunta alla tabella Arricchimento campo.

  4. Mantenere selezionata la casella di controllo Abilitato.

  5. Per aggiungere altre ricerche, ripetere i passi 3 e 4.

Quando si visualizzano i record di log dell'origine log per la quale è stato creato l'arricchimento del campo di ricerca del tempo di inclusione, è possibile vedere che nel campo di output vengono visualizzati i valori inseriti nelle voci di log a causa del riferimento della tabella di ricerca utilizzato per creare l'arricchimento del campo. Vedere Gestisci ricerche.

Esempio di aggiunta di più arricchimenti dei campi di ricerca

È possibile aggiungere fino a tre arricchimenti dei campi di ricerca a un'origine. Le singole ricerche possono o non possono essere correlate tra loro.

Nell'esempio seguente viene illustrato come impostare tre ricerche correlate in modo che i dati di log possano essere arricchiti con le informazioni di tutte e tre le ricerche. Tenere presenti le tre ricerche correlate riportate di seguito che contengono informazioni su più host.

Lookup1: SystemConfigLookup

Numero di serie Produttore Sistema operativo Memoria Tipo di processore Unità disco ID host
SER-NUM-01 Manuf1 OS1 256TB Proc1 Unità disco fisso 1.001
SIERO-NUM-02 Manuf2 OS2 7.5TB Proc3 Unità a stato solido 1.002
NUMERO SIERICO-03 Manuf2 OS3 16TB Proc2 Unità a stato solido 1.003
NUMERO SIERICO-04 Manuf3 OS1 512TB Proc5 Unità disco fisso 1.004
NUMERO SIERICO-05 Manuf1 OS1 128TB Proc4 Unità disco fisso 1.001

Lookup2: GeneralHostConfigLookup

ID host Proprietario host Posizione host Descrizione host Indirizzo IP dell'host
1.001 Jack San Francisco Descrizione per Jack host 192.0.2.76
1.002 Alessio Denver Descrizione per Alexis host 203.0.113.58
1.003 Giovanni Seattle Descrizione per John host 198.51.100.11
1.004 Jane San José Descrizione per Jane host 198.51.100.164

Lookup3: NetworkConfigLookup

Indirizzo IP Subnet mask Gateway Server DNS
192.0.2.76 255.255.255.252 192.0.2.1 Server ricorsivo
203.0.113.58 255.255.255.0 203.0.113.1 Server autorizzato
198.51.100.11 255.255.255.224 198.51.100.1 Server radice
198.51.100.164 255.255.255.192 198.51.100.1 Server ricorsivo

Tra i lookup Lookup1 e Lookup2, Host ID è la chiave comune che può essere selezionata come output nel primo arricchimento del campo di ricerca e come input nel secondo arricchimento del campo di ricerca. Analogamente, tra le ricerche Lookup2 e Lookup3, IP Address è la chiave comune che può essere selezionata come output nel primo arricchimento del campo di ricerca e come input nel secondo arricchimento del campo di ricerca.

Con l'impostazione precedente, è possibile configurare gli arricchimenti dei campi di ricerca nell'ordine 1, 2 e 3:

Arricchimento campo di ricerca Nome tabella di ricerca Campi di input Azioni
1 SystemConfigLookup
  • Campo di origine log: Serial Number
  • Colonna tabella di ricerca: Serial Number
  • Nuovo campo Origine log 1: Operating System
  • Valore campo 1: Operating System
  • Nuovo campo Origine log 2: Memory
  • Valore campo 2: Memory
  • Nuovo campo Origine log 3: Host ID
  • Valore campo 3: Host ID
2 GeneralHostConfigLookup
  • Campo di origine log: Host ID
  • Colonna tabella di ricerca: Host ID
  • Nuovo campo Origine log 1: Host Owner
  • Valore campo 1: Host Owner
  • Nuovo campo Origine log 2: Host IP Address
  • Valore campo 2: Host IP Address
3 NetworkConfigLookup
  • Campo di origine log: Host IP Address
  • Colonna tabella di ricerca: IP Address
  • Nuovo campo Origine log 1: Gateway
  • Valore campo 1: Gateway
  • Nuovo campo Origine log 2: DNS Server
  • Valore campo 2: DNS Server

Una volta completata la configurazione di arricchimento di cui sopra, quando il campo Serial Number viene rilevato nei dati di log, viene ulteriormente arricchito con Operating System, Memory, Host ID, Host Owner, Host IP Address, Gateway e DNS Server dalle tre ricerche. So, for the serial number SER-NUM-01 detected in the log, it is enriched with additional information OS1, 256TB, 1001, Jack, 192.0.2.76, 192.0.2.1, and Recursive server.

Utilizzare il campo di georilevazione per i log di raggruppamento

Dopo aver impostato l'arricchimento del campo Geolocalizzazione, è possibile visualizzare i record di log raggruppati per paese o codice paese. Ciò è utile quando si analizzano i log che dispongono di informazioni di posizione cruciali come l'indirizzo IP o le coordinate di posizione, ad esempio i log degli accessi, i log di traccia o i log di trasporto delle applicazioni.

  1. Aprire il menu di navigazione e fare clic su Observability & Management. In Log Analytics, fare clic su Amministrazione.

    Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Amministrazione. Fare clic su Origini.

    Viene visualizzata la pagina Origini. Fare clic su Crea origine.

    In alternativa, fare clic sull'icona del menu Azioni Icona Azioni accanto alla voce di origine che si desidera modificare e selezionare Personalizza. Viene visualizzata la pagina Personalizza origine.

  2. Aggiungere la definizione Campi estesi per il campo base che contiene i record di indirizzi IP o nomi host specifici del paese, ad esempio Indirizzo IP host.
  3. Fare clic sulla scheda Integrazione campo, quindi fare clic su Aggiungi.
  4. Nella finestra di dialogo Aggiungi arricchimento campo selezionare Geolocalizzazione come Funzione.
  5. Nella sezione Campi di input selezionare Campo IP, ovvero il nome del campo di geolocalizzazione estratto dal parser dai log, ad esempio Client Coordinates o Host IP Address (Client).

    Per rilevare le minacce con le informazioni di geolocalizzazione, abilitare la casella di controllo Arricchimento dell'intelligence sulle minacce. Durante l'inclusione dei dati di log, se il valore dell'indirizzo IP associato al campo di input Indirizzo di origine nel contenuto del log è contrassegnato come minaccia, viene aggiunto al campo IP di minaccia. È quindi possibile utilizzare il campo per filtrare i log a cui sono associate minacce. Inoltre, i record di log avranno anche l'etichetta IP di minaccia con priorità problema Alta. È possibile utilizzare l'etichetta nella ricerca.

    I record di log con priorità problema Alta associati hanno un punto rosso nella riga. Ciò rende questi record di registro più importanti nel loro aspetto nella tabella, rendendo più facile individuarli e analizzarli. È possibile visualizzare i dettagli IP delle minacce facendo clic sul valore del campo IP delle minacce e facendo clic su Visualizza informazioni sulle minacce. Viene visualizzata la finestra di dialogo delle informazioni sulle minacce e vengono visualizzati dettagli di intelligence sulle minacce quali OCID, attendibilità complessiva, ultimo report, primo report, tipo, più recente autore segnalazione, geolocalizzazione e cronologia degli indicatori. Per ulteriori dettagli su questi indicatori, vedere Indicatori di intelligence sulle minacce.

  6. Fare clic su Aggiungi.

Aggiungi altri dati alle voci di log in fase di elaborazione

È possibile includere ulteriori informazioni in ciascuna voce come metadati aggiuntivi. Queste informazioni non fanno parte della voce di log ma vengono aggiunte al momento dell'elaborazione, ad esempio ID contenitore, Nodo. Per un esempio di aggiunta di metadati durante il caricamento dei log su richiesta, vedere Carica log su richiesta.

Le informazioni così aggiunte potrebbero non essere visibili direttamente in Log Explorer. Completare i passi riportati di seguito per renderlo visibile in Esplora log per l'analisi dei log.

  1. Aprire il menu di navigazione e fare clic su Observability & Management. In Log Analytics, fare clic su Amministrazione.

    Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Amministrazione. Fare clic su Origini.

    Viene visualizzata la pagina Origini. Fare clic sull'icona del menu Azioni Icona Azioni accanto alla voce di origine che si desidera modificare e selezionare Personalizza. Viene visualizzata la pagina Personalizza origine.

    Nota

    Assicurarsi che un parser sia selezionato nella pagina della definizione di origine in modo che il pulsante Aggiungi sia abilitato per l'arricchimento dei campi.

  2. Fare clic sulla scheda Integrazione campo, quindi fare clic su Aggiungi.

    Viene visualizzata la finestra di dialogo Aggiungi arricchimento campo.

  3. Nella finestra di dialogo Aggiungi arricchimento campo,

    1. Selezionare Campi aggiuntivi come Funzione.
    2. In Campi mappa selezionare i campi che si desidera mappare all'origine. I campi selezionati nei parser associati a questa origine non sono disponibili qui.
    3. Fare clic su Aggiungi.

Dopo aver specificato i campi aggiuntivi, questi sono visibili in Esplora log per l'analisi dei log. Possono inoltre essere selezionati durante la configurazione dei campi estesi o delle etichette per le origini.

Utilizzare la funzione di sostituzione per sostituire un'espressione in un campo

Durante l'elaborazione del log, se si desidera sostituire una parte del valore del campo con una stringa o un'espressione alternativa, utilizzare la funzione di sostituzione e memorizzare l'espressione risultante del campo in un altro campo di output.

Si consideri lo scenario in cui si desidera acquisire tutti i record di log con il campo URI con il contenuto del formato http://www.example.com/forum/books?<ISBN> e il valore di ISBN varia con ogni record di log. In questi casi, è possibile sostituire il valore ISBN nel campo di ciascun record di log con una stringa allExampleBooks e memorizzarlo in un campo modified_URI. Di conseguenza, tutti i record di log acquisiti con URI nel formato precedente avranno anche il campo modified_URI con il valore http://www.example.com/forum/books?allExampleBooks. È ora possibile utilizzare il campo modified_URI nella query di ricerca per filtrare tali log per ulteriori analisi in Esplora log.

Utilizzare inoltre l'opzione Sostituisci tutte le corrispondenze per sostituire tutte le occorrenze del valore nel campo. Ad esempio, se il campo Original log content contiene più occorrenze di indirizzo IP che si desidera sostituire con una stringa, è possibile utilizzare questa opzione. Il risultato può essere salvato in un campo, ad esempio Altered log content. È ora possibile utilizzare il campo Altered log content nell'interrogazione per filtrare tutti i record di log con indirizzi IP nel campo Original log content.

  1. Aprire il menu di navigazione e fare clic su Observability & Management. In Log Analytics, fare clic su Amministrazione.

    Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Amministrazione. Fare clic su Origini.

    Viene visualizzata la pagina Origini. Fare clic su Crea origine.

    In alternativa, fare clic sull'icona del menu Azioni Icona Azioni accanto alla voce di origine che si desidera modificare e selezionare Personalizza. Viene visualizzata la pagina Personalizza origine.

  2. Immettere un nome per l'origine, una descrizione appropriata e selezionare il tipo di origine. Selezionare un parser da utilizzare per analizzare i log. Queste selezioni determineranno i campi disponibili per l'arricchimento dei campi.

  3. Fare clic sulla scheda Integrazione campo, quindi fare clic su Aggiungi arricchimento campo.

  4. Nella finestra di dialogo Aggiungi arricchimento campo, selezionare Sostituzione come Funzione.

  5. Nella sezione Campi di input effettuare le operazioni riportate di seguito.

    1. Selezionare il campo di origine log con valori che si desidera sostituire, ad esempio URI.

    2. In Espressione da abbinare, specificare l'espressione regex da abbinare per la stringa nel campo da sostituire.

    3. Specificare la stringa/espressione di sostituzione che deve essere sostituita al posto del valore originale del campo di input.

    4. Se il campo contiene più occorrenze della stringa che si desidera sostituire, abilitare la casella di controllo Sostituisci tutte le corrispondenze.

  6. Nella sezione Campo di output, selezionare il campo che deve memorizzare il nuovo valore del campo di input dopo che il valore originale è stato sostituito con il valore di sostituzione.

  7. Fare clic su Aggiungi arricchimento campo.

Usare le etichette nelle origini

Oracle Log Analytics consente di aggiungere etichette o tag ai record di log, in base a condizioni definite.

Quando una voce di log corrisponde alla condizione definita, un'etichetta viene popolata con tale voce di log. Tale etichetta è disponibile nelle visualizzazioni di Log Explorer, nonché per la ricerca e il filtro delle voci di log.

È possibile utilizzare le etichette definite da Oracle o create dall'utente nelle origini. Per creare un'etichetta personalizzata per contrassegnare una voce di log specifica, vedere Creare un'etichetta.

  1. Per utilizzare le etichette in un'origine esistente, modificare l'origine. Per la procedura di apertura di una pagina Personalizza origine, vedere Modifica origine.

  2. Fare clic sulla scheda Etichette.

  3. Per aggiungere un'etichetta condizionale, fare clic su Aggiungi etichetta condizionale.

    Nella sezione Condizioni effettuare le operazioni riportate di seguito.

    1. Selezionare il campo di log in cui si desidera applicare la condizione dall'elenco Campo di input.

    2. Select the operator from the Operator list Contains, Contains Ignore Case, Contains Regex, Contains one of Regexes, Ends With, Equal, Equal Ignore Case, In, In Ignore Case, Is Null, Not Contains, Not Equal, Not In, Not Null, and Starts With.

    3. Nel campo Valore condizione specificare il valore della condizione da abbinare per l'applicazione dell'etichetta.

      Nota

      Per aggiungere il gruppo di log come campo di input, fornire il relativo OCID per il valore anziché il nome.

    4. Per aggiungere altre condizioni, fare clic sull'icona Aggiungi condizione Icona Aggiungi condizione e ripetere i passi da 3a a 3c. Selezionare l'operazione logica da applicare alle condizioni multiple. Selezionare da AND, OR, NOT AND o NOT OR.

      Per aggiungere un gruppo di condizioni, fare clic sull'icona Condizione gruppo Icona Condizione gruppo e ripetere i passi da 3a a 3c per aggiungere ogni condizione. Un gruppo di condizioni deve avere più condizioni. Selezionare l'operazione logica da applicare al gruppo di condizioni. Selezionare da AND, OR, NOT AND o NOT OR.

      Per rimuovere una condizione, fare clic sull'icona Rimuovi condizione Icona Rimuovi condizione.

      Per visualizzare l'elenco delle condizioni sotto forma di istruzione, fare clic su Mostra riepilogo condizione.

  4. In Azioni, selezionare una delle etichette già disponibili definite da Oracle o create dall'utente. Se necessario, è possibile creare una nuova etichetta facendo clic su Crea etichetta.

    Selezionare la casella di controlloAbilitato.

  5. Fare clic su Aggiungi.

Oracle Log Analytics consente di cercare le etichette che si stanno cercando in Log Explorer. È possibile eseguire la ricerca in base a uno qualsiasi dei parametri definiti per le etichette. Immettere la stringa di ricerca nel campo Cerca. Nella finestra di dialogo di ricerca è possibile specificare i criteri di ricerca. In Tipo di creazione, selezionare se le etichette desiderate sono definite da Oracle o definite dall'utente. Nei campi Campo di input, Operatore e Campo di output è possibile effettuare una selezione tra le opzioni disponibili. È inoltre possibile specificare il valore della condizione o il valore di output che può essere utilizzato per la ricerca. Fare clic su Applica filtri.

È ora possibile cercare i dati di log in base alle etichette create. Vedere Filtrare i log in base alle etichette.

Utilizzare i campi condizionali per arricchire il data set

Facoltativamente, se si desidera selezionare un campo arbitrario e scrivervi un valore, è possibile utilizzare i campi condizionali. L'inserimento di un valore in un campo arbitrario mediante la funzionalità dei campi condizionali è molto simile all'utilizzo delle ricerche. Tuttavia, l'utilizzo dei campi condizionali offre una maggiore flessibilità nelle condizioni di corrispondenza ed è ideale per la gestione di un numero limitato di condizioni - definizioni della popolazione dei campi. Ad esempio, se si dispone di alcune condizioni per popolare un campo, è possibile evitare di creare e gestire una ricerca utilizzando campi condizionali.

I passi per aggiungere i campi condizionali sono simili a quelli del workflow precedente per l'aggiunta di etichette condizionali.

  • Nel passo 3, invece di fare clic su Aggiungi etichetta condizionale, fare clic su Aggiungi campo condizionale. Il resto del passo 3 per selezionare le condizioni rimane lo stesso del flusso di lavoro precedente.

  • Nel passaggio 4 sopra,

    1. Per Campo di output, selezionare dal menu uno dei campi già disponibili definiti da Oracle o creati dall'utente. Se necessario, è possibile creare un nuovo campo facendo clic su Crea nuovo campo.

    2. Immettere un valore in Valore di output da scrivere per il campo di output quando la condizione di input è vera.

      Ad esempio, è possibile configurare l'origine per allegare il valore di output authentication.login per il campo di output Security Category quando il record di log contiene il campo di input Method impostato sul valore CONNECT.

      Selezionare la casella di controlloAbilitato.

Usa parser tempo automatico

Oracle Log Analytics consente di configurare l'origine in modo che utilizzi un parser generico invece di creare un parser per i log. In questo modo, ai log verrà analizzata l'ora di log dalle voci di log solo se l'ora può essere identificata da Oracle Log Analytics.

Ciò è particolarmente utile quando non si è sicuri di come analizzare i log o come scrivere espressioni regolari per analizzare i log e si desidera semplicemente passare i dati di log raw per eseguire l'analisi. In genere, un parser definisce il modo in cui i campi vengono estratti da una voce log per un tipo di file di log specifico. Tuttavia, il parser generico di Oracle Log Analytics può:

  • Rileva l'indicatore orario e il fuso orario dalle voci del log.

  • Creare un indicatore orario utilizzando l'ora corrente se le voci del log non dispongono di alcun indicatore orario.

  • Rileva se le voci di log sono più allineate o più allineate.

  1. Aprire il menu di navigazione e fare clic su Observability & Management. In Log Analytics, fare clic su Amministrazione.

    Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Amministrazione. Fare clic su Origini.

  2. Nella pagina Origini fare clic su Crea origine.
    Viene visualizzata la finestra di dialogo Crea origine.
  3. Immettere il nome dell'origine nel campo Origine.
  4. Nel campo Tipo di origine selezionare File.
  5. Fare clic su Tipo di entità e selezionare il tipo di entità per l'origine.
  6. Selezionare Solo ora di analisi automatica. Oracle Log Analytics applica automaticamente il tipo di parser generico.
  7. Fare clic su Salva.
Quando si accede ai record di log dell'origine appena creata, Oracle Log Analytics estrae e visualizza le informazioni riportate di seguito dalle voci di log.