Gestisci memorizzazione

I dati di log inclusi in Oracle Logging Analytics sono disponibili nello storage attivo per l'analisi. I log vengono memorizzati nello storage attivo fino a quando non vengono archiviati, eliminati o rimossi.

È possibile eseguire le attività correlate allo storage riportate di seguito in base alle proprie esigenze.

  • Log di archivio: se si desidera utilizzare i vecchi log per l'analisi in futuro, abilitare l'archiviazione e specificare il numero di giorni dall'indicatore orario del log dopo i quali i dati di log devono essere spostati automaticamente dallo storage attivo allo storage di archivio, disponibile a un costo inferiore. È inoltre possibile richiamare i dati di log archiviati per l'uso attivo. Vedere Archiviazione dei dati di log.

    • Richiama log archiviati: dopo l'archiviazione dei dati di log, è possibile richiamare i dati di log selezionati per l'uso attivo. I log vengono selezionati per il richiamo specificando l'intervallo di tempo in cui sono presenti gli indicatori orari dei log. Dopo l'uso attivo, è possibile rilasciare i log richiamati nel pool dell'archivio. Tenere presente che i dati richiamati verranno conteggiati ai fini dell'uso dello storage attivo fino al rilascio. Vedere Richiama log archiviati.

    • Log richiamati di rilascio: utilizzare questa opzione per rilasciare di nuovo i log richiamati nello storage di archivio per ottimizzare i costi di storage. Vedere il passo 8 in Recall Archived Logs.

  • Rimuovi log: è possibile rimuovere i dati di log inutilizzati o precedenti per ridurre le dimensioni dello storage attivo che si sta utilizzando. È possibile eseguire la rimozione su richiesta o creare un criterio di rimozione. Vedere Rimuovi dati di log.

  • Visualizza report attività di storage: utilizzare questa finestra a riquadro singolo per tenere traccia di tutte le attività di gestione dello storage ed eseguire più task di gestione. Vedere View Storage Activity Report.

È possibile utilizzare il predicato Recall nella query per filtrare i log richiamati, i log attivi o entrambi. Vedere Query Predicate per filtrare i log richiamati.

Nota

Il criterio di archiviazione e l'attività di richiamo potrebbero non essere completati se le linee temporali si sovrappongono al criterio di rimozione. Controllare il criterio di rimozione e l'impostazione di archiviazione per evitare di perdere i dati di log che devono essere archiviati.

Archiviare i dati di log

Se si utilizzano solo i log recenti per i task di ricerca e analisi in Oracle Logging Analytics, abilitare l'archiviazione in modo da poter ottimizzare i costi di storage.

Nota

  • È possibile abilitare l'archiviazione solo dopo aver specificato la dimensione minima dei dati nello storage attivo. Attualmente, si tratta di 1 TB.

  • La durata dello storage attivo (giorni) minima per i log prima che possano essere archiviati è di 30 giorni.

  1. Aprire il menu di navigazione e fare clic su Osservabilità e gestione. In Logging Analytics, fare clic su Amministrazione. Viene visualizzata la pagina Panoramica dell'amministrazione.

  2. Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Risorse. Fare clic su Storage.

    Viene visualizzata la pagina Memorizzazione.

  3. Fare clic su Abilita archiviazione. Nella finestra di dialogo Abilita archiviazione,

    • Immettere il conteggio dei giorni trascorsi i quali i dati di log nello storage attivo devono essere archiviati nel campo Durata storage attiva (giorni).

      Il conteggio viene calcolato in base all'indicatore orario dei log. Ad esempio, se i log hanno l'indicatore orario November 4, 2020 23:43:12 e la durata dello storage attivo è stata specificata come 30, in genere i log verranno spostati nello storage di archivio in December 3, 2020.

      Nota

      Va notato che anche se si specifica la durata dello storage attivo dei log per determinare i log da spostare nello storage di archivio, la struttura degli indici di log si basa sui bucket utilizzati per memorizzare i log. In uno scenario tipico, un intero bucket viene spostato nello storage di archivio quando tutti i log in esso contenuti sono precedenti al criterio specificato.

      Ad esempio, si consideri che il campo Durata memorizzazione attiva è impostato su 30 giorni.

      • Bucket_1 dispone di log con età compresa tra 40 e 80 giorni: i dati di log sono idonei e vengono spostati nello storage di archivio.
      • Bucket_2 dispone di log con età compresa tra 25 e 40 giorni. Sebbene alcuni dati di log siano idonei per l'archiviazione, non vengono archiviati fino a quando tutti i log non sono adatti all'età specificata.
      • Bucket_3 dispone di log con età compresa tra 0 e 25 giorni: nessuno dei log è adatto per l'archiviazione. L'intero bucket viene archiviato quando tutti i log diventano idonei.

      Nello scenario precedente, dopo l'archiviazione dei log Bucket_1, se vengono raccolti più log che risalgono a più di 40 giorni, in genere vengono aggiunti a Bucket_2.

    • Per impostazione predefinita, i dati di log rimangono nello storage di archiviazione per un periodo di tempo indefinito. La casella di controllo Sicuramente viene abilitata accanto al campo Durata archiviazione (giorni).

      È possibile modificare la durata disabilitando la casella di controllo e immettendo il conteggio dei giorni trascorsi i quali i dati di log nello storage di archiviazione devono essere rimossi nel campo Durata storage di archivio (giorni).

    Fare clic su Abilita.

  4. Se l'archiviazione è già stata abilitata e si desidera modificare le impostazioni di archiviazione, fare clic su Modifica impostazioni di archiviazione. È possibile eseguire uno dei task riportati di seguito.

    • È possibile modificare il valore del conteggio dei giorni specificati per l'archiviazione in Durata memorizzazione attiva (giorni).
    • È possibile modificare il valore del conteggio dei giorni specificati per la rimozione dei log dallo storage di archiviazione in Durata storage di archivio (giorni) oppure abilitare la casella di controllo Sicuramente per conservare in modo permanente i log nello storage di archiviazione.
    • Fare clic su Disabilita archiviazione per interrompere l'archiviazione.

    Fare clic su Salva modifiche.

Richiama log archiviati

È possibile richiamare i log archiviati per la visualizzazione e l'analisi. Una volta richiamati, i dati vengono conteggiati nell'uso di storage attivo fino al loro rilascio nell'archivio.

È possibile richiamare e rilasciare gli stessi set di log più volte. Non esistono dipendenze tra i richiami, anche se gli intervalli di tempo o le query si sovrappongono.

Nota

Ogni richiamo viene fatturato in base all'uso di storage attivo generato.

  1. Aprire il menu di navigazione e fare clic su Osservabilità e gestione. In Logging Analytics, fare clic su Amministrazione. Viene visualizzata la pagina Panoramica dell'amministrazione.

  2. Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Risorse. Fare clic su Storage.

    Viene visualizzata la pagina Memorizzazione.

  3. Nella pagina Memorizzazione, nel pannello sinistro in Risorse, fare clic su Archiviazione delle richieste di richiamo.

    Nella pagina Richieste di richiamo archiviazione vengono visualizzate le richieste di richiamo avviate in precedenza.

  4. Fare clic su Crea richiesta di richiamo. Viene visualizzata la finestra di dialogo Crea richiesta di richiamo.

  5. Specificare lo Scopo del richiamo. Questo può aiutarti a identificare la tua richiesta di richiamo.

  6. Facoltativamente, se è stato definito un set di log, è possibile specificare uno o più set di log per filtrare i dati richiamati. Per specificare più set di log, utilizzare la separazione con virgole.

  7. Selezionare l'intervallo di tempo dei log da richiamare specificando l'ora di inizio definita dall'utente e l'ora di fine definita dall'utente.

  8. Fare clic su Stima dimensione log richiami. Viene visualizzata la sezione Data set consigliati per l'analisi. La dimensione dei log selezionati per il richiamo viene visualizzata accanto all'intestazione Dimensione massima dei dati richiamati prima dell'applicazione di filtri.

    Si noti che l'ora di inizio e l'ora di fine vengono estese per allinearsi alla struttura dell'indice di log in base ai bucket. Pertanto, quando si visualizza l'elenco dei richiami attivi o si visita la scheda Attività, è possibile che l'orario di inizio e fine venga esteso oltre l'intervallo di tempo scelto.

  9. Si consiglia un intervallo di tempo alternativo in base alla disponibilità dei dati. Per selezionare l'intervallo di tempo specificato in precedenza anziché l'intervallo di tempo consigliato, abilitare la casella di controllo Non utilizzare il data set consigliato per il richiamo

  10. Specificare la Query per filtrare il data set. Escludere l'ora e il set di log dalla query.

    La specifica dei filtri riduce le dimensioni effettive dei dati richiamati. Tuttavia, il filtro non influisce su questa stima.

    Nota

    Nella query sono supportati solo i filtri di ricerca o l'espressione regolare. Evitare di aggiungere tubi, aggregati o funzioni statistiche alla query.

    È possibile utilizzare qualsiasi campo di log per filtrare i dati con la query, ad eccezione dell'ora e del set di log.

    Alcuni esempi di ricerche non valide:

    • Entity = ‘test1’ | search ‘xyz’

      Utilizzare, invece, Entity = 'test1' and 'xyz', che è un valore valido. Analogamente, esempi più validi includono 'Entity = 'test1' e 'Log Source' = 'AVDF Alert Linux Syslog' and 'xyz'.

    • Entity = ‘test1’ | stats count

      La query precedente non dispone di una soluzione alternativa perché dispone di una funzione statistica e di una pipe. Tuttavia, l'utilizzo solo del filtro entità è valido Entity = ‘test1’.

  11. Fare clic su Crea richiesta di richiamo per procedere con il richiamo dei log selezionati.

    L'attività di richiamo è elencata nella pagina Archiviazione richieste di richiamo. La tabella specifica lo stato, l'intervallo di tempo, la dimensione dei dati e la data e l'ora di richiesta dell'attività di richiamo, l'utente che ha avviato il richiamo e lo scopo del richiamo.

    Controllare lo stato dell'attività di richiamo. È possibile utilizzare i log richiamati per la visualizzazione e l'analisi al termine dell'attività di richiamo.

    Nota

    Se lo stato del richiamo è PARTIAL_RECALLED, rilasciare e richiamare di nuovo poiché il richiamo corrente non include dati completi per l'analisi.

    Se l'icona della dimensione dei dati per una raccolta è visualizzata in arancione, sono disponibili nuovi dati di log aggiuntivi da richiamare. Fare clic sull'icona Dati nuova icona dati e fare clic su Richiama nuovi dati per avviare il richiamo dei nuovi dati. Viene visualizzata la finestra di dialogo Richiama nuovi dati. La query per filtrare il data set e l'intervallo di tempo per il richiamo dei dati sono predefiniti. Specificare lo scopo del richiamo e fare clic su Crea richiesta di richiamo.

  12. Dopo l'uso attivo dei log richiamati, se si desidera rilasciarli nuovamente nel pool di archivi, fare clic sull'icona del menu Azioni Icona Azioni nella riga corrispondente ai log richiamati e selezionare Release.

    I log richiamati verranno quindi rilasciati di nuovo nel pool dell'archivio. Ciò ti consentirà di ottimizzare le dimensioni e i costi dello storage.

    Nota

    Quando si rilasciano i log richiamati mediante l'API REST, prendere nota dell'intervallo di tempo di richiamo dalla console o dall'interfaccia CLI e formattare l'ora come indicato di seguito.

    • Ora di inizio richiamo: arrotonda per difetto (piano) il valore. Se l'ora di inizio del richiamo è From Mon, Mar 7, 2022, 05:45:33 UTC, arrotondare l'ora per difetto e specificarla come from_time=2022-03-07T5:45:32.000Z.
    • Ora di fine richiamo: arrotonda per eccesso il valore. Se l'ora di fine del richiamo è To Wed, Mar 15, 2023, 17:26:53 UTC, arrotondare l'ora e specificarla come to_time=2023-03-15T17:26:54.000Z.

Se si ottengono dati di log duplicati in Log Explorer o Dashboard perché sono presenti due o più richiami sovrapposti, è possibile aggiungere il predicato query recall purpose nella ricerca per visualizzare solo il richiamo pertinente. Vedere Previsione query per filtrare i log richiamati

Rimuovi dati di log

Oracle Logging Analytics consente di rimuovere gli eventi di log caricati dall'agente o da un caricamento su richiesta per ridurre la dimensione dell'indice dei dati di log.

La rimozione consente di ridurre l'utilizzo per ridurre i costi per eccedenza. Oracle Logging Analytics può rimuovere automaticamente i dati di log in base a una pianificazione impostata o manualmente in base alle esigenze. Prima di rimuovere i dati di log, creare i criteri IAM per impostare le autorizzazioni per il task. Vedere Consenti agli utenti di rimuovere i dati di log.

Esistono diversi modi per rimuovere i dati di log.

  • Rimuovendo su richiesta: tutti i dati di log del compartimento specificato creati prima dell'intervallo di tempo selezionato vengono rimossi.

    Per utilizzare l'interfaccia CLI per la rimozione su richiesta, vedere purge-storage-data.

    Per utilizzare l'API REST per la rimozione su richiesta, vedere PurgeStorageData.

  • Creazione di un criterio di rimozione: è possibile rimuovere i vecchi dati di log specificando una pianificazione per la rimozione e la query per filtrare i dati da rimuovere. Se si desidera automatizzare l'attività di rimozione, è possibile creare un criterio di rimozione specificando la pianificazione di rimozione, selezionando i dati di log da rimuovere e abilitando il criterio.

    Per utilizzare l'interfaccia CLI per creare un criterio di rimozione, vedere create-standard-task.

    Per utilizzare l'API REST per creare un criterio di rimozione, vedere CreateScheduledTask.

    Quando si utilizza CLI o API REST per creare un criterio di rimozione, il valore del parametro task-type deve essere impostato su PURGE.

  1. Aprire il menu di navigazione e fare clic su Osservabilità e gestione. In Logging Analytics, fare clic su Amministrazione. Viene visualizzata la pagina Panoramica dell'amministrazione.

    Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Risorse. Fare clic su Storage.

    Viene visualizzata la pagina Memorizzazione.

  2. Nella pagina Memorizzazione è possibile rimuovere i dati di log in uno dei seguenti metodi:
    • Eseguire la rimozione su richiesta:

      Fare clic su Rimuovi log. Viene visualizzata la finestra di dialogo Rimuovi log.

      • Selezionare il compartimento in cui devono essere rimossi i log.

      • Specificare se anche i compartimenti secondari devono essere inclusi nella rimozione.

      • Selezionare la data e l'ora precedenti alla raccolta dei dati di log da rimuovere.

        L'azione di rimozione viene eseguita sui dati di log di tutti i bucket nel compartimento selezionato raccolti prima del periodo di tempo specificato. Ad esempio, se si specificano la data e l'ora come November 2, 2020 12:00:00 e il compartimento Analyze, i dati di log con l'indicatore orario precedente a November 2, 2020 12:00:00 memorizzati nel compartimento Analyze vengono eliminati.

      • Nel campo Query, immettere la query per selezionare un set specifico di dati di log. Ad esempio, per selezionare i log dalle entità di tipo Host Linux, specificare la query 'Entity Type'='Host (Linux)'.

        Vedere Query di esempio per la rimozione dei dati di log.

      • Fare clic su Stima storage recuperato per determinare le dimensioni dello storage che è possibile recuperare in base alla selezione effettuata nei campi precedenti.

      • Fare clic su Rimuovi.

    • Creare un criterio di rimozione per rimuovere i log in base a una query o alla durata:

      In Criteri di rimozione fare clic su Crea. Viene visualizzata la finestra di dialogo Crea criterio di rimozione.

      • Immettere un nome per il nuovo criterio di rimozione.

      • Selezionare il compartimento del gruppo di log in cui eseguire una query per i log. Facoltativamente, è possibile specificare se è necessario eseguire query anche sui compartimenti secondari per i log specificati.

      • In Rimuovi log più vecchi di, selezionare il periodo di tempo a partire dal quale i dati di log devono essere rimossi.

      • In Intervallo pianificazione selezionare la periodicità e l'ora dell'azione di rimozione.

      • Nel campo Query, immettere la query per selezionare un set specifico di dati di log. Ad esempio, per selezionare i log dall'origine Apache HTTP Server Access Logs, specificare la query 'Log Source'='Apache HTTP Server Access Logs'.

        Vedere Query di esempio per la rimozione dei dati di log.

      • Fare clic su Stima storage recuperato per determinare la dimensione dello storage che verrà recuperato se le selezioni effettuate nei campi precedenti dovessero essere applicate ora.

      • Facoltativamente, fare clic su Mostra opzioni avanzate e aggiungere tag al criterio di rimozione.

      • Fare clic su Crea.

      Il criterio di rimozione viene creato e verrà eseguito periodicamente come impostato nei passi precedenti.

      Nota

      Se un criterio di rimozione viene sospeso a causa della mancanza di autorizzazioni, dopo aver modificato le istruzioni dei criteri in base alle esigenze, Riprendi manualmente il task di rimozione.

    Per eliminare un criterio, fare clic sull'icona Azioni Icona Azioni accanto al nome del criterio e fare clic su Elimina.

    Per visualizzare le attività di rimozione eseguite, nella pagina Memorizzazione, in Risorse, fare clic su Report attività. Viene visualizzata la pagina Report attività che riepiloga tutte le attività di memorizzazione. Utilizzare i filtri Stato e Ora per visualizzare le attività di rimozione preferite.

Consenti agli utenti di rimuovere i dati di log

Per rimuovere i dati di log, prima impostare le autorizzazioni corrette creando i criteri IAM riportati di seguito.

  1. Creare un gruppo dinamico per consentire le rimozioni per i compartimenti in cui si desidera consentire le rimozioni:

    ALL {resource.type='loganalyticsscheduledtask', resource.compartment.id='<compartment ocid>'}

    In alternativa, per consentire le eliminazioni su tutti i compartimenti:

    ALL {resource.type='loganalyticsscheduledtask'}
  2. Creare criteri per consentire al gruppo dinamico di eseguire l'operazione di rimozione:

    allow dynamic-group <group_name> to read compartments in tenancy
    allow dynamic-group <group_name> to {LOG_ANALYTICS_STORAGE_PURGE} in tenancy
    allow dynamic-group <group_name> to {LOG_ANALYTICS_QUERY_VIEW} in tenancy
    allow dynamic-group <group_name> to {LOG_ANALYTICS_STORAGE_WORK_REQUEST_CREATE} in tenancy
    allow dynamic-group <group_name> to {LOG_ANALYTICS_LOG_GROUP_DELETE_LOGS} in tenancy
    allow dynamic-group <group_name> to {LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ} in tenancy
    Nota

    • Per il corretto funzionamento del criterio di rimozione, è necessario creare le autorizzazioni read compartments, LOG_ANALYTICS_STORAGE_PURGE e LOG_ANALYTICS_QUERY_VIEW a livello di tenancy. Per limitare l'autorizzazione dell'azione di rimozione a compartimenti specifici, è possibile impostare le autorizzazioni LOG_ANALYTICS_STORAGE_WORK_REQUEST_CREATE, LOG_ANALYTICS_LOG_GROUP_DELETE_LOGS e LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ a livello di compartimento richiesto.

    • Nelle istruzioni dei criteri precedenti relative al gruppo dinamico, se il gruppo dinamico si trova in un dominio diverso da Predefinito, il formato dell'istruzione dei criteri deve essere:

      allow dynamic-group '<domain>'/'<group_name>' to ...

      Racchiudere il nome del dominio e il nome del gruppo dinamico tra apici.

  3. Inoltre, assicurarsi che l'utente disponga dell'autorizzazione MANAGE per loganalytics-features-family e loganalytics-resources-family. Se l'utente che crea la rimozione su richiesta o pianificata dispone dei privilegi di amministratore, le autorizzazioni richieste sono già disponibili:

    allow group <group_name> to MANAGE loganalytics-features-family in tenancy
    allow group <group_name> to MANAGE loganalytics-resources-family in tenancy

Alcune delle istruzioni dei criteri di cui sopra sono incluse nei modelli di criteri definiti da Oracle immediatamente disponibili. Si consiglia di prendere in considerazione l'utilizzo del modello per il caso d'uso. Vedere Modelli di criteri definiti da Oracle per casi d'uso comuni.

Per informazioni sui gruppi dinamici e sui criteri IAM, vedere Documentazione OCI: Gestione dei gruppi dinamici e Documentazione OCI: Gestione dei criteri.

Query di esempio per la rimozione dei dati di log

Fornire una query di filtro semplice per identificare i dati di log che devono essere rimossi. In caso di caratteri jolly nella query, ad esempio *, ? e %, non utilizzarli nel criterio di rimozione. Oracle consiglia di utilizzare le definizioni dei campi estesi per i dati futuri nei task di rimozione.

Per istruzioni sulla creazione di query per filtrare i dati di log, vedere Ricerca query.

Eliminare Tutti i dati precedenti a 30 giorni ogni domenica a mezzanotte:

  • Rimozione di log precedenti a: 30 Days
  • Intervallo di pianificazione: Every Week, giorno: Sunday, ora: 00:00, fuso orario: Asia/Calcutta
  • Query: *

Eliminare i log dall'origine Log di audit OCI più vecchi di 2 mesi:

  • Rimuovi log più vecchio di: 2 Months
  • Query: 'Log Source' = 'OCI Audit Logs'

Rimuovere il log per un'origine log ed entità specifiche associata all'origine precedente a 1 anno:

  • Rimuovi log più vecchi di: 1 Year
  • Query: 'Log Source' = 'OCI VCN Flow Unified Schema Logs' and Entity in ('Entity1', 'Entity2')

Predicato query per filtrare i log richiamati

È possibile utilizzare il predicato Recall per filtrare solo i log richiamati, solo i dati attivi o entrambi. Fornire un valore corrispondente al nome del richiamo. È possibile utilizzare operatori booleani e di confronto quali =, !=, IN, NOT IN, LIKE e NOT LIKE nella query.

Ad esempio:

  • Per filtrare solo i dati da Analisi indisponibilità 2025-03-01:

    Recall = 'Outage Analysis 2025-03-01'
  • Per filtrare i dati sia da Analisi del traffico di rete 2024 che da Traffico giorno lavorativo 2024:

    Recall IN ('Network Traffic Analysis', 'Labor Day Sale')
  • Per filtrare i dati da tutti i richiami con nome o scopo, ad esempio Analisi interruzioni 2025...:

    Recall like 'Outage Analysis 2025*'
  • Per filtrare tutti i dati diversi da Traffico giorno lavorativo 2024 e Traffico di Natale 2024, effettuare le operazioni riportate di seguito.

    Recall not in ('Labor Day Traffic 2024', 'Christmas Traffic 2024')
  • Per visualizzare solo i dati attivi:

    Recall = null

Visualizzare report attività di storage

È possibile visualizzare il riepilogo delle attività di archiviazione, richiamo, rilascio e rimozione per mantenere uno stretto controllo sull'utilizzo dello storage e anche per tenere traccia dello stato dei log delle chiavi che hanno fatto parte delle attività.

  1. Aprire il menu di navigazione e fare clic su Osservabilità e gestione. In Logging Analytics, fare clic su Amministrazione. Viene visualizzata la pagina Panoramica dell'amministrazione.

  2. Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Risorse. Fare clic su Storage.

    Viene visualizzata la pagina Memorizzazione.

  3. Nel pannello sinistro, in Risorse, fare clic su Report attività.

    Nella pagina viene visualizzato il riepilogo delle attività di memorizzazione avviate, ad esempio il criterio di rimozione, la rimozione su richiesta, l'archiviazione, l'archiviazione della richiesta di richiamo e il rilascio del richiamo.

  4. Utilizzare i filtri Tipo di attività, Stato e Ora nel pannello sinistro per limitare la ricerca delle attività di storage.

  5. Espandere la riga dell'attività di memorizzazione per visualizzare ulteriori dettagli.