Nota:

Analizzare i log di esempio con OCI Logging Analytics

Introduzione

Un ambiente aziendale tipico è caratterizzato da enormi quantità di telemetria basata sui log. Trovare dati ed eventi di log interessanti e correggerli a un flusso aziendale specifico proveniente da tutte le applicazioni o identificare comportamenti anomali può essere problematico. OCI Logging Analytics è una soluzione cloud che aggrega, indicizza e analizza una vasta gamma di dati di log provenienti da ambienti on premise e multicloud. Consente di cercare, esplorare e correlare questi dati, ricavare insight operativi e prendere decisioni informate. Logging Analytics può includere, analizzare e correlare i log di quasi tutte le origini. Le attività di correlazione sfruttano sia l'apprendimento automatico integrato che un linguaggio di query sofisticato.
In questa esercitazione viene descritto come utilizzare OCI Logging Analytics in un ambiente preconfigurato per eseguire con facilità questi task, tra cui il rilevamento dei valori anomali, il clustering degli eventi, la correlazione dei log e il rilevamento delle anomalie.

Obiettivi

Scopri come risolvere i problemi analizzando i file di log utilizzando algoritmi di apprendimento automatico predefiniti, dashboard interattivi e contestuali per individuare rapidamente i problemi e identificare le cause principali mediante OCI Logging Analytics.

Prerequisiti

Operazioni preliminari

Una volta avviato il laboratorio, viene presentato il proprio desktop. Verrà utilizzato un browser per eseguire il login a un ambiente Oracle Cloud Infrastructure progettato e configurato per eseguire task specifici di Logging Analytics.

Il login verrà eseguito come utente amministratore OCI ed eseguirà i passi di laboratorio all'interno di una singola area.

Login all'ambiente OCI

  1. Se non è ancora stato fatto, andare al desktop, aprire il file Luna-Lab.html facendo doppio clic sul file. Se viene visualizzata una finestra di dialogo, controllare che Chrome sia selezionato come browser predefinito e deselezionare l'invio di statistiche e report di crash a Google.

  2. Prendi nota dei dettagli in questo file, eseguendo lo scorrimento verso il basso per visualizzarli tutti: un collegamento rapido a OCI, il nome utente e la password e altri dettagli di laboratorio. Fare clic sul pulsante OCI CONSOLE. L'interfaccia di login OCI viene aperta in una scheda separata. Fare clic sul pulsante Console OCI e il login a una console OCI viene visualizzato in una nuova scheda del browser. Se viene visualizzato un messaggio relativo ai cookie sul sito, fare clic sul pulsante Accetto tutti i cookie.

  3. Passare alla prima scheda, copiare il nome utente e incollarlo nel campo Nome utente della seconda scheda.

  4. Ripetere il passo 3, questa volta copiare la password, quindi fare clic su Accedi. Salvare la password se si desidera e ignorare qualsiasi altro messaggio che potrebbe essere visualizzato.

    Poiché il compartimento dispone di un gruppo Super Administrators e tu sei un amministratore privilegiato in tale gruppo, dovrai passare dal compartimento radice al compartimento specifico a cui sei stato assegnato, quindi il messaggio di errore relativo alle risorse rosse durante il recupero dei risultati delle query. Nella prima scheda Laboratorio Luna scorrere verso il basso e prendere nota del nome compartimento OCI assegnato.

  5. Nella parte superiore sinistra della console OCI fare clic sull'icona di navigazione, fare clic su Observability & Management, andare a Logging Analytics, quindi fare clic su Log Explorer. Ignorare l'errore durante il recupero dei risultati della query.

  6. Fare clic sull'icona Filtro a destra di Log Explorer.

    Passare quindi alla prima scheda del browser, individuare il nome del compartimento OCI e fare clic su Copia. Tornare all'ambiente OCI, incollare il nome del compartimento nel campo di ricerca Compartimento dei gruppi di log e selezionare il compartimento. Fare clic su Applica.

  7. Nella finestra temporale (in alto a destra) selezionare Ultimi 14 giorni.

  8. Per verificare che tutte le entità da cui si stanno raccogliendo i log siano impostate correttamente, andare al menu in alto a sinistra, selezionare Amministrazione. Nella pagina Panoramica amministrazione impostare il campo Compartimento su quello assegnato allo stesso modo nel passo precedente. Chiudere le caselle di errore rosso e fare clic su Entità. L'elenco delle entità dovrebbe essere simile all'immagine riportata di seguito.

    L'ambiente in uso potrebbe avere più log di quelli mostrati qui e i grafici di analisi potrebbero mostrare numeri diversi. Gli ambienti predefiniti vengono migliorati periodicamente. Tuttavia, i passi di esplorazione rimangono invariati.

    immagine 2

Ora sei pronto per esplorare Logging Analytics.

Acquisire familiarità

  1. Tornare a Log Explorer (in alto a sinistra).

  2. Nelle opzioni Visualizzazioni selezionare Record con istogramma. Di seguito sono riportate le parti principali dell'interfaccia utente che verranno utilizzate in questa esercitazione.

    1) Barra delle query, con i pulsanti Cancella, Cerca nella Guida e Esegui all'estremità destra della barra.

    2) menu Intervallo di tempo e menu Azioni in cui è possibile trovare azioni quali Apri, Salva e Salva con nome.

    3) Pannello Campi, in cui è possibile selezionare origini e campi per filtrare i dati.

    4) Pannello Visualizzazione, in cui è possibile selezionare la modalità di presentazione dei dati di ricerca in un formato che facilita l'operazione.

    5) Pannello principale, in cui gli output di visualizzazione vengono visualizzati sopra i risultati della query.

  3. L'intervallo di tempo deve rimanere "Personalizzato" per l'intera esercitazione. Se non è possibile ripristinare l'intervallo di tempo su "Personalizzato", è possibile tornare alla pagina "File caricati" e fare clic su Visualizza in Log Explorer.

    INTESI: se si perde un passo, è possibile utilizzare il pulsante Indietro del browser. Non utilizzare il pulsante Aggiorna.

Esplorare i log mediante la configurazione di cluster

  1. Nel grafico fare clic su Log di flusso VCN OCI per eseguire il drill-down dei dati del flusso VCN.

  2. Passare a Azioni e fare clic su Salva con nome per salvare la ricerca come "Widget".

  3. Completare "Salva ricerca" e fare clic su Salva.

    Al momento il widget può essere aggiunto a un dashboard direttamente da qui o in un secondo momento dal menu del dashboard.

  4. Creare un paio di ulteriori widget visualizzando i vari log degli altri.

    In seguito verranno aggiunti a un dashboard.

  5. Tornare a visualizzare tutti i dati dei log.

    Suggerimento: cancellare la barra delle query e fare clic su Esegui.

    Si stanno utilizzando circa 74.000 record totali. È più facile visualizzare grandi volumi di dati come cluster correlati. Logging Analytics - Clustering (ML non supervisionato) utilizza i dati di log e l'esperienza nel dominio arricchita per trovare gli schemi nei dati. Il clustering funziona sia su testo che su numeri, consentendo di ridurre grandi volumi di dati a meno modelli per il rilevamento dell'anomalia. Fare clic sul pulsante Cluster nel pannello di visualizzazione.

  6. Esegui il drill-down di cluster, potenziali problemi, valori anomali e tendenze diversi.

    Logging Analytics utilizza ML non supervisionato per trovare i cluster correlati nei dati. In questo modo, i registri ~74k vengono ridotti a 629 pattern di cluster, in tempo reale.

    Nota: i numeri visualizzati potrebbero essere leggermente diversi da quelli mostrati nell'esercitazione.

  7. Fare clic sulla scheda Potential Issues.

    Dei 629 cluster, 76 sono stati automaticamente identificati come potenziali problemi.

  8. Fare clic sulla scheda Valori anomali.

    Questi problemi si sono verificati una sola volta e indicano un'anomalia nel sistema.

  9. Ora, fare clic sulla scheda Trend.

    Si tratta di pattern di cluster correlati nel tempo. Fare clic su 8 tendenze simili per visualizzare un set di log correlati dai log degli avvisi di database. Tenere presente che il numero esatto di andamenti visualizzati può variare in base alla finestra temporale selezionata.

  10. Salvare questa ricerca seguendo le stesse operazioni eseguite sopra al passo 3.

  11. Crea un'altra visualizzazione per comprendere la distribuzione del traffico di rete.

    Modificare innanzitutto la visualizzazione in Casella e selezionare un nuovo set di dati, OCI VCN Flow Logs.

    Nella casella di ricerca del pannello Campi cercare la stringa "Origine". Trascinare quindi "IP di origine" dalla casella "Altro" alla casella "Raggruppa per" nel pannello Visualizzazione e fare clic su Applica.

    Qui è possibile visualizzare la distribuzione del log in base a "IP di origine".

  12. Trovare la distribuzione di "IP di destinazione" utilizzando il linguaggio di query.

    Immettere la query seguente nella barra delle query e fare clic su Esegui.

    Suggerimento: qualsiasi elemento copiato al di fuori dell'ambiente, da incollare all'interno dell'ambiente, deve essere incollato prima nella Clipboard, che si trova nella barra delle azioni dell'ambiente.

    'Log Source' = 'OCI VCN Flow Logs’ | stats count('Destination IP') by 'Destination IP'

    Viene visualizzato un grafico a torta (impostazione predefinita) con record.

  13. Modificare la visualizzazione in una mappa struttura selezionando "Tree map" dal menu di visualizzazione.

    Selezionare "Tree map" dal menu di visualizzazione.

    In questa pagina è possibile visualizzare la distribuzione degli IP di destinazione. Salva con nome questa ricerca/widget.

  1. Correlare i dati con altre origini dati utilizzando la funzione Collegamento non supervisionato. Immettere quanto segue nella barra delle query e fare clic su Esegui. Passare a Amministrazione e in Risorse fare clic su Caricamenti. Selezionare e copiare (Ctrl-C) il nome del caricamento. Tornare a Log Explorer e sostituire la barra delle query logging-analytics-demo con il nome di caricamento copiato (selezionare logging-analytics-demo e premere Ctrl-V), quindi fare clic su Esegui.

    Suggerimento: premere Ctrl-I nella barra delle query per formattare la query.

    'Upload Name' = 'logging-analytics-demo' and 'Log Source' = 'OCI VCN Flow Logs' 
| eval 'Source Name' = if('Source Port' = 80,
                       HTTP,
                       'Source Port' = 443,
                       HTTPS,
                       'Source Port' = 21,
                       FTP,
                       'Source Port' = 22,
                       SSH,
                       'Source Port' = 137,
                       NetBIOS,
                       'Source Port' = 648,
                       RRP,
                       'Source Port' = 9006,
                       Tomcat,
                       'Source Port' = 9042,
                       Cassandra,
                       'Source Port' = 9060,
                       'Websphere Admin. Console',
                       'Source Port' = 9100,
                       'Network  Printer',
                       'Source Port' = 9200,
                       'Elastic Search',
                       Other) 
 | eval 'Destination Name' = if('Destination Port' = 80,
                            HTTP,
                            'Destination Port' = 443,
                            HTTPS,
                            'Destination Port' = 21,
                            SSH,
                            'Destination Port' = 22,
                            FTP,
                            'Destination Port' = 137,
                            NetBIOS,
                            'Destination Port' = 648,
                            RRP,
                            'Destination Port' = 9006,
                            Tomcat,
                            'Destination Port' = 9042,
                            Cassandra,
                            'Destination Port' = 9060,
                            'Websphere Admin. Console',
                            'Destination Port' = 9100,
                            'Network  Printer',
                            'Destination Port' = 9200,
                            'Elastic Search',
                            Other) 
 | eval Source = 'Source IP' || ':' || 'Source Port' 
 | eval Destination = 'Destination IP' || ':' || 'Destination Port' 
 | link Source,
    Destination 
 | stats avg('Content Size Out') as 'Transfer Size (bytes)',
    unique('Source Name') as 'Traffic From',
    unique('Destination Name') as 'Traffic To' 
 | classify topcount = 300 correlate = -*,
    Source,
    Destination 'Start Time',
    'Traffic From',
    'Transfer Size (bytes)',
    'Traffic To' as Network

    La funzionalità eval consente di convertire i nomi delle porte in applicazioni.

    L'ultima parte della query aggiunge ulteriori campi di valutazione del tempo di query, che creano una riga univoca per ogni origine e destinazione e calcola il trasferimento di rete medio tra questi endpoint. Inoltre, si ottiene un nome tradotto per le porte di origine e destinazione come 'Traffic Da' e 'Traffic A'.

  2. Passare a Analizza, fare clic su Crea grafico e compilare i campi come indicato di seguito.

  3. Analizza i cluster e analizza i datapoint specificati, creando l'analisi riportata di seguito.

  4. È possibile scegliere campi diversi per controllare le dimensioni e i colori degli elementi nel grafico.

  5. Passare il puntatore del mouse sugli elementi per visualizzare le relative informazioni dettagliate.

  6. È possibile fare clic sugli elementi per avere accesso al relativo contenuto.

  7. Salvare come widget.

    Passare a Opzioni e fare clic su Opzioni di visualizzazione. Nella sezione 'Opzioni dashboard' del pannello, deselezionare tutte le opzioni e selezionare solo 'Analizza' e 'Tabella dati'. Fare clic su Salva modifiche. Passare quindi a Azioni e fare clic su Salva con nome per salvare l'analisi come widget.

Creazione di dashboard

  1. Passare a Logging Analytics e fare clic su Dashboard.

  2. Fare clic su Crea.

    Immettere un nome dashboard, il compartimento creato in precedenza (logging-analytics-demo) e utilizzare le ricerche salvate disponibili come widget per il dashboard sul lato destro. Trascinare un widget sullo sfondo. I pannelli possono essere dimensionati e spostati sullo sfondo. Aggiungi altri widget creati in precedenza. Il dashboard può avere un aspetto simile al seguente:

    Oppure, come questo:

Per saperne di più

Per raccogliere continuamente i dati di log da entità on premise, puoi installare Management Agent sui tuoi host, on premise o in un'infrastruttura cloud. Vedere i dettagli in Usa Oracle Management Agents.

Per ulteriori informazioni sulle associazioni entità utilizzate per creare le relazioni, vedere:

Crea entità

Configura nuova associazione origine-entità

Tipi di entità modellati in Logging Analytics

Per ulteriori informazioni tecniche, vedere Logging Analytics.

Esplora altri laboratori sul Oracle Learn o accedi ad altri contenuti di apprendimento gratuito sul canale Oracle Learning YouTube. Inoltre, visitare Oracle University per diventare un Explorer Oracle Learning.

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti di apprendimento gratuito sul canale Oracle Learning YouTube. Inoltre, visitare education.oracle.com/learning-explorer per diventare Oracle Learning Explorer.

Per la documentazione del prodotto, visitare il sito Oracle Help Center.