Documentazione dell'infrastruttura Oracle Cloud

Creare un'origine

Le origini definiscono la posizione dei log dell'entità e la modalità di integrazione delle voci di log. Per avviare una raccolta continua dei log tramite i Management Agent OCI, è necessario associare un'origine a una o più entità.

Nota

Per passi più specifici per

Argomenti aggiuntivi:

  1. Aprire il menu di navigazione e fare clic su Osservabilità e gestione. In Logging Analytics, fare clic su Amministrazione. Viene visualizzata la pagina Panoramica dell'amministrazione.

    Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Risorse. Fare clic su Origini.

    Viene visualizzata la pagina Origini. Fare clic su Crea origine.

  2. Nel campo Nome, immettere il nome dell'origine.

    Facoltativamente, aggiungere una descrizione.

  3. Nella lista Tipo di origine selezionare il tipo per l'origine log.
    Oracle Log Analytics supporta tre tipi di origine log per le origini personalizzate:

    • File: utilizzare questo tipo per raccogliere la maggior parte dei tipi di log, ad esempio i log di database, applicazione e infrastruttura.

    • ODL (Oracle Diagnostic Logging): utilizzare questo tipo per i log che seguono il formato dei log di Oracle Diagnostics. Questi vengono in genere utilizzati per i log di diagnostica per Oracle Fusion Middleware e Oracle Applications.

    • Listener Syslog: viene in genere utilizzato per i dispositivi di rete quali Intrusion Detection Appliance, Firewall o altro dispositivo in cui non è stato possibile installare un Management Agent.

    • Microsoft Windows: utilizzare questo tipo per raccogliere i messaggi di evento Windows. Oracle Logging Analytics può raccogliere tutte le voci cronologiche del log eventi di Windows. Supporta Windows e canali di eventi personalizzati.

      Nota

      Questo tipo di origine non richiede il campo Parser di log.

    • Database: utilizzare questo tipo di origine per raccogliere i log memorizzati nelle tabelle all'interno di un database in locale. Con questo tipo di origine, viene eseguita periodicamente una query SQL per raccogliere i dati della tabella come voci di log.

    • API REST: utilizzare questo tipo di origine per impostare la raccolta continua dei log basata su API REST dagli URL degli endpoint che rispondono con i messaggi di log. Con questo tipo di origine, viene eseguita una chiamata API GET o POST all'URL dell'endpoint fornito per ottenere i log.

  4. Fare clic sul campo Tipo di entità e selezionare il tipo di entità per questa origine log. Successivamente, quando si associa questa origine a un'entità per abilitare la raccolta dei log tramite il Management Agent, saranno disponibili per l'associazione solo le entità di questo tipo. Un'origine può avere uno o più tipi di entità.

    • Se è stato selezionato File, API REST o ODL (Oracle Diagnostic Log), si consiglia di selezionare il tipo di entità per l'origine log più simile a quello che si intende monitorare. Evitare di selezionare tipi di entità composte come Cluster di database, quindi selezionare il tipo di entità Istanza di database perché i log vengono generati a livello di istanza.

    • Se è stato selezionato il tipo di origine Listener Syslog, selezionare una delle varianti di Host.

    • Se è stato selezionato il tipo di origine Database, il tipo di entità è limitato ai tipi di database idonei.

    • Se è stato selezionato il tipo di origine Sistema eventi Windows, il tipo di entità predefinito Host (Windows) viene selezionato automaticamente e non può essere modificato.

  5. Fare clic sul campo Parser e selezionare il nome del parser pertinente, ad esempio Formato voci log di audit database.
    È possibile selezionare più parser di file per i file di log. Ciò è particolarmente utile quando un file di log contiene voci con sintassi diversa e non può essere analizzato da un singolo parser.

    L'ordine in cui si aggiungono i parser è importante. Quando Oracle Logging Analytics legge un file di log, prova il primo parser e passa al secondo parser se il primo non funziona. Questo continua fino a quando non viene trovato un parser funzionante. Selezionare prima il parser più comune per questa origine.

    Per il tipo di origine ODL, l'unico parser disponibile è Oracle Diagnostic Logging Format.

    Per il tipo di origine Syslog, in genere viene utilizzato uno dei parser delle varianti, ad esempio Syslog Standard Format o Syslog RFC5424 Format. È anche possibile selezionare i parser syslog definiti da Oracle per dispositivi di rete specifici.

    Il campo Parser file non è disponibile per i tipi di origine Windows Event System e API REST. Per il tipo di origine Sistema eventi Windows, Oracle Logging Analytics recupera i dati di log già analizzati.

    Per analizzare solo le informazioni sull'ora dalle voci di log, è possibile selezionare il parser orario automatico. Vedere Usa parser orario automatico.

  6. Immettere le seguenti informazioni a seconda del tipo di origine:

    • Tipo di origine Syslog: specificare la porta del listener.

    • Tipo di origine Windows: specificare il nome di un canale del servizio eventi. Il nome del canale deve corrispondere al nome dell'evento Windows in modo che l'agente possa formare l'associazione per raccogliere i log.

    • Tipo di origine database: specificare le istruzioni SQL e fare clic su Configura. Mappare le colonne della tabella SQL ai campi disponibili nel menu. Per creare un nuovo campo per il mapping, fare clic sull'icona Icona Aggiungi.

    • Tipo di origine API REST: fare clic su Aggiungi endpoint log per fornire un singolo URL endpoint di log o su Aggiungi endpoint della lista di log per più log per fornire un URL dell'endpoint della lista di log per più log da cui è possibile raccogliere periodicamente i log in base alla configurazione dell'ora nell'interfaccia utente. Per ulteriori informazioni sull'impostazione della raccolta dei log delle API REST, vedere Impostazione della raccolta dei log delle API REST.

    • Tipi di origine file e ODL: utilizzare le schede Includi ed Escludi

      • Nella scheda Pattern inclusi fare clic su Aggiungi per specificare i pattern dei nomi file per questa origine.

        Immettere il pattern e la descrizione del nome file.

        È possibile immettere i parametri all'interno delle parentesi graffe {}, ad esempio {AdrHome}, come parte del pattern dei nomi file. Oracle Logging Analytics sostituisce questi parametri nel pattern di inclusione con le proprietà entità quando l'origine è associata a un'entità. L'elenco dei possibili parametri viene definito dal tipo di entità. Se si creano tipi di entità personalizzati, è possibile definire proprietà personalizzate. Quando si crea un'entità, verrà richiesto di fornire un valore per ogni proprietà per tale entità. È inoltre possibile aggiungere proprietà personalizzate per entità, se necessario. Queste proprietà possono essere utilizzate come parametri in Pattern inclusi.

        Ad esempio, per un'entità specifica in cui la proprietà {AdrHome} è impostata su /u01/oracle/database/, il pattern di inclusione {AdrHome}/admin/logs/*.log verrà sostituito con /u01/oracle/database/admin/logs/*.log per questa entità specifica. Ogni altra entità nello stesso host può avere un valore diverso per {AdrHome}, il che comporterebbe la raccolta di un set completamente diverso di file di log per ogni entità.

        È possibile associare un'origine a un'entità solo se i parametri richiesti dall'origine nei pattern contengono un valore per l'entità specificata.

        È possibile configurare le avvertenze nella raccolta log per i pattern. Nell'elenco a discesa Invia avvertenza selezionare la situazione in cui deve essere emessa l'avvertenza:

        • Per ogni pattern che presenta un problema: quando sono stati impostati più pattern di inclusione, verrà inviata un'avvertenza relativa alla raccolta dei log per ogni pattern di nomi file che non corrisponde.

        • Solo se tutti i pattern presentano problemi: quando sono stati impostati più pattern di inclusione, verrà inviata un'avvertenza di raccolta log solo se tutti i pattern di nomi file non corrispondono.

      • È possibile utilizzare un pattern escluso quando nella stessa posizione sono presenti file che non si desidera includere nella definizione di origine. Nella scheda Pattern esclusi fare clic su Aggiungi per definire i pattern dei nomi dei file di log che devono essere esclusi da questa origine log.

        Ad esempio, nella directory è presente un file con il nome audit.aud configurato come origine di inclusione (/u01/app/oracle/admin/rdbms/diag/trace/). Nella stessa posizione è presente un altro file denominato audit-1.aud. È possibile escludere qualsiasi file con il pattern audit-*.aud.

  7. Aggiungi filtri dati. Vedere Usa filtri dati nelle origini.
  8. Aggiungi campi estesi. Vedere Usa campi estesi nelle origini.
  9. Configurare le opzioni di arricchimento del campo. Vedere Configura opzioni di arricchimento dei campi.
  10. Aggiungi etichette. Vedere Utilizzo delle etichette nelle origini.
  11. Fare clic suSalva.

Usa filtri dati nelle origini

Oracle Logging Analytics consente di mascherare e nascondere le informazioni riservate dalle voci di log e di nascondere intere voci di log prima che i dati di log vengano caricati nel cloud.

Utilizzando la scheda Filtri dati quando si modifica o si crea un'origine, è possibile mascherare gli indirizzi IP, l'ID utente, il nome host e altre informazioni riservate con stringhe di sostituzione, eliminare parole chiave e valori specifici da una voce di log e nascondere anche un'intera voce di log.

È possibile aggiungere filtri dati quando si crea un'origine log o quando si modifica un'origine esistente. Per ulteriori informazioni sulla modifica delle origini log esistenti, vedere Personalizzare un'origine definita da Oracle.

Se i dati di log vengono inviati a Oracle Logging Analytics utilizzando il caricamento su richiesta o la raccolta dall'area di memorizzazione degli oggetti, il mascheramento verrà eseguito sul lato cloud prima che i dati vengano indicizzati. Se si raccolgono i log mediante Management Agent, i log vengono mascherati prima che il contenuto lasci la sede.

Argomenti:

Dati log di mascheramento

Il mascheramento è il processo che consiste nel prendere un insieme di testo esistente e sostituirlo con altro testo statico per nascondere il contenuto originale.

Per mascherare qualsiasi informazione, ad esempio il nome utente e il nome host, dalle voci del log:

  1. Aprire il menu di navigazione e fare clic su Osservabilità e gestione. In Logging Analytics, fare clic su Amministrazione. Viene visualizzata la pagina Panoramica dell'amministrazione.

  2. Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Risorse. Fare clic su Origini.

  3. Fare clic sul nome dell'origine che si desidera modificare. Viene visualizzata la pagina dei dettagli di origine. Per modificare l'origine fare clic su Modifica.

  4. Fare clic sulla scheda Filtri dati e fare clic su Aggiungi.

  5. Immettere il nome della maschera, selezionare maschera come tipo, immettere il valore Trova espressione e il valore Sostituisci espressione associato.

    Il valore dell'espressione Find può essere una ricerca in testo semplice o un'espressione regolare standard. Il testo che corrisponde all'espressione Find viene sostituito dall'espressione Replace nell'intera voce di log.

    Nome Espressione Find Espressione Replace
    nome utente maschera User=\S User=confidential
    host maschera Host=\S+ Host=mask_host
    Nota

    La sintassi della stringa di sostituzione deve corrispondere alla sintassi della stringa che viene sostituita. Ad esempio, un numero non deve essere sostituito con una stringa. Un indirizzo IP nel formato 123.45.67.89 deve essere sostituito da 000.000.000.000 e non da 000.000. Se le sintassi non corrispondono, i parser potrebbero interrompersi.

  6. Fare clic suSalva.

Quando si visualizzano le voci di log mascherate per questa origine log, si scopre che Oracle Logging Analytics ha mascherato i valori dei campi specificati.

  • Utente = confidenziale

  • Host = mask_host

Hash che maschera i dati di log

Quando si mascherano i dati di log utilizzando la maschera come descritto nella sezione precedente, le informazioni mascherate vengono sostituite da una stringa statica fornita nell'espressione Sostituisci. Ad esempio, quando il nome utente viene mascherato con la stringa confidential, il nome utente viene sempre sostituito con l'espressione confidential nei record di log per ogni occorrenza. Utilizzando la maschera hash, è possibile eseguire l'hash del valore trovato con un hash univoco. Ad esempio, se i record di log contengono più nomi utente, viene eseguito l'hashing di ogni nome utente su un valore univoco. Pertanto, se la stringa user1 viene sostituita con l'hash di testo ebdkromluceaqie per ogni occorrenza, è comunque possibile utilizzare l'hash per identificare che queste voci di log sono per lo stesso utente. Tuttavia, il nome utente effettivo non sarà visibile.

Rischio associato: poiché si tratta di un hash, non è possibile recuperare il valore effettivo del testo originale mascherato. Tuttavia, prendendo un hash di qualsiasi stringa, si arriva allo stesso hash ogni volta. Assicurarsi di prendere in considerazione questo rischio durante il mascheramento hash dei dati di log. Ad esempio, la stringa oracle ha l'hash md5 di a189c633d9995e11bf8607170ec9a4b8. Ogni volta che qualcuno tenta di creare un hash md5 della stringa oracle, sarà sempre lo stesso valore. Sebbene non sia possibile prendere questo hash md5 e invertirlo per ottenere la stringa originale oracle, se qualcuno cerca di indovinare e inoltrare l'hash del valore oracle, vedrà che l'hash corrisponde a quello nella voce di log.

Per applicare il filtro dei dati della maschera hash ai dati di log:

  1. Andare alla pagina Crea origine. Per i passi, vedere Creare un'origine.

  2. È inoltre possibile modificare un'origine già esistente. Per i passi per aprire una pagina Modifica origine, vedere Modifica origine.

  3. Fare clic sulla scheda Filtri dati e fare clic su Aggiungi.

  4. Immettere il Nome della maschera, selezionare Maschera hash come Tipo, immettere il valore Trova espressione e il valore Espressione di sostituzione associato.

    Nome Espressione Find Espressione Replace
    Maschera nome utente User=(\S+)s+ Hash testo
    Porta maschera Port=(\d+)s+ Hash numerico

  5. Fare clic suSalva.

Se si desidera utilizzare la maschera hash in un campo basato su stringhe, è possibile utilizzare l'hash Testo o Numerico come campo stringa. Tuttavia, se il campo dati è numerico, ad esempio un numero intero, lungo o a virgola mobile, è necessario utilizzare l'hash Numerico. Se non si utilizza l'hash numerico, il testo di sostituzione causerà l'interruzione delle espressioni regolari che dipendono da questo valore. Il valore non verrà memorizzato.

Questa sostituzione viene eseguita prima dell'analisi dei dati. In genere, quando i dati devono essere mascherati, non è chiaro se sono sempre numerici. Pertanto, è necessario decidere il tipo di hash durante la creazione della definizione della maschera.

Come risultato del mascheramento hash di esempio precedente, ogni nome utente viene sostituito da un hash di testo univoco e ogni numero di porta viene sostituito da un hash numerico univoco.

È possibile utilizzare la maschera hash quando si filtrano o si analizzano i dati di log. Vedere Filtra log per maschera hash.

Eliminazione di parole chiave o valori specifici dai record di log

Oracle Logging Analytics consente di cercare una parola chiave o un valore specifico nei record di log e di eliminare la parola chiave o il valore corrispondente se tale parola chiave esiste nei record di log.

Considerare il seguente record di log:

ns5xt_119131: NetScreen device_id=ns5xt_119131  [Root]system-notification-00257(traffic): start_time="2017-02-07 05:00:03" duration=4 policy_id=2 service=smtp proto=6 src zone=Untrust dst zone=mail_servers action=Permit sent=756 rcvd=756 src=192.0.2.1 dst=203.0.113.1 src_port=44796 dst_port=25 src-xlated ip=192.0.2.1 port=44796 dst-xlated ip=203.0.113.1 port=25 session_id=18738

Se si desidera nascondere la parola chiave device_id e il relativo valore dal record di log:

  1. Aprire il menu di navigazione e fare clic su Osservabilità e gestione. In Logging Analytics, fare clic su Amministrazione. Viene visualizzata la pagina Panoramica dell'amministrazione.

  2. Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Risorse. Fare clic su Origini.

  3. Fare clic sul nome dell'origine che si desidera modificare. Viene visualizzata la pagina dei dettagli di origine. Per modificare l'origine fare clic su Modifica.

  4. Fare clic sulla scheda Filtri dati e fare clic su Aggiungi.

  5. Immettere il nome del filtro, selezionare stringa di eliminazione come tipo e immettere il valore Espressione di ricerca, ad esempio device_id=\S*

  6. Fare clic suSalva.

Quando si visualizzano i record di log per questa origine, si noterà che Oracle Logging Analytics ha eliminato le parole chiave o i valori specificati.

Nota

Assicurarsi che l'espressione regolare del parser corrisponda al pattern del record di log, altrimenti Oracle Logging Analytics potrebbe non analizzare correttamente i record dopo aver eliminato la parola chiave.

Nota

Oltre ad aggiungere filtri dati durante la creazione di un'origine, è anche possibile modificare un'origine esistente per aggiungere filtri dati. Per ulteriori informazioni sulla modifica delle origini esistenti, vedere Personalizzare un'origine definita da Oracle.

Eliminazione di un'intera voce di log in base a parole chiave specifiche

Oracle Logging Analytics consente di cercare una parola chiave o un valore specifico nei record di log e di eliminare un'intera voce di log in un record di log se tale parola chiave esiste.

Considerare il seguente record di log:

ns5xt_119131: NetScreen device_id=ns5xt_119131  [Root]system-notification-00257(traffic): start_time="2017-02-07 05:00:03" duration=4 policy_id=2 service=smtp proto=6 src zone=Untrust dst zone=mail_servers action=Permit sent=756 rcvd=756 src=198.51.100.1 dst=203.0.113.254 src_port=44796 dst_port=25 src-xlated ip=198.51.100.1 port=44796 dst-xlated ip=203.0.113.254 port=25 session_id=18738

Si supponga di voler eliminare l'intera voce di log se la parola chiave device_id è presente in esse:

  1. Aprire il menu di navigazione e fare clic su Osservabilità e gestione. In Logging Analytics, fare clic su Amministrazione. Viene visualizzata la pagina Panoramica dell'amministrazione.

  2. Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Risorse. Fare clic su Origini.

  3. Fare clic sul nome dell'origine che si desidera modificare. Viene visualizzata la pagina dei dettagli di origine. Per modificare l'origine fare clic su Modifica.

  4. Fare clic sulla scheda Filtri dati e fare clic su Aggiungi.

  5. Immettere il nome del filtro, selezionare Elimina voce log come Tipo e immettere il valore Trova espressione, ad esempio .*device_id=.*

    È importante che l'espressione regolare corrisponda all'intera voce di log. L'uso di .* davanti e alla fine dell'espressione regolare garantisce che corrisponda a tutto il testo nella voce del log.

  6. Fare clic suSalva.

Quando si visualizzano le voci di log per questa origine log, si noterà che Oracle Logging Analytics ha eliminato tutte le voci di log che contengono la stringa device_id.

Nota

Oltre ad aggiungere filtri dati durante la creazione di un'origine, è anche possibile modificare un'origine esistente per aggiungere filtri dati. Per ulteriori informazioni sulla modifica delle origini esistenti, vedere Personalizzare un'origine definita da Oracle.

Usa campi estesi nelle origini

La funzione Campi estesi di Oracle Logging Analytics consente di estrarre campi aggiuntivi da un record di log oltre a qualsiasi campo analizzato dal parser.

Nella definizione di origine viene scelto un parser che può suddividere un file di log in voci di log e ogni voce di log in un set di campi di base. Questi campi di base devono essere coerenti tra tutte le voci di log. Un parser di base estrae i campi comuni da un record di log. Tuttavia, se è necessario estrarre campi aggiuntivi dal contenuto della voce di log, è possibile utilizzare la definizione dei campi estesi. Ad esempio, è possibile definire il parser in modo che tutto il testo alla fine dei campi comuni di una voce di log venga analizzato e memorizzato in un campo denominato Messaggio.

Quando si cercano i log utilizzando l'origine aggiornata, i valori dei campi estesi vengono visualizzati insieme ai campi estratti dal parser di base.

Nota

Per aggiungere il gruppo di log come campo di input, fornire l'OCID del valore anziché il nome.

  1. Aprire il menu di navigazione e fare clic su Osservabilità e gestione. In Logging Analytics, fare clic su Amministrazione. Viene visualizzata la pagina Panoramica dell'amministrazione.

    Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Risorse. Fare clic su Origini.

  2. Fare clic sul nome dell'origine che si desidera modificare. Viene visualizzata la pagina dei dettagli di origine. Per modificare l'origine fare clic su Modifica.
  3. Fare clic sulla scheda Campi estesi, quindi fare clic su Aggiungi.
  4. È possibile specificare una condizione in modo che l'estrazione del campo venga eseguita solo se la voce di log in fase di valutazione corrisponde a una condizione predefinita. Per aggiungere una condizione al campo esteso, espandere la sezione Condizioni.
    • Riutilizza esistente: se necessario, per riutilizzare una condizione già definita per l'origine log, selezionare il pulsante di opzione Riutilizza esistente e selezionare la condizione definita in precedenza dal menu Condizione.
    • Crea nuova condizione: abilitare questo pulsante se si desidera definire una nuova condizione. Specificare il campo condizione, l'operatore e il valore.

      Ad esempio, la definizione di campo esteso che estrae il valore del campo Nome risorsa di sicurezza dal valore del campo Messaggio solo se il campo Servizio contiene uno dei valori specificati NetworkManager, dhclient o dhcpd è la seguente:

      • Campo base: Message
      • Contenuto del campo base di esempio: DHCPDISCOVER from b8:6b:23:b5:c1:bd (HOST1-LAP) via eth0
      • Espressione di estrazione: ^DHCPDISCOVER\s+from\s+{Security Resource Name:\S+}\s+.+

      La condizione per questa definizione di campo esteso deve essere definita come segue:

      • Campo condizione: service
      • Operatore condizione: IN
      • Valore condizione: NetworkManager,dhclient,dhcpd

      Nell'esempio precedente, il valore estratto del campo Nome risorsa di sicurezza è b8:6b:23:b5:c1:bd.

      Per fornire più valori per il campo Valore condizione, digitare il valore e premere Invio per ogni valore.

    Aggiungendo una condizione, è possibile ridurre l'elaborazione dell'espressione regolare in una voce di log che probabilmente non ha il valore che si sta tentando di estrarre. Ciò può ridurre efficacemente i tempi di elaborazione e il ritardo nella disponibilità delle voci di log in Log Explorer.

  5. Selezionare il campo base in cui il valore è quello che si desidera estrarre ulteriormente nei campi.

    I campi visualizzati nel campo di base sono quelli analizzati dal parser di base e alcuni campi predefiniti popolati dalla raccolta di log, ad esempio Entità di log (nome file, tabella di database o altra posizione originale da cui proviene la voce di log) e Contenuto di log originale.

  6. Immettere un valore di esempio comune per il campo base che si è scelto di estrarre in campi aggiuntivi nello spazio Contenuto campo base di esempio. Viene utilizzato durante la fase di test per dimostrare che la definizione estesa del campo funziona correttamente.
  7. Immettere l'espressione di estrazione nel campo Espressione di estrazione e selezionare la casella di controllo Abilitato.

    Un'espressione di estrazione segue la normale sintassi dell'espressione regolare, tranne quando si specifica l'elemento di estrazione, è necessario utilizzare una macro indicata da parentesi graffe { e }. All'interno delle parentesi graffe sono presenti due valori separati da due punti :. Il primo valore all'interno delle parentesi graffe è il campo in cui memorizzare i dati estratti. Il secondo valore è l'espressione regolare che deve corrispondere al valore da acquisire dal campo di base.

    Nota

    Quando si desidera estrarre più valori da un campo utilizzando i campi estesi:

    1. Creare innanzitutto un campo per il contenuto del log che può avere più valori per un campo, ad esempio Error IDs. Vedere Creare un campo.

    2. Nella finestra di dialogo Aggiungi definizione campo esteso, per il campo base, selezionare un campo di base estratto da un parser e contenente dati a più valori, ad esempio Message, Original Log Content.

    3. Immettere l'Esempio di contenuto del campo base che contiene più valori di un campo che si desidera estrarre.

    4. In Espressione estrazione, fornire l'espressione regolare per estrarre ogni valore dal campo. Fare clic su Aggiungi.


    EFD per valori multipli di un campo

  8. Fare clic su Definizione test per verificare che l'espressione di estrazione possa estrarre correttamente i campi desiderati dal contenuto di esempio del campo di base fornito. In caso di esito positivo nella corrispondenza, viene visualizzato il Conteggio passi, che rappresenta la buona misura dell'efficacia dell'espressione di estrazione. Se l'espressione è inefficiente, l'estrazione potrebbe scadere e il campo non verrà popolato.
    Nota

    Per ottenere prestazioni ottimali, è preferibile mantenere il conteggio dei passi sotto 1000. Maggiore è il numero, maggiore sarà il tempo necessario per elaborare i log e renderli disponibili in Log Explorer.
  9. Fare clic suSalva.

Se si utilizza l'opzione Solo tempo di analisi automatico nella definizione di origine anziché creare un parser, l'unico campo disponibile per la creazione di definizioni di campi estesi sarà il campo Contenuto log originale, poiché nessun altro campo verrà popolato dal parser. Vedere Usa parser orario automatico.

Oracle Logging Analytics consente di cercare i campi estesi desiderati. È possibile eseguire la ricerca in base alla modalità di creazione, al tipo di campo di base o a un contenuto di esempio del campo. Immettere il contenuto di esempio nel campo Cerca oppure fare clic sulla freccia rivolta verso il basso per la finestra di dialogo di ricerca. Nella finestra di dialogo di ricerca, in Tipo di creazione, selezionare se i campi estesi che si stanno cercando sono definiti da Oracle o definiti dall'utente. In Campo base è possibile selezionare una delle opzioni disponibili. È inoltre possibile specificare il contenuto di esempio o l'espressione del campo di estrazione da utilizzare per la ricerca. Fare clic su Applica filtri.

Tabella 8-1 Esempio di contenuto ed espressione Estrazione campo esteso

descrizione; Campo base Contenuto di esempio Espressione Extended Field Extraction
Per estrarre l'entensione del file endpoint dal campo URI di un file di log di Fusion Middleware Access

URI

/service/myservice1/endpoint/file1.jpg

{Content Type:\.(jpg|html|png|ico|jsp|htm|jspx)}

In questo modo il suffisso file, ad esempio jpg o html, verrà estratto e il valore verrà memorizzato nel campo Tipo di contenuto. Verrà estratto solo per i suffissi elencati nell'espressione.

Per estrarre il nome utente dal percorso file di un'entità di log

Log Entity

/u01/oracle/john/audit/134fa.xml

/\w+/\w+/{User Name:\w+}/\w+/\w+

Per estrarre l'ora di inizio dal campo Messaggio

Nota: l'ora di inizio dell'evento è un campo di tipo dati Indicatore orario. Se si trattava di un campo di tipo dati numerico, l'ora di inizio viene memorizzata semplicemente come numero e non come indicatore orario.

Message

Backup transaction finished. Start=1542111920

Start={Event Start Time:\d+}

Fonte: /var/log/messages

Nome parser: Linux Syslog Format

Message

authenticated mount request from 10.245.251.222:735 for /scratch (/scratch)

authenticated {Action:\w+} request from {Address:[\d\.]+}:{Port:\d+} for {Directory:\S+}\s(

Fonte: /var/log/yum.log

Nome parser: Yum Format

Message

Updated: kernel-headers-2.6.18-371.0.0.0.1.el5.x86_64

{Action:\w+}: {Package:.*}

Fonte: Database Alert Log

Nome parser: Database Alert Log Format (Oracle DB 11.1+)

Message

Errors in file /scratch/cs113/db12101/diag/rdbms/pteintg/pteintg/trace/pteintg_smon_3088.trc (incident=4921): ORA-07445: exception encountered: core dump [semtimedop()+10] [SIGSEGV] [ADDR:0x16F9E00000B1C] [PC:0x7FC6DF02421A] [unknown code] []

Errors in file {Trace File:\S+} (incident={Incident:\d+}): {Error ID:ORA-\d+}: exception encountered: core dump [semtimedop()+10] [SIGSEGV] [ADDR:{Address:[\w\d]+] [PC:{Program Counter:[\w\d]+}] [unknown code] []

Fonte: FMW WLS Server Log

Nome parser: WLS Server Log Format

Message

Server state changed to STARTING

Server state changed to {Status:\w+}

Configura opzioni di arricchimento campo

Oracle Logging Analytics consente di configurare le opzioni di arricchimento dei campi in modo da poter estrarre e visualizzare ulteriori informazioni significative dai dati dei campi estesi.

Una delle opzioni di arricchimento dei campi è Geolocalizzazione, che converte gli indirizzi IP o le coordinate di ubicazione presenti nei record di log in un codice paese o paese. Questa opzione può essere utilizzata in origini log quali i log di accesso Web con indirizzi IP client esterni.

L'opzione Arricchimento campo Ricerca consente di abbinare le combinazioni campo-valore dai log a una tabella di ricerca esterna.

Includere informazioni aggiuntive nelle voci del log utilizzando l'opzione Campi aggiuntivi. Queste informazioni vengono aggiunte a ogni voce di log al momento dell'elaborazione.

Per sostituire una stringa o un'espressione in un campo con un'espressione alternativa e memorizzare il risultato in un campo di output, utilizzare l'opzione Sostituzione.

Nota

  • Per un'origine, è possibile definire al massimo tre arricchimenti di campo, ciascuno di tipo diverso.

  • Per aggiungere il gruppo di log come campo di input, fornire l'OCID del valore anziché il nome.

argomenti:

Usa ricerche tempo di inclusione nell'origine

Oracle Logging Analytics consente di integrare i dati di log con ulteriori combinazioni campo-valore dalle ricerche impostando l'opzione Arricchimento campo di ricerca nell'origine. Oracle Logging Analytics abbina il valore del campo specificato a una tabella di ricerca esterna e, se corrispondente, aggiunge ai dati di log altre combinazioni campo-valore dal record di ricerca corrispondente. Vedere Gestisci ricerche.

È possibile aggiungere dati da più ricerche impostando più volte l'opzione Arricchimento campo di ricerca. L'arricchimento del campo di ricerca viene elaborato nello stesso ordine di creazione. Pertanto, se si dispone di ricerche correlate in cui le chiavi si sovrappongono e consentono di aggiungere ulteriori arricchimenti con l'elaborazione di ogni ricerca, assicurarsi di includere le chiavi sovrapposte nelle selezioni di input e output della definizione Integrazione campi di ricerca. Per un esempio di utilizzo di più ricerche correlate per integrare i dati di log, vedere Esempio di aggiunta di più arricchimenti dei campi di ricerca.

Passi per aggiungere l'integrazione dei campi di ricerca

  1. Aprire il menu di navigazione e fare clic su Osservabilità e gestione. In Logging Analytics, fare clic su Amministrazione. Viene visualizzata la pagina Panoramica dell'amministrazione.

    Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Risorse. Fare clic su Origini.

    Viene visualizzata la pagina Origini. Fare clic su Crea origine.

    In alternativa, fare clic sull'icona del menu Azioni icona Azioni accanto alla voce di origine che si desidera modificare e selezionare Modifica. Viene visualizzata la pagina Modifica origine.

    Nota

    Assicurarsi che nella pagina della definizione di origine sia selezionato un parser per abilitare il pulsante Aggiungi per l'arricchimento dei campi.

  2. Fare clic sulla scheda Integrazione campi, quindi fare clic su Aggiungi.

    Viene visualizzata la finestra di dialogo Aggiungi arricchimento campo.

  3. Nella finestra di dialogo Aggiungi arricchimento campo,

    1. Selezionare Ricerca come Funzione.
    2. Selezionare Nome tabella di ricerca dal menu a discesa.
    3. In Campi di input selezionare la colonna della tabella di ricerca e il campo di origine log a cui deve essere mappato. Consente di mappare la chiave dalla tabella di ricerca a un campo popolato dal parser in Campo origine log, ad esempio la colonna errid nella tabella di ricerca può essere mappata al campo Error ID nei log.

      L'elenco dei campi di input in Campo origine log sarà limitato ai campi popolati dall'origine log.

    4. In Azioni selezionare il nuovo campo di origine log e il valore del campo nella colonna della tabella di ricerca a cui deve essere mappato. Quando viene trovato un record corrispondente nella tabella di ricerca specificata in base al mapping di input precedente, il campo di output specificato nel campo origine log viene aggiunto al log con il valore della colonna di ricerca di output specificata nel valore campo. Ad esempio, la colonna erraction nella tabella di ricerca può essere mappata al campo Action.

      Facoltativamente, fare clic su + Altro elemento per mappare altri campi di output.

    5. Fare clic su Aggiungi arricchimento campo.

    La ricerca viene ora aggiunta alla tabella Arricchimento campi.

  4. Mantieni selezionata la casella di controllo Abilitato.

  5. Per aggiungere ulteriori ricerche, ripetere i passi 3 e 4.

Quando si visualizzano i record di log dell'origine log per la quale è stato creato l'arricchimento del campo di ricerca in fase di inclusione, è possibile notare che il campo di output visualizza i valori inseriti rispetto alle voci di log a causa del riferimento alla tabella di ricerca utilizzato nella creazione dell'arricchimento del campo. Vedere Gestisci ricerche.

Esempio di aggiunta di più arricchimenti dei campi di ricerca

È possibile aggiungere fino a tre arricchimenti di campi di ricerca a un'origine. Le singole ricerche possono o non possono essere correlate tra loro.

Nell'esempio seguente viene illustrato come impostare tre ricerche correlate in modo da integrare i dati di log con le informazioni di tutte e tre le ricerche. Considerare i tre lookup correlati riportati di seguito che contengono informazioni su più host.

Lookup1: SystemConfigLookup

Numero di serie Produttore Sistema operativo Memoria Tipo di processore Unità disco ID host
SER-NUM-01 Manuf1 OS1 256TB Proc1 Unità disco fisso 1.001
N. SIER 02 Manuf2 OS2 7.5TB Proc3 Unità a stato solido 1.002
SER-NUM-03 Manuf2 OS3 16TB Proc2 Unità a stato solido 1.003
SER-NUM-04 Manuf3 OS1 512TB Proc5 Unità disco fisso 1.004
SER-NUM-05 Manuf1 OS1 128TB Proc4 Unità disco fisso 1.001

Lookup2: GeneralHostConfigLookup

ID host Proprietario host Posizione host Descrizione host Indirizzo IP host
1.001 Jack San Francisco Descrizione per host Jack 192.0.2.76
1.002 Alessio Denver Descrizione per Alexis host 203.0.113.58
1.003 Giovanni Seattle Descrizione dell'host John 198.51.100.11
1.004 Jane San José Descrizione per Jane host 198.51.100.164

Lookup3: NetworkConfigLookup

Indirizzo IP Subnet mask Gateway Server DNS
192.0.2.76 255.255.255.252 192.0.2.1 Server ricorsivo
203.0.113.58 255.255.255.0 203.0.113.1 Server autorizzato
198.51.100.11 255.255.255.224 198.51.100.1 Server radice
198.51.100.164 255.255.255.192 198.51.100.1 Server ricorsivo

Tra le ricerche Lookup1 e Lookup2, Host ID è la chiave comune che può essere selezionata come output nel primo arricchimento del campo di ricerca e come input nel secondo arricchimento del campo di ricerca. Analogamente, tra le ricerche Lookup2 e Lookup3, IP Address è la chiave comune che può essere selezionata come output nel primo arricchimento del campo di ricerca e come input nel secondo arricchimento del campo di ricerca.

Con l'impostazione precedente, lasciare che gli arricchimenti del campo di ricerca siano configurati nell'ordine 1, 2 e 3:

Integrazione campi di ricerca Nome tabella di ricerca Campi di input Azioni
1 SystemConfigLookup
  • Campo di origine log: Serial Number
  • Colonna tabella di ricerca: Serial Number
  • Nuovo campo Origine log 1: Operating System
  • Valore campo 1: Operating System
  • Nuovo campo Origine log 2: Memory
  • Valore campo 2: Memory
  • Nuovo campo Origine log 3: Host ID
  • Valore campo 3: Host ID
2 GeneralHostConfigLookup
  • Campo di origine log: Host ID
  • Colonna tabella di ricerca: Host ID
  • Nuovo campo Origine log 1: Host Owner
  • Valore campo 1: Host Owner
  • Nuovo campo Origine log 2: Host IP Address
  • Valore campo 2: Host IP Address
3 NetworkConfigLookup
  • Campo di origine log: Host IP Address
  • Colonna tabella di ricerca: IP Address
  • Nuovo campo Origine log 1: Gateway
  • Valore campo 1: Gateway
  • Nuovo campo Origine log 2: DNS Server
  • Valore campo 2: DNS Server

Una volta completata la configurazione di arricchimento precedente, quando il campo Serial Number viene rilevato nei dati di log, viene ulteriormente arricchito con Operating System, Memory, Host ID, Host Owner, Host IP Address, Gateway e DNS Server dalle tre ricerche. So, for the serial number SER-NUM-01 detected in the log, it is enriched with additional information OS1, 256TB, 1001, Jack, 192.0.2.76, 192.0.2.1, and Recursive server.

Utilizza il campo di geolocalizzazione per i log di raggruppamento

Dopo aver impostato l'integrazione del campo Geolocalizzazione, è possibile visualizzare i record di log raggruppati per paese o codice paese. Ciò è utile quando si analizzano i log con informazioni di posizione cruciali, ad esempio l'indirizzo IP o le coordinate di posizione, ad esempio i log di accesso, i log di trace o i log di trasporto dell'applicazione.

  1. Aprire il menu di navigazione e fare clic su Osservabilità e gestione. In Logging Analytics, fare clic su Amministrazione. Viene visualizzata la pagina Panoramica dell'amministrazione.

    Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Risorse. Fare clic su Origini.

    Viene visualizzata la pagina Origini. Fare clic su Crea origine.

    In alternativa, fare clic sull'icona del menu Azioni icona Azioni accanto alla voce di origine che si desidera modificare e selezionare Modifica. Viene visualizzata la pagina Modifica origine.

  2. Aggiungere la definizione Campi estesi per il campo di base che contiene i record di indirizzi IP o nomi host specifici del paese, ad esempio Indirizzo IP host.
  3. Fare clic sulla scheda Integrazione campi, quindi fare clic su Aggiungi.
  4. Nella finestra di dialogo Aggiungi arricchimento campo, selezionare Geolocalizzazione come funzione.
  5. Nella sezione Campi di input, selezionare Campo IP, ovvero il nome del campo di gelocation estratto dal parser dai log, ad esempio Client Coordinates o Host IP Address (Client).

    Per rilevare le minacce con le informazioni sulla geolocalizzazione, abilitare la casella di controllo Arricchimento dell'intelligence sulle minacce. Durante l'inclusione dei dati di log, se il valore dell'indirizzo IP associato al campo di input Indirizzo di origine nel contenuto del log è contrassegnato come una minaccia, viene aggiunto al campo IP di minaccia. È quindi possibile utilizzare il campo per filtrare i log a cui sono associate minacce. Inoltre, tali record di log avranno anche l'etichetta IP di minaccia con la priorità di problema Alta. È possibile utilizzare l'etichetta nella ricerca.

    I record di log a cui è associato un punto rosso nella riga con priorità di problema Alta Ciò rende i record di registro più importanti nel loro aspetto nella tabella, rendendo più facile individuarli e analizzarli. È quindi possibile aprire gli IP delle minacce nella console di Oracle Threat Intelligence e ottenere ulteriori informazioni sulla minaccia.

  6. Fare clic su Aggiungi.

Aggiungi altri dati alle voci di log in fase di elaborazione

È possibile includere ulteriori informazioni in ciascuna voce come metadati aggiuntivi. Queste informazioni non fanno parte della voce di log, ma vengono aggiunte in fase di elaborazione, ad esempio ID container, Nodo. Per un esempio di aggiunta di metadati durante il caricamento dei log su richiesta, vedere Carica log su richiesta.

Le informazioni così aggiunte potrebbero non essere visibili direttamente in Log Explorer. Per renderlo visibile in Log Explorer per l'analisi dei log, effettuare le operazioni riportate di seguito.

  1. Aprire il menu di navigazione e fare clic su Osservabilità e gestione. In Logging Analytics, fare clic su Amministrazione. Viene visualizzata la pagina Panoramica dell'amministrazione.

    Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Risorse. Fare clic su Origini.

    Viene visualizzata la pagina Origini. Fare clic sull'icona del menu Azioni icona Azioni accanto alla voce di origine che si desidera modificare e selezionare Modifica. Viene visualizzata la pagina Modifica origine.

    Nota

    Assicurarsi che nella pagina della definizione di origine sia selezionato un parser per abilitare il pulsante Aggiungi per l'arricchimento dei campi.

  2. Fare clic sulla scheda Integrazione campi, quindi fare clic su Aggiungi.

    Viene visualizzata la finestra di dialogo Aggiungi arricchimento campo.

  3. Nella finestra di dialogo Aggiungi arricchimento campo,

    1. Selezionare Campi aggiuntivi come Funzione.
    2. In Campi mappa, selezionare i campi che si desidera mappare all'origine. I campi selezionati nei parser associati a questa origine non sono disponibili qui.
    3. Fare clic su Aggiungi.

Dopo aver specificato i campi aggiuntivi, questi sono visibili in Log Explorer per l'analisi dei log. Possono anche essere selezionati durante la configurazione dei campi estesi o delle etichette per le origini.

Utilizzare la funzione di sostituzione per sostituire un'espressione in un campo

Durante l'elaborazione del log, se si desidera sostituire una parte del valore del campo con una stringa o un'espressione alternativa, utilizzare la funzione di sostituzione e memorizzare l'espressione risultante del campo in un altro campo di output.

Si consideri lo scenario in cui si desidera acquisire tutti i record di log con il campo URI con il contenuto del formato http://www.example.com/forum/books?<ISBN> e il valore di ISBN varia a seconda di ciascun record di log. In questi casi, è possibile sostituire il valore di ISBN nel campo di ogni record di log con una stringa allExampleBooks e memorizzarlo in un campo modified_URI. Di conseguenza, tutti i record di log acquisiti con URI nel formato precedente avranno anche il campo modified_URI con il valore http://www.example.com/forum/books?allExampleBooks. È ora possibile utilizzare il campo modified_URI nella query di ricerca per filtrare tali log per ulteriori analisi in Log Explorer.

Inoltre, utilizzare l'opzione Sostituisci tutte le corrispondenze per sostituire tutte le occorrenze del valore nel campo. Ad esempio, se il campo Original log content contiene più occorrenze di indirizzo IP che si desidera sostituire con una stringa, è possibile utilizzare questa opzione. Il risultato può essere salvato in un campo, ad esempio Altered log content. È ora possibile utilizzare il campo Altered log content nell'interrogazione per filtrare tutti i record di log con indirizzi IP nel campo Original log content.

  1. Aprire il menu di navigazione e fare clic su Osservabilità e gestione. In Logging Analytics, fare clic su Amministrazione. Viene visualizzata la pagina Panoramica dell'amministrazione.

    Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Risorse. Fare clic su Origini.

    Viene visualizzata la pagina Origini. Fare clic su Crea origine.

    In alternativa, fare clic sull'icona del menu Azioni icona Azioni accanto alla voce di origine che si desidera modificare e selezionare Modifica. Viene visualizzata la pagina Modifica origine.

  2. Immettere un nome per l'origine, una descrizione appropriata e selezionare il tipo di origine. Selezionare un parser da utilizzare per analizzare i log. Queste selezioni determineranno i campi disponibili per l'arricchimento dei campi.

  3. Fare clic sulla scheda Integrazione campi, quindi fare clic su Aggiungi arricchimento campo.

  4. Nella finestra di dialogo Aggiungi arricchimento campo, selezionare Sostituzione come Funzione.

  5. Nella sezione Campi di input:

    1. Selezionare il campo origine log contenente i valori che si desidera sostituire, ad esempio URI.

    2. In Espressione da abbinare, fornire l'espressione regolare da abbinare per la stringa nel campo da sostituire.

    3. Specificare la stringa/espressione di sostituzione che deve essere sostituita al posto del valore originale del campo di input.

    4. Se nel campo sono presenti più occorrenze della stringa da sostituire, abilitare la casella di controllo Sostituisci tutte le corrispondenze.

  6. Nella sezione Campo di output selezionare il campo in cui deve essere memorizzato il nuovo valore del campo di input dopo che il valore originale è stato sostituito con il valore di sostituzione.

  7. Fare clic su Aggiungi arricchimento campo.

Usare le etichette nelle origini

Oracle Logging Analytics consente di aggiungere etichette o tag per registrare i record in base a condizioni definite.

Quando una voce di log corrisponde alla condizione definita, viene popolata con tale voce di log. Tale etichetta è disponibile nelle visualizzazioni di Log Explorer, nonché per la ricerca e il filtro delle voci di log.

È possibile utilizzare le etichette definite da Oracle o create dall'utente nelle origini. Per creare un'etichetta personalizzata per contrassegnare una voce di log specifica, vedere Creare un'etichetta.

  1. Per utilizzare le etichette in un'origine esistente, modificare tale origine. Per i passi per aprire una pagina Modifica origine, vedere Modifica origine.

  2. Fare clic sulla scheda Etichette.

  3. Per aggiungere un'etichetta condizionale, fare clic su Aggiungi etichetta condizionale.

    Nella sezione Condizioni:

    1. Selezionare il campo di log in cui si desidera applicare la condizione dall'elenco Campo di input.

    2. Selezionare l'operatore dalla lista Operatore.

    3. Nel campo Valore condizione specificare il valore della condizione da soddisfare per l'applicazione dell'etichetta.

      Nota

      Per aggiungere il gruppo di log come campo di input, fornire l'OCID del valore anziché il nome.

    4. Per aggiungere altre condizioni, fare clic sull'icona Aggiungi condizione Icona Aggiungi condizione e ripetere i passi da 3a a 3c. Selezionare l'operazione logica da applicare alle condizioni multiple. Selezionare tra AND, OR, NOT AND o NOT OR.

      Per aggiungere un gruppo di condizioni, fare clic sull'icona Condizione gruppo Icona Condizione gruppo e ripetere i passi da 3a a 3c per aggiungere ogni condizione. Un gruppo di condizioni deve avere più di una condizione. Selezionare l'operazione logica da applicare al gruppo di condizioni. Selezionare tra AND, OR, NOT AND o NOT OR.

      Per rimuovere una condizione, fare clic sull'icona Rimuovi condizione Icona Rimuovi condizione.

      Per visualizzare l'elenco delle condizioni sotto forma di istruzione, fare clic su Mostra sintetico condizione.

  4. In Azioni selezionare una delle etichette già disponibili definite da Oracle o create dall'utente. Se necessario, è possibile creare una nuova etichetta facendo clic su Crea etichetta.

    Selezionare la casella di controllo Abilitato .

  5. Fare clic su Aggiungi.

Oracle Logging Analytics consente di cercare le etichette che si stanno cercando in Log Explorer. È possibile eseguire la ricerca in base a uno qualsiasi dei parametri definiti per le etichette. Immettere la stringa di ricerca nel campo Cerca. È possibile specificare i criteri di ricerca nella finestra di dialogo di ricerca. In Tipo di creazione selezionare se le etichette che si stanno cercando sono definite da Oracle o definite dall'utente. Nei campi Campo di input, Operatore e Campo di output è possibile effettuare una selezione tra le opzioni disponibili. È inoltre possibile specificare il valore della condizione o il valore di output che può essere utilizzato per la ricerca. Fare clic su Applica filtri.

È ora possibile cercare i dati di log in base alle etichette create. Vedere Filtrare i log per etichette.

Utilizzare i campi condizionali per integrare il data set

Facoltativamente, se si desidera selezionare un campo arbitrario e scrivervi un valore, è possibile utilizzare i campi condizionali. L'inserimento di un valore in un campo arbitrario mediante la funzionalità dei campi condizionali è molto simile all'uso delle ricerche. Tuttavia, l'utilizzo dei campi condizionali offre una maggiore flessibilità nelle condizioni di corrispondenza ed è ideale per l'utilizzo in un numero limitato di condizioni - definizioni di popolazione di campi. Ad esempio, se si dispone di alcune condizioni per popolare un campo, è possibile evitare di creare e gestire una ricerca utilizzando i campi condizionali.

I passi per aggiungere i campi condizionali sono simili a quelli del workflow precedente per l'aggiunta di etichette condizionali.

  • Nel passo 3, invece di fare clic su Aggiungi etichetta condizionale, fare clic su Aggiungi campo condizionale. Il resto del passo 3 per selezionare le condizioni rimane lo stesso del flusso di lavoro precedente.

  • Al punto 4,

    1. Per il campo di output, selezionare dal menu uno dei campi già disponibili definiti da Oracle o creati dall'utente. Se necessario, è possibile creare un nuovo campo facendo clic su Crea nuovo campo.

    2. Immettere un Valore di output da scrivere per il campo di output quando la condizione di input è vera.

      Ad esempio, l'origine può essere configurata per allegare il valore di output authentication.login per il campo di output Security Category quando il record di log contiene il campo di input Method impostato sul valore CONNECT.

      Selezionare la casella di controllo Abilitato .

Usa parser orario automatico

Oracle Logging Analytics consente di configurare l'origine in modo che utilizzi un parser generico anziché creare un parser per i log. In questo caso, il tempo di log verrà analizzato dalle voci di log solo se l'ora può essere identificata da Oracle Logging Analytics.

Ciò è particolarmente utile quando non si è sicuri di come analizzare i log o di come scrivere espressioni regolari per analizzare i log e si desidera solo passare i dati di log raw per eseguire l'analisi. In genere, un parser definisce le modalità di estrazione dei campi da una voce di log per un tipo di file di log specificato. Tuttavia, il parser generico in Oracle Logging Analytics può:

  • Rilevare la data e il fuso orario dalle voci del log.

  • Creare un indicatore orario utilizzando l'ora corrente se le voci del log non hanno alcun indicatore orario.

  • Rileva se le voci del log sono costituite da più filettature o da un solo filetto.

  1. Aprire il menu di navigazione e fare clic su Osservabilità e gestione. In Logging Analytics, fare clic su Amministrazione. Viene visualizzata la pagina Panoramica dell'amministrazione.

    Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Risorse. Fare clic su Origini.

  2. Nella pagina Origini fare clic su Crea origine.
    Viene visualizzata la finestra di dialogo Crea origine.
  3. Nel campo Origine, immettere il nome dell'origine.
  4. Nel campo Tipo di origine selezionare File.
  5. Fare clic su Tipo di entità e selezionare il tipo di entità per questa origine.
  6. Selezionare Solo ora di analisi automatica. Oracle Logging Analytics applica automaticamente il tipo di parser generico.
  7. Fare clic suSalva.
Quando si accede ai record di log dell'origine appena creata, Oracle Logging Analytics estrae e visualizza le informazioni riportate di seguito dalle voci di log.

  • Indicatore orario:

    • Quando una voce di log non dispone di un indicatore orario, il parser generico crea e visualizza l'indicatore orario in base all'ora in cui sono stati raccolti i dati di log.

    • Quando un record di log contiene un indicatore orario ma il fuso orario non è definito, il parser generico utilizza il fuso orario del Management Agent.

      Quando si utilizza Management Agent, se il fuso orario non viene rilevato correttamente, è possibile impostare manualmente il fuso orario nei file di configurazione dell'agente. Vedere Specifica manuale del fuso orario e della codifica dei caratteri per i file.

      Quando carichi i log utilizzando il caricamento su richiesta, puoi specificare il fuso orario insieme al caricamento per forzare il fuso orario se non riusciamo a rilevarlo correttamente. Se si utilizza l'interfaccia CLI, vedere Riferimento riga di comando: Logging Analytics - Caricamento. Se si utilizza l'API REST, vedere API di Log Analytics - Caricamento.

    • Quando un file di log contiene record di log con più fusi orari, il parser generico può supportare fino a 11 fusi orari.

    • Quando un file di log visualizza alcune voci di log con un fuso orario e alcune senza, il parser generico utilizza il fuso orario trovato in precedenza per quelle a cui manca un fuso orario.

    • Quando si incorporano i log mediante Management Agent, se il fuso orario o l'offset del fuso orario non è indicato nei record di log, Oracle Logging Analytics confronta l'ora dell'ultima modifica del sistema operativo con l'indicatore orario dell'ultima voce di log per determinare il fuso orario appropriato.

  • Più righe: quando una voce di log si estende su più righe, il parser generico può acquisire correttamente il contenuto su più righe.