Nota:

• Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriversi a un account gratuito, vedere Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
• Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti Oracle Cloud Infrastructure. Al termine del laboratorio, sostituire questi valori con quelli specifici del tuo ambiente cloud.

Analizzare i log di esempio con OCI Logging Analytics

Introduzione

La telemetria dei log contiene grandi volumi in un ambiente aziendale standard. Come è possibile determinare se i dati di log contengono interessanti eventi di log? Qual è la procedura per correlare gli eventi di log appartenenti a un flusso aziendale specifico di tutte le applicazioni? Come si identificano i flussi aziendali che si comportano in modo anomalo? OCI Logging Analytics è una soluzione cloud che aggrega, indicizza e analizza una vasta gamma di dati di log provenienti da ambienti on premise e multicloud. Consente di cercare, esplorare e correlare questi dati, ricavare insight operativi e prendere decisioni informate. Logging Analytics può includere, analizzare e correlare i log di quasi tutte le origini. Le attività di correlazione sfruttano sia l'apprendimento automatico integrato che un linguaggio di query sofisticato.
In questa esercitazione viene descritto come utilizzare Oracle Cloud Infrastructure Logging Analytics per eseguire facilmente questi task, tra cui il rilevamento dei valori anomali, il clustering degli eventi, la correlazione dei log e il rilevamento delle anomalie.

Obiettivi

Scopri come risolvere i problemi analizzando i file di log utilizzando algoritmi di apprendimento automatico predefiniti, dashboard interattivi e contestuali per individuare rapidamente i problemi e identificare le cause principali mediante OCI Logging Analytics.

Prerequisiti

Nota: è possibile utilizzare un account di prova per questa esercitazione, tuttavia se si converte l'account in "Sempre gratis" si verrà disconnessi dal servizio e non si sarà in grado di utilizzarlo per questa esercitazione.

Preparazione dell'ambiente

Devi essere un amministratore OCI ed eseguire questi passi all'interno di una singola area.

Esecuzione di task generici di configurazione dei prerequisiti per impostare la tenancy di Oracle Cloud Infrastructure e utilizzare Oracle Logging Analytics.

Abilita Logging di analisi

Se si utilizza Logging Analytics per la prima volta nell'ambiente corrente, è necessario abilitare il servizio eseguendo i passi riportati di seguito. Se è stata abilitata l'opzione Logging Analytics, passare alla sezione Carica log campioni.

1. Il servizio Logging Analytics è disponibile dal menu della console OCI di livello superiore. Passare a Observability & Management e fare clic su Logging Analytics.

   

2. Se si sta utilizzando il servizio per la prima volta in quest'area, esaminare la pagina di inserimento che fornisce alcuni dettagli di alto livello del servizio e un'opzione per iniziare a utilizzare Logging Analytics. Fare clic su Start Using Logging Analytics.

   

3. Rivedere i criteri creati in modo automatico. Se non esiste, viene creato un gruppo di log denominato Predefinito. Dopo aver abilitato il servizio Logging Analytics, fare clic su Imposta inclusione per continuare.

   

4. Selezionare Configura analisi log di audit OCI in quest'area e fare clic su Avanti.

   

5. Dopo aver esaminato le modifiche, fare clic su Imposta inclusione.

   

6. Dopo aver abilitato l'analisi dei log di audit OCI, fare clic su Vai al dashboard dei log di audit OCI.

   

Carica log di esempio

1. Eseguire il login alla console OCI utilizzando le credenziali della tenancy.

2. Assicurati di stare nella tua area di origine.

   

3. Aprire una Cloud Shell facendo clic sull'icona a destra del selettore Area. Cloud Shell verrà aperta nella parte inferiore della finestra del browser e sarà disponibile tra alcuni minuti.

4. Eseguire i comandi indicati di seguito.

   wget https://objectstorage.us-phoenix-1.oraclecloud.com/p/RHMd3hXQ4v33Bm7YE6IONjSvsNPFBNAf7BkcVgysjr9wgNA3gzZEB5DevHqkMR1t/n/ax1zffkcg1fy/b/oci_quick_start_script_do_not_delete/o/logging-analytics-demo-v1.0.zip
   

   unzip logging-analytics-demo-v1.0.zip
   

   cd logging-analytics-demo
   

   ./setup.sh
   

   Output di esempio per il comando ./setup.sh:

   Running demo setup script: Jan-12-2021 
   Checking to see if compartment logging-analytics-demo already exists 
   Does not exist yet, create compartment 
   . . . 
   Create log directories 
   Update Log Record timestamps
   Loading files ...
   Processing source/cisco-asa (convert - I file(s)) - Cisco ASA Logs
   . . .
   Processed in 12 seconds
   Compressing files 
   Uploading Logs 
   . . .
   Uploading oci_api_gw_access.zip
   Uploading oci_api_gw_exec.zip
   

   Lo script di impostazione imposterà tutte le risorse OCI necessarie e caricherà i dati di log di esempio.

   Nota: lo script di impostazione è rieseguibile. Se prima sono stati caricati gli stessi file, fare clic sull'icona di navigazione, fare clic su Observability & Management, passare a Logging Analytics e fare clic su Administration. In Risorse fare clic su Caricamenti. Selezionare logging-analytics-demo e eliminare questo caricamento prima di eseguire di nuovo lo script. Quando si esegue il decompressione, se viene richiesto di "sostituire", rispondere con "A" ([A]ll).

   Lo script di impostazione crea anche un gruppo di amministratori privilegiati denominato Logging-Analytics-SuperAdmins. Per consentire ad altri utenti di OCI di utilizzare Logging Analytics e analizzare questi log di esempio, aggiungere i seguenti utenti a questo gruppo come indicato di seguito.

   a. Nel menu della console OCI, andare a Identità > Utenti.

   b. Fare clic sul nome dell'utente che utilizzerà Logging Analytics

   c. Nella parte inferiore della schermata, fare clic sul pulsante Aggiungi utente a gruppo.

   d. Nella finestra di dialogo, scegliere il gruppo Logging-Analytics-SuperAdmins e fare clic sul pulsante Aggiungi per salvare le modifiche.

5. Per verificare che i record di log di esempio siano stati caricati correttamente e che l'ambiente sia impostato correttamente, effettuare le operazioni riportate di seguito.

   Verificare la creazione delle entità facendo clic sull'icona di navigazione, fare clic su Observability & Management, passare a Logging Analytics e fare clic su Administration. In Risorse fare clic su Entità. Selezionare il compartimento logging-analytics-demo. L'elenco delle entità dovrebbe essere simile al seguente:

   

   Verificare il caricamento passando a Logging Analytics e fare clic su Amministrazione. In Risorse fare clic su Caricamenti. Fare clic su logging-analytics-demo.

   Fare clic su Avvertenze nel menu a sinistra e confermare che non sono presenti avvertenze o errori.

   Passare quindi a File caricati e fare clic su Stato e selezionare per filtrare in base a Non riuscito. Non dovrebbe essere visualizzato alcun record. Impostare lo stato su In corso. Ciò non dovrebbe mostrare alcun record, a indicare che tutti i file sono stati caricati correttamente.

   

Acquisire familiarità

1. Fare clic su Visualizza in Log Explorer nel menu a sinistra della pagina File caricati.

   

2. L'immagine seguente presenta le parti principali dell'interfaccia utente che verranno utilizzate in questa esercitazione.

   

   1) Barra delle query, con i pulsanti Cancella, Cerca nella Guida e Esegui all'estremità destra della barra.

   2) menu Intervallo di tempo e menu Azioni in cui è possibile trovare azioni quali Apri, Salva e Salva con nome.

   3) Pannello Campi, in cui è possibile selezionare origini e campi per filtrare i dati.

   4) Pannello Visualizzazione, in cui è possibile selezionare origini e campi per filtrare i dati.

   5) Pannello principale, in cui gli output di visualizzazione vengono visualizzati sopra i risultati della query.

3. L'intervallo di tempo deve rimanere "Personalizzato" per l'intera esercitazione. Se non è possibile ripristinare l'intervallo di tempo su "Personalizzato", è possibile tornare alla pagina "File caricati" e fare clic su Visualizza in Log Explorer.

   INTESI: se si perde un passo, è possibile utilizzare il pulsante Indietro del browser. Tuttavia, non utilizzare il pulsante Aggiorna.

Esplorare i log mediante la configurazione di cluster

1. Fare clic su Log di flusso VCN OCI per eseguire il drill-down ai dati del flusso VCN.

   

2. Passare a Azioni e fare clic su Salva con nome per salvare la ricerca come "Widget".

   

3. Completare "Salva ricerca" e fare clic su Salva.

   Al momento il widget può essere aggiunto a un dashboard direttamente da qui o in un secondo momento dal menu del dashboard.

   

4. Creare un paio di ulteriori widget visualizzando i vari log degli altri.

   In seguito verranno aggiunti a un dashboard.

5. Tornare a visualizzare tutti i dati dei log.

   Suggerimento: cancellare la barra delle query e fare clic su Esegui.

   Si stanno utilizzando circa 74.000 record totali. È più facile visualizzare grandi volumi di dati come cluster correlati. Logging Analytics - Clustering (ML non supervisionato) utilizza i dati di log e l'esperienza nel dominio arricchita per trovare gli schemi nei dati. Il clustering funziona sia su testo che su numeri, consentendo di ridurre grandi volumi di dati a meno modelli per il rilevamento dell'anomalia. Fare clic sul pulsante Cluster nel pannello di visualizzazione.

   

6. Esegui il drill-down di cluster, potenziali problemi, valori anomali e tendenze diversi.

   Logging Analytics utilizza ML non supervisionato per trovare i cluster correlati nei dati. In questo modo, i registri ~74k vengono ridotti a 629 pattern di cluster, in tempo reale.

   Nota: i numeri visualizzati potrebbero essere leggermente diversi da quelli mostrati nell'esercitazione.

   

7. Fare clic sulla scheda Potential Issues.

   Dei 629 cluster, 76 sono stati automaticamente identificati come potenziali problemi.

   

8. Fare clic sulla scheda Valori anomali.

   Questi problemi si sono verificati una sola volta e indicano un'anomalia nel sistema.

   

9. Ora, fare clic sulla scheda Trend.

   Si tratta di pattern di cluster correlati nel tempo. Fare clic su 8 tendenze simili per visualizzare un set di log correlati dai log degli avvisi di database. Tenere presente che il numero esatto di andamenti visualizzati può variare in base alla finestra temporale selezionata.

   

10. Salvare la ricerca seguendo le stesse operazioni eseguite in precedenza al Passo 3.

11. Crea un'altra visualizzazione per comprendere la distribuzione del traffico di rete.

    Modificare innanzitutto la visualizzazione in Casella e selezionare un nuovo set di dati, OCI VCN Flow Logs.

    

    Nella casella di ricerca del pannello Campi cercare la stringa "Origine". Trascinare quindi "IP di origine" dalla casella "Altro" alla casella "Raggruppa per" nel pannello Visualizzazione e fare clic su Applica.

    

    Qui è possibile visualizzare la distribuzione del log in base a "IP di origine".

    

12. Trovare la distribuzione di "IP di destinazione" utilizzando il linguaggio di query.

    Immettere la query seguente nella barra delle query e fare clic su Esegui.

    'Log Source' = 'OCI VCN Flow Logs’ | stats count('Destination IP') by 'Destination IP' 
    

    

    Viene visualizzato un grafico a torta (impostazione predefinita) con record.

    

13. Modificare la visualizzazione in una mappa struttura selezionando "Tree map" dal menu di visualizzazione.

    Selezionare "Tree map" dal menu di visualizzazione.

    In questa pagina è possibile visualizzare la distribuzione degli IP di destinazione. Salva con nome questa ricerca/widget.

    

Esplora log utilizzando "Link"

1. Correlare i dati con altre origini dati utilizzando la funzione Collegamento non supervisionato. Immettere quanto segue nella barra delle query e fare clic su Esegui.

   Suggerimento: premere Ctrl-I nella barra delle query per formattare la query.

   'Upload Name' = 'logging-analytics-demo' and 'Log Source' = 'OCI VCN Flow Logs' 
   | eval 'Source Name' = if('Source Port' = 80,
                          HTTP,
                          'Source Port' = 443,
                          HTTPS,
                          'Source Port' = 21,
                          FTP,
                          'Source Port' = 22,
                          SSH,
                          'Source Port' = 137,
                          NetBIOS,
                          'Source Port' = 648,
                          RRP,
                          'Source Port' = 9006,
                          Tomcat,
                          'Source Port' = 9042,
                          Cassandra,
                          'Source Port' = 9060,
                          'Websphere Admin. Console',
                          'Source Port' = 9100,
                          'Network  Printer',
                          'Source Port' = 9200,
                          'Elastic Search',
                          Other) 
    | eval 'Destination Name' = if('Destination Port' = 80,
                               HTTP,
                               'Destination Port' = 443,
                               HTTPS,
                               'Destination Port' = 21,
                               SSH,
                               'Destination Port' = 22,
                               FTP,
                               'Destination Port' = 137,
                               NetBIOS,
                               'Destination Port' = 648,
                               RRP,
                               'Destination Port' = 9006,
                               Tomcat,
                               'Destination Port' = 9042,
                               Cassandra,
                               'Destination Port' = 9060,
                               'Websphere Admin. Console',
                               'Destination Port' = 9100,
                               'Network  Printer',
                               'Destination Port' = 9200,
                               'Elastic Search',
                               Other) 
    | eval Source = 'Source IP' || ':' || 'Source Port' 
    | eval Destination = 'Destination IP' || ':' || 'Destination Port' 
    | link Source,
       Destination 
    | stats avg('Content Size Out') as 'Transfer Size (bytes)',
       unique('Source Name') as 'Traffic From',
       unique('Destination Name') as 'Traffic To' 
    | classify topcount = 300 correlate = -*,
       Source,
       Destination 'Start Time',
       'Traffic From',
       'Transfer Size (bytes)',
       'Traffic To' as Network                        
   

   La funzionalità eval consente di convertire i nomi delle porte in applicazioni.

   L'ultima parte della query aggiunge ulteriori campi di valutazione del tempo di query, che creano una riga univoca per ogni origine e destinazione e calcola il trasferimento di rete medio tra questi endpoint. Inoltre, si ottiene un nome tradotto per le porte di origine e destinazione come 'Traffic Da' e 'Traffic A'.

2. Passare a Analizza, fare clic su Crea grafico e compilare i campi come indicato di seguito.

   

3. Analizza i cluster e analizza i datapoint specificati, creando l'analisi riportata di seguito.

   

4. È possibile scegliere campi diversi per controllare le dimensioni e i colori degli elementi nel grafico.

   

5. Passare il puntatore del mouse sugli elementi per visualizzare le relative informazioni dettagliate.

   

6. È possibile fare clic sugli elementi per avere accesso al relativo contenuto.

   

7. Salvare come widget.

   Passare a Opzioni e fare clic su Opzioni di visualizzazione. Nella sezione 'Opzioni dashboard' del pannello, deselezionare tutte le opzioni e selezionare solo 'Analizza' e 'Tabella dati'. Fare clic su Salva modifiche. Passare quindi a Azioni e fare clic su Salva con nome per salvare l'analisi come widget.

Creazione di dashboard

1. Passare a Logging Analytics e fare clic su Dashboard.

   

2. Fare clic su Crea.

   Immettere un nome dashboard, il compartimento creato in precedenza (logging-analytics-demo) e utilizzare le ricerche salvate disponibili come widget per il dashboard sul lato destro. Trascinare un widget sullo sfondo. I pannelli possono essere dimensionati e spostati sullo sfondo. Aggiungi altri widget creati in precedenza. Il dashboard può avere un aspetto simile al seguente:

   

   Oppure, come questo:

   

Per saperne di più

Per raccogliere continuamente i dati di log da entità on premise, puoi installare Management Agent sui tuoi host, on premise o in un'infrastruttura cloud. Vedere i dettagli in Usa Oracle Management Agents.

Per ulteriori informazioni sulle associazioni entità utilizzate per creare le relazioni, vedere:

Crea entità

Configura nuova associazione origine-entità

Tipi di entità modellati in Logging Analytics

Per ulteriori informazioni tecniche, vedere Logging Analytics.

Esplora altri laboratori sul Oracle Learn o accedi ad altri contenuti di apprendimento gratuito sul canale Oracle Learning YouTube. Inoltre, visitare Oracle University per diventare un Explorer Oracle Learning.

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti di apprendimento gratuito sul canale Oracle Learning YouTube. Inoltre, visitare education.oracle.com/learning-explorer per diventare Oracle Learning Explorer.

Per la documentazione del prodotto, visitare il sito Oracle Help Center.

---

Titolo e informazioni sul copyright

Analyze Sample Logs with OCI Logging Analytics Tutorial

F50674-01

November 2021

Copyright © 2021, Oracle and/or its affiliates.