Documentazione dell'infrastruttura Oracle Cloud

Gestisci immagazzinaggio

I dati di log inclusi in Oracle Log Analytics sono disponibili nello storage attivo per l'analisi. I log vengono memorizzati nello storage attivo fino a quando non vengono archiviati, eliminati o rimossi.

È possibile eseguire le attività correlate allo storage riportate di seguito in base alle proprie esigenze.

  • Log di archivio: se si desidera utilizzare i vecchi log per l'analisi in futuro, abilitare l'archiviazione e specificare il numero di giorni a partire dall'indicatore orario del log dopo il quale i dati di log devono essere spostati automaticamente dallo storage attivo allo storage di archivio, disponibile a un costo inferiore. È inoltre possibile richiamare i dati di log archiviati per l'uso attivo. Vedere Archivia dati di log.

    • Richiama log archiviati: dopo l'archiviazione dei dati di log, è possibile richiamare i dati di log selezionati per l'uso attivo. I log vengono selezionati per il richiamo specificando l'intervallo di tempo in cui sono presenti gli indicatori orari dei log. Dopo l'uso attivo, è possibile rilasciare i log richiamati nel pool dell'archivio. Tenere presente che i dati richiamati verranno conteggiati ai fini dell'uso dello storage attivo fino al rilascio. Vedere Richiama log archiviati.

    • Log richiamati di rilascio: utilizzare questa opzione per rilasciare di nuovo i log richiamati nello storage di archivio per ottimizzare i costi di storage. Vedere il passo 8 in Recall Archived Logs.

  • Rimuovi log: è possibile rimuovere i dati di log vecchi o non utilizzati per ridurre la dimensione dello storage attivo che si sta utilizzando. È possibile eseguire la rimozione su richiesta o creare un criterio di rimozione. Vedere Rimuovi dati di log.

  • Visualizza report attività di storage: utilizzare questa finestra a riquadro singolo per tenere traccia di tutte le attività di gestione dello storage e per eseguire ulteriori task di gestione. Vedere Visualizza report attività di storage.

L'immagine riportata di seguito mostra il tipico workflow di gestione dello storage in Oracle Log Analytics.


Workflow di gestione dello storage tipico

È possibile utilizzare il predicato Recall nella query per filtrare i log richiamati, i log attivi o entrambi. Vedere Query Predicate per filtrare i log richiamati.

Nota

È possibile che il criterio di archiviazione e l'attività di richiamo non vengano completati se le righe temporali si sovrappongono al criterio di rimozione. Assicurarsi di rivedere il criterio di rimozione e l'impostazione di archiviazione per evitare di perdere i dati di log che devono essere archiviati.

Archiviare i dati di log

Se si utilizzano solo i log recenti per i task di ricerca e analisi in Oracle Log Analytics, abilitare l'archiviazione in modo da ottimizzare i costi di storage.

Nota

  • È possibile abilitare l'archiviazione solo dopo aver specificato la dimensione minima dei dati nello storage attivo. Attualmente, questo è 1 TB.

  • La durata minima dello storage attivo (giorni) per i log prima che possano essere archiviati è di 30 giorni.

  1. Aprire il menu di navigazione e fare clic su Observability & Management. In Log Analytics, fare clic su Amministrazione.

  2. Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Amministrazione. Fare clic su Memorizzazione.

    Viene visualizzata la pagina Memorizzazione.

  3. Fare clic su Abilita archiviazione. Nella finestra di dialogo Abilita archiviazione,

    • Immettere il conteggio dei giorni trascorsi i quali i dati di log nello storage attivo devono essere archiviati nel campo Durata storage attiva (giorni).

      Il conteggio viene calcolato in base all'indicatore orario dei log. Ad esempio, se i log hanno l'indicatore orario November 4, 2020 23:43:12 e la durata di memorizzazione attiva è stata specificata come 30, i log verranno in genere spostati nello storage di archivio in December 3, 2020.

      Nota

      Va notato che anche se si specifica la Durata di memorizzazione attiva dei log per determinare i log che devono essere spostati nello storage di archivio, la struttura dell'indice di log si basa sui bucket utilizzati per memorizzare i log. In uno scenario tipico, un intero bucket viene spostato nello storage di archivio quando tutti i log in esso contenuti sono precedenti al criterio specificato.

      Ad esempio, si consideri che il campo Durata memorizzazione attiva è impostato su 30 giorni:

      • Bucket_1 dispone di log di età compresa tra 40 e 80 giorni: i dati di log sono idonei e vengono spostati nello storage di archivio.
      • Bucket_2 dispone di log di età compresa tra 25 e 40 giorni: sebbene alcuni dati di log siano idonei per l'archiviazione, non vengono archiviati finché tutti i log non sono idonei per l'età specificata.
      • Bucket_3 dispone di log con età compresa tra 0 e 25 giorni: nessuno dei log è adatto per l'archiviazione. L'intero bucket viene archiviato quando tutti i log diventano idonei.

      Nello scenario precedente, dopo l'archiviazione dei log di Bucket_1, se vengono raccolti più log che risalgono a più di 40 giorni, in genere vengono aggiunti a Bucket_2.

    • Per impostazione predefinita, i dati di log rimangono nello storage di archiviazione per un periodo di tempo indefinito. La casella di controllo Sicuramente viene abilitata accanto al campo Durata archiviazione (giorni).

      È possibile modificare la durata disabilitando la casella di controllo e immettendo il conteggio dei giorni trascorsi i quali i dati di log nello storage di archiviazione devono essere rimossi nel campo Durata storage di archivio (giorni).

    Fare clic su Abilita.

  4. Se è già stata abilitata l'archiviazione e si desidera modificare le impostazioni di archiviazione, fare clic su Modifica impostazioni di archiviazione. È possibile eseguire uno dei task riportati di seguito:

    • È possibile modificare il valore del conteggio dei giorni specificati per l'archiviazione in Durata memorizzazione attiva (giorni).
    • È possibile modificare il valore del conteggio dei giorni specificati per la rimozione dei log dallo storage di archiviazione in Durata storage di archivio (giorni) oppure abilitare la casella di controllo Sicuramente per conservare in modo permanente i log nello storage di archiviazione.
    • Fare clic su Disabilita archiviazione per interrompere l'archiviazione.

    Fare clic su Salva modifiche.

Richiama log archiviati

È possibile richiamare i log archiviati per la visualizzazione e l'analisi. Una volta richiamati, i dati vengono conteggiati nell'uso di storage attivo fino al loro rilascio nell'archivio.

È possibile richiamare e rilasciare gli stessi set di log più volte. Non esistono dipendenze tra i richiami, anche se gli intervalli di tempo o le query si sovrappongono.

Nota

Ogni richiamo viene fatturato in base all'uso di storage attivo generato.

  1. Aprire il menu di navigazione e fare clic su Observability & Management. In Log Analytics, fare clic su Amministrazione.

  2. Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Amministrazione. Fare clic su Memorizzazione.

    Viene visualizzata la pagina Memorizzazione.

  3. Nella pagina Memorizzazione fare clic su Richiami di archiviazione attivi.

    Nella scheda Richiami di archiviazione attivi vengono visualizzate le richieste di richiamo avviate in precedenza.

  4. Fare clic su Crea richiesta di richiamo. Viene visualizzata la finestra di dialogo Crea richiesta di richiamo.

  5. Specificare lo Scopo del richiamo. Ciò consente di identificare la richiesta di richiamo.

  6. Facoltativamente, se è stato definito un set di log, è possibile specificare uno o più set di log per filtrare i dati richiamati. Per specificare più set di log, utilizzare la separazione da virgole.

  7. Selezionare l'intervallo di tempo dei log che si desidera richiamare specificando l'ora di inizio definita dall'utente e l'ora di fine definita dall'utente.

  8. Fare clic su Stima dimensione log richiami. Viene visualizzata la sezione Data set consigliato per l'analisi. La dimensione dei log selezionati per il richiamo viene visualizzata accanto all'intestazione Dimensione massima dei dati richiamati prima del filtro.

    Si noti che l'ora di inizio e l'ora di fine sono estese per allinearsi alla struttura dell'indice di log basata sui bucket. Pertanto, quando si visualizza l'elenco dei richiami attivi o si visita la scheda delle attività, è possibile che il tempo di avvio e di fine venga esteso oltre l'intervallo di tempo scelto.

  9. Si consiglia un intervallo di tempo alternativo in base alla disponibilità dei dati. Per selezionare l'intervallo di tempo specificato in precedenza anziché l'intervallo di tempo consigliato, abilitare la casella di controllo Non utilizzare il set di dati consigliato per il richiamo.

  10. Specificare la Query per filtrare il data set. Escludi l'ora e il set di log dalla query.

    La specifica dei filtri riduce le dimensioni effettive dei dati richiamati. Tuttavia, il filtro non influisce su questa stima.

    Nota

    Nella query sono supportati solo filtri di ricerca o espressioni regolari. Evitare di aggiungere tubi, aggregati o funzioni statistiche alla query.

    È possibile utilizzare tutti i campi di log per filtrare le informazioni tramite la query, ad eccezione dell'ora e dei set di log.

    Alcuni esempi di ricerche non valide:

    • Entity = ‘test1’ | search ‘xyz’

      In alternativa, è possibile utilizzare Entity = 'test1' and 'xyz', che è valido. Analogamente, esempi più validi includono 'Entity = 'test1' e 'Log Source' = 'AVDF Alert Linux Syslog' and 'xyz'.

    • Entity = ‘test1’ | stats count

      La query sopra riportata non ha una soluzione alternativa perché ha una funzione e una pipe statistiche. Tuttavia, l'utilizzo solo del filtro entità è valido Entity = ‘test1’.

  11. Fare clic su Crea richiesta di richiamo per procedere con il richiamo dei log selezionati.

    L'attività di richiamo è elencata nella scheda Richiami di archiviazione attivi. La tabella specifica lo stato, l'intervallo di tempo, la dimensione dei dati e la data e l'ora di richiesta dell'attività di richiamo, l'utente che ha avviato il richiamo e lo scopo del richiamo.

    Guardare lo stato dell'attività di richiamo. È possibile utilizzare i log richiamati per la visualizzazione e l'analisi al termine dell'attività di richiamo.

    Nota

    Se lo stato del richiamo è PARTIAL_RECALLED, rilasciare e richiamare di nuovo poiché il richiamo corrente non include dati completi per l'analisi.

    Se l'icona della dimensione dei dati per una raccolta è visualizzata in arancione, è possibile richiamare nuovi dati di log aggiuntivi. Fare clic sull'icona dati nuova icona dati e fare clic su Richiama nuovi dati per avviare il richiamo dei nuovi dati. Viene visualizzata la finestra di dialogo Richiama nuovi dati. La query per filtrare il data set e l'intervallo di tempo per il richiamo dei dati sono predefiniti. Specificare lo scopo del richiamo e fare clic su Crea richiesta di richiamo.

  12. Dopo aver utilizzato attivamente i log richiamati, se si desidera rilasciarli nuovamente nel pool di archivi, fare clic sull'icona del menu Azioni Icona Azioni nella riga corrispondente ai log richiamati e selezionare Release.

    I log richiamati verranno quindi rilasciati di nuovo nel pool di archivi. Ciò ti consentirà di ottimizzare le dimensioni e i costi dello storage.

    Nota

    Quando si rilasciano i log richiamati utilizzando l'API REST, tenere presente l'intervallo di tempo di richiamo dalla console o dall'interfaccia CLI e formattare l'ora come indicato di seguito.

    • Ora inizio richiamo: arrotonda per difetto (pavimento) il valore. Se l'ora di inizio richiamo è From Mon, Mar 7, 2022, 05:45:33 UTC, arrotondare l'ora per difetto e specificarla come from_time=2022-03-07T5:45:32.000Z.
    • Ora di fine richiamo: arrotonda per eccesso il valore. Se l'ora di fine richiamo è To Wed, Mar 15, 2023, 17:26:53 UTC, arrotondare l'ora e specificarla come to_time=2023-03-15T17:26:54.000Z.

Se si ottengono dati di log duplicati in Log Explorer o Dashboard perché sono presenti due o più richiami sovrapposti, è possibile aggiungere il predicato query recall purpose nella ricerca per visualizzare solo il richiamo pertinente. Vedere Previsione query per filtrare i log richiamati

Rimuovi dati di log

Oracle Log Analytics consente di rimuovere gli eventi di log caricati dall'agente o da un caricamento su richiesta per ridurre la dimensione dell'indice dei dati di log.

La rimozione consente di ridurre l'utilizzo per ridurre i costi di eccedenza. Oracle Log Analytics può rimuovere i dati di log automaticamente in base a una pianificazione impostata o manualmente in base alle esigenze. Prima di rimuovere i dati di log, creare criteri IAM per impostare le autorizzazioni per il task. Vedere Consenti agli utenti di rimuovere i dati di log.

Esistono diversi modi per rimuovere i dati di log.

  • Rimuovendo su richiesta: tutti i dati di log del compartimento specificato creati prima dell'intervallo di tempo selezionato vengono rimossi.

    Per utilizzare l'interfaccia CLI per la rimozione su richiesta, vedere purge-storage-data.

    Per utilizzare l'API REST per la rimozione su richiesta, vedere PurgeStorageData.

  • Creando un criterio di rimozione: è possibile rimuovere i dati di log precedenti specificando una pianificazione per la rimozione e la query per filtrare i dati da rimuovere. Se si desidera automatizzare l'attività di rimozione, è possibile creare un criterio di rimozione specificando la pianificazione di rimozione, selezionando i dati di log da rimuovere e abilitando il criterio.

    Per utilizzare l'interfaccia CLI per la creazione di un criterio di rimozione, vedere create-standard-task.

    Per utilizzare l'API REST per la creazione di un criterio di rimozione, vedere CreateScheduledTask.

    Quando si utilizza CLI o API REST per creare un criterio di rimozione, il valore del parametro task-type deve essere impostato su PURGE.

  1. Aprire il menu di navigazione e fare clic su Observability & Management. In Log Analytics, fare clic su Amministrazione.

    Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Amministrazione. Fare clic su Memorizzazione.

    Viene visualizzata la pagina Memorizzazione.

  2. Nella pagina Memorizzazione è possibile rimuovere i dati di log in uno dei metodi riportati di seguito.
    • Eseguire la rimozione su richiesta:

      Fare clic su Rimuovi log. Viene visualizzata la finestra di dialogo Rimuovi log.

      • Selezionare il compartimento in cui devono essere rimossi i log.

      • Specificare se anche i compartimenti secondari devono essere inclusi nella rimozione.

      • Selezionare la data e l'ora precedenti alla quale sono stati raccolti i dati di log da rimuovere.

        L'azione di rimozione viene eseguita sui dati di log di tutti i bucket nel compartimento selezionato che sono stati raccolti prima del periodo di tempo specificato. Ad esempio, se si specificano la data e l'ora come November 2, 2020 12:00:00 e il compartimento Analyze, i dati di log con l'indicatore orario precedente a November 2, 2020 12:00:00 memorizzati nel compartimento Analyze verranno eliminati.

      • Nel campo Query immettere la query per selezionare un set specifico di dati di log. Ad esempio, per selezionare i log dalle entità di tipo Host Linux, specificare la query 'Entity Type'='Host (Linux)'.

        Vedere Esempio di query per la rimozione dei dati di log.

      • Fare clic su Stima storage recuperato per determinare la dimensione dello storage che è possibile recuperare in base alla selezione effettuata nei campi precedenti.

      • Fare clic su Rimuovi.

    • Creare un criterio di rimozione per rimuovere i log in base a una query o a un'età:

      In Rimuovi criteri, fare clic su Crea criterio di rimozione. Viene visualizzata la finestra di dialogo Crea criterio di rimozione.

      • Immettere un nome per il nuovo criterio di rimozione.

      • Selezionare il compartimento del gruppo di log su cui eseguire la query per i log. Facoltativamente, è possibile specificare se è necessario eseguire query anche sui compartimenti secondari per i log specificati.

      • In Rimuovi log più vecchi di, selezionare il periodo di tempo a partire dal quale devono essere rimossi i dati di log.

      • In Intervallo programma selezionare la periodicità e l'ora dell'azione di rimozione.

      • Nel campo Query immettere la query per selezionare un set specifico di dati di log. Ad esempio, per selezionare i log dall'origine Apache HTTP Server Access Logs, specificare la query 'Log Source'='Apache HTTP Server Access Logs'.

        Vedere Esempio di query per la rimozione dei dati di log.

      • Fare clic su Stima storage recuperato per determinare la dimensione dello storage che verrà reclamato se le selezioni effettuate nei campi precedenti dovevano essere applicate ora.

      • Facoltativamente, fare clic su Mostra opzioni avanzate e aggiungere tag al criterio di rimozione.

      • Fare clic su Crea.

      Il criterio di rimozione viene creato e verrà eseguito periodicamente come impostato nei passi precedenti.

      Nota

      Se un criterio di rimozione non dispone dell'autorizzazione richiesta, il criterio IAM è stato modificato o il compartimento di rimozione è stato eliminato, il task di rimozione può immettere lo stato Sospeso. Il valore della metrica di stato dei task di rimozione visualizzato nel servizio di monitoraggio può essere NotAuthorizedOrNotFoundPurgeResource o PausedByUser.

      Modificare/ripristinare le istruzioni dei criteri IAM in base alle esigenze, ripristinare il compartimento di rimozione se è stato eliminato in precedenza e riprendere manualmente il task di rimozione.

    Per eliminare un criterio, fare clic sull'icona Azioni Icona Azioni accanto al nome del criterio e fare clic su Elimina.

    Per visualizzare le attività di rimozione eseguite, nella pagina Memorizzazione, in Risorse fare clic su Report attività. Viene visualizzata la pagina Report attività che riepiloga tutte le attività di memorizzazione. Utilizzare i filtri Stato e Ora per visualizzare le attività di rimozione preferite.

Consenti agli utenti di rimuovere i dati di log

Per rimuovere i dati di log, impostare innanzitutto le autorizzazioni corrette creando i criteri IAM riportati di seguito.

  1. Creare un gruppo dinamico per consentire le rimozioni per i compartimenti in cui si desidera consentire le rimozioni:

    ALL {resource.type='loganalyticsscheduledtask', resource.compartment.id='<compartment ocid>'}

    In alternativa, per consentire le rimozioni su tutti i compartimenti:

    ALL {resource.type='loganalyticsscheduledtask'}

  2. Creare criteri per consentire al gruppo dinamico di eseguire l'operazione di rimozione:

    allow dynamic-group <group_name> to read compartments in tenancy
allow dynamic-group <group_name> to {LOG_ANALYTICS_STORAGE_PURGE} in tenancy
allow dynamic-group <group_name> to {LOG_ANALYTICS_QUERY_VIEW} in tenancy
allow dynamic-group <group_name> to {LOG_ANALYTICS_STORAGE_WORK_REQUEST_CREATE} in tenancy
allow dynamic-group <group_name> to {LOG_ANALYTICS_LOG_GROUP_DELETE_LOGS} in tenancy
allow dynamic-group <group_name> to {LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ} in tenancy
    Nota

    • Per il corretto funzionamento del criterio di rimozione, le autorizzazioni read compartments, LOG_ANALYTICS_STORAGE_PURGE e LOG_ANALYTICS_QUERY_VIEW devono essere create a livello di tenancy. Per limitare l'autorizzazione dell'azione di rimozione a compartimenti specifici, è possibile impostare le autorizzazioni LOG_ANALYTICS_STORAGE_WORK_REQUEST_CREATE, LOG_ANALYTICS_LOG_GROUP_DELETE_LOGS e LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ a livello di compartimento richiesto.

    • Nelle istruzioni dei criteri precedenti che coinvolgono il gruppo dinamico, se il gruppo dinamico si trova in un dominio diverso da Predefinito, l'istruzione dei criteri deve essere nel formato seguente: 

      allow dynamic-group '<domain>'/'<group_name>' to ...

      Racchiudere il nome del dominio e il nome del gruppo dinamico tra apici.

  3. Inoltre, assicurarsi che l'utente disponga dell'autorizzazione MANAGE per loganalytics-features-family e loganalytics-resources-family. Se l'utente che crea la rimozione su richiesta o pianificata dispone di privilegi di amministratore, le autorizzazioni necessarie sono già disponibili: 

    allow group <group_name> to MANAGE loganalytics-features-family in tenancy
allow group <group_name> to MANAGE loganalytics-resources-family in tenancy

Alcune delle istruzioni dei criteri sopra riportate sono incluse nei modelli di criteri definiti da Oracle immediatamente disponibili. Si consiglia di prendere in considerazione l'utilizzo del modello per il caso d'uso. Vedere Modelli di criteri definiti da Oracle per i casi d'uso comuni.

Per informazioni sui gruppi dinamici e sui criteri IAM, vedere Documentazione OCI: gestione dei gruppi dinamici e Documentazione OCI: gestione dei criteri.

Query di esempio per la rimozione dei dati di log

Fornire una query di filtro semplice per identificare i dati di log da rimuovere. In caso di caratteri jolly nella query, ad esempio *, ? e %, non utilizzare tali caratteri nel criterio di rimozione. Oracle consiglia di utilizzare le definizioni di campo estese per i dati futuri nei task di rimozione.

Per istruzioni sulla creazione di query per filtrare i dati di log, vedere Ricerca query.

Eliminare Tutti i dati più vecchi di 30 giorni ogni domenica a mezzanotte:

  • Rimuovi log più vecchi di: 30 Days
  • Intervallo programma: Every Week, Giorno: Sunday, Ora: 00:00, Fuso orario: Asia/Calcutta
  • Query: *

Eliminare i log dai log di audit OCI di origine più vecchi di 2 mesi:

  • Rimuovi log più vecchi di: 2 Months
  • Query: 'Log Source' = 'OCI Audit Logs'

Rimuovere il log per un'origine log ed entità specifiche associate a tale origine più vecchie di 1 anno:

  • Rimuovi log più vecchi di: 1 Year
  • Query: 'Log Source' = 'OCI VCN Flow Unified Schema Logs' and Entity in ('Entity1', 'Entity2')

Predicato query per filtrare i log richiamati

È possibile utilizzare il predicato Recall per filtrare solo i log richiamati, solo i dati attivi o entrambi. Fornire un valore corrispondente al nome del richiamo. È possibile utilizzare operatori booleani e di confronto quali =, !=, IN, NOT IN, LIKE e NOT LIKE nella query.

Ad esempio:

  • Per filtrare solo i dati da Analisi indisponibilità 2025-03-01: 

    Recall = 'Outage Analysis 2025-03-01'

  • Per filtrare i dati sia da Analisi del traffico di rete 2024 che da Traffico giorno lavorativo 2024: 

    Recall IN ('Network Traffic Analysis', 'Labor Day Sale')

  • Per filtrare i dati da tutti i richiami con nome o scopo, ad esempio Analisi interruzioni 2025...: 

    Recall like 'Outage Analysis 2025*'

  • Per filtrare tutti i dati diversi da Traffico giorno lavorativo 2024 e Traffico di Natale 2024, effettuare le operazioni riportate di seguito. 

    Recall not in ('Labor Day Traffic 2024', 'Christmas Traffic 2024')

  • Per visualizzare solo i dati attivi:

    Recall = null

Visualizzare report attività di storage

È possibile visualizzare il riepilogo delle attività di archiviazione, richiamo, rilascio e rimozione per mantenere uno stretto controllo sull'uso dello storage e anche per tenere traccia dello stato dei log delle chiavi che hanno fatto parte delle attività.

  1. Aprire il menu di navigazione e fare clic su Observability & Management. In Log Analytics, fare clic su Amministrazione.

  2. Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Amministrazione. Fare clic su Memorizzazione.

    Viene visualizzata la pagina Memorizzazione.

  3. Fare clic su Report attività.

    Nella scheda viene visualizzato il riepilogo delle attività di storage avviate, ad esempio il criterio di rimozione, la rimozione su richiesta, l'archiviazione, la richiesta di richiamo dell'archiviazione e il rilascio del richiamo.

  4. Utilizzare i filtri Tipo attività, Stato e Ora nel pannello sinistro per limitare la ricerca delle attività di storage.

  5. Espandere la riga dell'attività di storage per visualizzare ulteriori dettagli.