ルックアップの管理

Oracleログ・アナリティクスを使用すると、ルックアップのフィールドと値の組合せを追加して、イベント・データをエンリッチできます。Oracle Logging Analyticsでは、参照を使用してイベントから外部参照表にフィールドと値の組合せを照合し、一致した場合は、Oracle Logging Analyticsによってフィールドと値の組合せがイベントに追加されます。

ルックアップのタイプ:

簡易: この表には、行が単一の関係に対応するアイテムの簡易リストが含まれます。たとえば、エラーのルックアップ表を作成する場合、各行には、エラーID、エラー・メッセージ、原因、修正処理などの単一のエラーに関する情報が含まれます。簡易ルックアップの作成を参照してください。
ディクショナリ: これは、CONTAINS、CONTAINS IGNORE CASE MULTILINE REGEX、EQUALなどの演算子を使用して、フィールドとその値の論理関係を登録するためのより優れたオプションです。このタイプのルックアップを作成する演算子、例およびステップの包括的なリストは、ディクショナリ・ルックアップの作成を参照してください。

次に、Oracle Logging Analyticsで現在使用可能なOracle定義の簡易ルックアップ表の一部を示します:

BEA Error Messages
CRS Error Messages
OGC Error Messages
ORA Error Messages
TNS Error Messages

参照に対するすべての操作を実行する権限については、「参照に対するすべての操作の実行をユーザーに許可する」を参照してください。

ノート

1つのルックアップ・ファイルのサイズは10MBを超えないようにする必要があります。ただし、参照内の行数に制限はありません。

ノート

参照のコンテンツが間接的にも表示されないようにする場合は、そのユーザーに次の権限を付与しないでください。

ログのアップロード
このような制限付き参照を使用してエンリッチされたフィールドを含むログを表示します

ルックアップによるログのエンリッチの仕組み

多くの場合、ログには、分析を統合するために必要なすべての情報が含まれるわけではありません。このような場合、ログのデータをよりわかりやすくするために、すでに照合した情報を取得するためのルックアップ表を作成できます。たとえば、ログ・イベントのError IDフィールドには、エラーの説明がありません。Error IDを説明にマップするルックアップを作成し、フィールド・エンリッチメント・オプションを使用してその説明をログ・レコードの検索で使用可能にできます。ルックアップを作成できるシナリオの例:

製品在庫: 製品ID、技術仕様、価格、利用可能在庫、ラック番号
従業員情報: 従業員ID、個人情報、組織、職務、階級、給与、管理者
ライブラリ参照: タイル、作成者、サマリー、エディション、前のエディション、価格

ルックアップの使用方法

主に、ソース参照関数を使用して、取込み時に単純な参照を使用できます。「ソースでの収集時参照の使用」を参照してください。

次に示すように、問合せ時に単純な参照を使用することもできます。

次のlookup問合せでは、Error IDフィールドをマップすることでルックアップ表ORA Error Messagesからエラー・メッセージが取得され、Log SourceやEntityなどの他のフィールドとともにサマリー表に表示されます:

'Error ID' like 'ORA%' | lookup table = 'ORA Error Messages' select errmsg using 'Error ID' = errid | fields -*, 'Log Source', Entity, errmg

ログからの情報:
- Error ID: ORA%の形式で指定された、ログに含まれるエラーID
- Log Source: ログのログ・ソース
- Entity: ログのエンティティ
Oracle定義のルックアップ表ORA Error Messagesからの情報:
- errid: ORA%の形式で指定されたエラーID
- errmsg: エラーIDに対応するエラー・メッセージ
ORA Error Messagesルックアップ表で使用可能なその他の詳細は、各エラーIDのerrcause (エラーの原因)およびerraction (エラー・アクション)です。ルックアップ表の内容を表示するには、次のようにsearchlookupコマンドを使用します:
```
* | searchlookup table = 'ORA Error Messages'
```

ルックアップの詳細の表示

ナビゲーション・メニューを開き、「監視および管理」をクリックします。「ログ・アナリティクス」で、「管理」をクリックします。「管理の概要」ページが開きます。
管理リソースが、左側のナビゲーション・ペインの「リソース」の下にリストされます。「ルックアップ」をクリックします。
「ルックアップ」で、詳細を表示するルックアップをクリックします。

ルックアップの詳細ページに、作成中に指定した詳細と、ルックアップ表の内容が表示されます。「リソースの移動」、「タグの追加」、「削除」などのアクションを実行することもできます。これらのアクションの詳細については、次のセクションを参照してください。

参照で他のアクションを実行するには、「参照」リスト・ページで、参照の「コンパートメント」、「タイプ」および「作成タイプ」を選択し、「フィルタ」セクションで参照の検索を絞り込みます。タグ・フィルタを含めると、タグでルックアップをフィルタすることもできます。ルックアップを識別した後、ルックアップの行で「アクション」アイコンをクリックします。

ファイルの再アップロード: ユーザーが作成した参照の場合、新しいバージョンの参照表がある場合、または前回のアップロードに失敗した場合は、再アップロードできます。
削除: 古い参照または未使用の参照の一部を削除する必要がある場合があります。ルックアップを削除するには、「ルックアップの削除」ダイアログ・ボックスで確認します。参照は、ユーザーが作成した場合にのみ削除できます。
OCIDのコピー: 参照リソースのOCIDがコピーされます。これを使用して、Oracle Cloud Infrastructure内の任意の場所でこのリソースを参照できます。
ソースの移動: 「別のコンパートメントへのリソースの移動」ダイアログ・ボックスが表示されます。オプションで、ルックアップを移動するコンパートメントを選択し、「リソースの移動」をクリックします。
タグの追加: ログ・アナリティクス・リソースへのタグの追加を参照してください。

既存のルックアップの更新

フィールドと値の組合せでCSVファイルを更新します。
ナビゲーション・メニューを開き、「監視および管理」をクリックします。「ログ・アナリティクス」で、「管理」をクリックします。「管理の概要」ページが開きます。
管理リソースが、左側のナビゲーション・ペインの「リソース」の下にリストされます。「ルックアップ」をクリックします。
「ルックアップ」で、更新するルックアップに対応する行の「アクション」アイコンをクリックし、「ファイルを再アップロード」をクリックします。

「ファイルを再アップロード」ダイアログ・ボックスが開きます。
前に作成した更新済のルックアップCSVファイルを選択し、「アップロード」をクリックします。

簡易ルックアップの作成

簡易ルックアップを作成した後、searchlookupコマンドを使用して問合せを実行し、ルックアップの値をリストします。問合せでlookupコマンドを使用して、出力フィールドをそれらの値にマップします。

フィールドと値の組合せでルックアップCSVファイルを作成します。たとえば、エラーIDを説明にマップするルックアップを作成するには:
```
errid,description
02323,Network Not Reachable
09912,User Activity
12322,Out of Memory
```
最初の行が、後続の行の値に対するerridおよびdescriptionというタイトルのヘッダーになることに注意してください。
ナビゲーション・メニューを開き、「監視および管理」をクリックします。「ログ・アナリティクス」で、「管理」をクリックします。「管理の概要」ページが開きます。
管理リソースが、左側のナビゲーション・ペインの「リソース」の下にリストされます。「ルックアップ」をクリックします。

参照リスト・ページが表示されます。左側のナビゲーション・ペインから、ルックアップを作成する必要があるコンパートメントを選択します。
「ルックアップ」で、「ルックアップの作成」をクリックします。
「ルックアップの作成」ページで、server error code lookupsなどのルックアップ名と、オプションの説明を入力します。
「タイプ」で、「簡易」を選択します。
前に作成したルックアップCSVファイルを選択します。
オプションで、「拡張オプションの表示」セクションを展開し、参照にタグを追加します。「作成」をクリックします。

ディクショナリ・ルックアップの作成

ディクショナリ・タイプ・ルックアップの作成後、searchlookupコマンドを使用してルックアップをリストします。問合せでlinkまたはclusterコマンドを使用した後にのみ、lookupコマンドを使用して任意の問合せでフィールドにマップします。

その他のトピック:

ディクショナリ・タイプ参照は問合せ時にのみ使用でき、ソース・ファンクションの取込み時には使用できません。

クラスタおよびリンクでのディクショナリ・ルックアップの使用例は、クラスタでのディクショナリ・ルックアップの使用およびリンクでのディクショナリ・ルックアップの使用を参照してください。

ディクショナリ参照を使用して地理的位置を指定する例は、「参照を使用した地理的位置の指定」を参照してください。

フィールドと値の組合せでルックアップCSVファイルを作成します。

例:
```
Operator,Condition,Issue,Area
CONTAINS,message header or abbreviation processing failed,Processing Error,Messaging
CONTAINS,Failed to associate the transaction context with the response while marshalling,Marshalling Error,Response
CONTAINS,A RuntimeException was generated by the RMI server,Exception,RMI
```
最初の行はヘッダーで、OperatorとConditionは同じ順序で指定された必須フィールドです。後続のパラメータは、ヘッダー行で必須パラメータの後にリストされます。後続の行は、ヘッダー行に同じ順序でリストされているパラメータの値です。

有効な演算子とその使用例のリストは、次の表を参照してください。

ノート:
- フィールドにカンマが含まれる場合、フィールド全体を二重引用符で囲みます。
- フィールドに二重引用符が含まれる場合、2つの二重引用符を使用して二重引用符をエスケープします。
ナビゲーション・メニューを開き、「監視および管理」をクリックします。「ログ・アナリティクス」で、「管理」をクリックします。「管理の概要」ページが開きます。
管理リソースが、左側のナビゲーション・ペインの「リソース」の下にリストされます。「ルックアップ」をクリックします。

参照リスト・ページが表示されます。左側のナビゲーション・ペインから、ルックアップを作成する必要があるコンパートメントを選択します。
「ルックアップ」で、「ルックアップの作成」リンクをクリックします。
「ルックアップの作成」ページで、cluster dictionary lookupsなどのルックアップ名と、オプションの説明を入力します。
「タイプ」で、「ディクショナリ」を選択します。
前に作成したルックアップCSVファイルを選択します。
オプションで、「拡張オプションの表示」セクションを展開し、参照にタグを追加します。「作成」をクリックします。

CIDRMATCH演算子

CIDRMATCH演算子では、ディクショナリ・ルックアップ内でCIDR (Classless Inter-Domain Routing)一致操作ルールがサポートされます。たとえば、次のディクショナリでは、入力IPアドレスが192.0.2.0から192.0.2.255までの範囲内にある場合、Network NameとしてDatabase Networkが返されます:

Operator,Condition,Network Name
CIDRMATCH,192.0.2.10/24,Database Network

有効な演算子とその使用例のリスト

演算子	説明	例
`CONTAINS`	Conditionフィールドに指定した文字列が値に含まれる場合はTrue。大/小文字は区別されます	`CONTAINS,Request 'GetResponse' Timed out,Timeout Error`
`CONTAINS IGNORE CASE`	前と同じですが、大/小文字の区別は無視されます	`CONTAINS IGNORE CASE,request 'getresponse' timed out,Timeout Error`
`CONTAINS REGEX`	指定した正規表現に値が一致する場合はTrue	`CONTAINS REGEX,Request '\S+' Timed out,Timeout Error`
`CONTAINS IGNORE CASE REGEX`	前と同じですが、大/小文字の区別は無視されます	`CONTAINS IGNORE CASE REGEX,request '\S+' timed out,Timeout Error`
`CONTAINS MULTILINE REGEX`	複数行の文字列に対して照合するには、これを使用します	`CONTAINS MULTILINE REGEX,Request 'GetResponse' Timed out,Timeout Error`
`CONTAINS IGNORE CASE MULTILINE REGEX`	前と同じですが、大/小文字の区別は無視されます	`CONTAINS IGNORE CASE MULTILINE REGEX,Request 'GetResponse' Timed out,Timeout Error`
`CONTAINS ONE OF REGEXES`	複数の正規表現を指定します。少なくとも1つの一致がある場合はTrue。 `[]`内に正規表現をカンマで区切ってリストします。正規表現にカンマを含めることはできません。正規表現内で二重引用符を使用する必要がある場合は、別の二重引用符を使用して各二重引用符をエスケープします。	`CONTAINS ONE OF REGEXES,"[Request '\S+' Timed out,Server\S+Timed out]",Timeout Error`
`NOT CONTAINS`	指定した文字列が含まれません	`NOT CONTAINS,Request 'GetResponse' Timed out,Success`
`EQUAL`	コンテンツが指定した値と等しいです	`EQUAL,500,HTTP Server Error`
`EQUAL IGNORE CASE`	前と同じですが、大/小文字の区別は無視されます	`EQUAL,In-Progress,Request In Progress`
`NOT EQUAL`	コンテンツが指定した値と等しくない場合はTrue	`NOT EQUAL,200,HTTP Request Failed`
`STARTS WITH`	コンテンツの先頭と比較します	`STARTS WITH,Request failed with,Fail`
`ENDS WITH`	コンテンツの末尾と比較します	`ENDS WITH,timed out,Timeout`
`IN`	少なくとも1つの値が等しい場合はTrue	`IN,"[500,501,502,503]",HTTP Server Error`
`IN IGNORE CASE`	前と同じですが、大/小文字の区別は無視されます	`IN IGNORE CASE,[fail,timeout,error,fatal],Request Failed`
`NOT IN`	コンテンツがリスト内のどの値とも等しくない場合はTrue	`NOT IN,"[500,501,503,400,401,404]",HTTP Request Successful`
`NULL`	フィールドのコンテンツがnullの場合はTrue	`NULL,,No Value`
`NOT NULL`	フィールドのコンテンツがnullでない場合はTrue	`NOT NULL,,Value Present`
`CIDRMATCH`	ディクショナリ・ルックアップ内のCIDR (Classless InterDomain Routing)一致操作ルール	CIDRMATCH演算子を参照してください。

数値演算子および論理演算子と例のリスト

ノート

数値演算子と文字列演算子が同じディクショナリ内に混在していないことを確認してください。同じディクショナリに演算子が混在している場合、文字列値が問合せで渡されると、数値演算子を使用した照合中にタイプに関するエラー・メッセージが返されます。

演算子	説明	例
`=`	数値が等しい	`=,1,Value is 1`
`!=`	数値が等しくない	`!=,1,Value is Not 1`
`>`	指定した値より大きい	`>,1,Value is above 1`
`<`	指定した値より小さい	`<,1,Value is below 1`
`>=`	指定した値以上	`>=,1,Value is equal or above 1`
`<=`	指定した値以下	`<=,1,Value is equal or below 1`
`BETWEEN`	指定した2つの値の間(両端を含む)	`BETWEEN,1-10,Value is equal or above 1 and equal or below 10`
`> AND <`	N1より大きく、かつ、N2より小さい	`> AND <,1-10,Above 1 and below 10`
`>= AND <=`	BETWEENと同じ。N1以上、かつ、N2以下	`>= AND <=,1-10,Above or equal to 1 and below or equal to 10`
`>= AND <`	N1以上、かつ、N2より小さい	`>= AND <,1-10,Above or equal to 1 and below 10`
`> AND <=`	N1より大きく、かつ、N2以下	`> AND <=,1-10,Above 1 and below or equal to 10`
`> OR <`	N1より大きい、または、N2より小さい	`> OR <,1-10` 1より大きい、または、10より小さい
`>= OR <=`	N1以上、または、N2以下	`>= OR <=,100-10,Above or equal to 100 or below or equal to 10`
`>= OR <`	N1以上、または、N2より小さい	`>= OR <,10-1,Above or equal to 10 or below 1`
`> OR <=`	N1より大きい、または、N2以下	`> OR <=,100-10,Above 100 or below or equal to 10`
`>= OR !=`	N1以上、または、N2と等しくない	`>= OR !=,10-1,Above or equal to 10 or not equal to 1`
`<= OR !=`	N1以下、または、N2と等しくない	`<= OR !=,10-100,Below or equal to 10 or not equal to 100`
`>= OR =`	N1以上、または、N2と等しい	`>= OR =,10-1,Above or equal to 1 or equal to 1`
`<= OR =`	N1以下、または、N2と等しい	`<= OR =,10-100,Below or equal to 10 or equal to 100`
`> AND !=`	N1より大きく、かつ、N2と等しくない	`> AND !=,10-100,Above 10 and not equal to 100`
`< AND !=`	N1より小さく、かつ、N2と等しくない	`< AND !=,10-1,Below 10 and not equal to 1`

ディクショナリ・ルックアップ定義時のコメントの使用

ディクショナリ・ルックアップにコメントを追加するには、最初のフィールドとして#を使用します。次に、コメントを含むサンプル・ルックアップの例を示します:

Operator,Condition,Label,Module
# ----------------------------------
# Startup/Shutdown and Terminations
# ----------------------------------
CONTAINS,Server started in RUNNING mode,Server Started,WebLogic Server
CONTAINS,A critical service failed. The server will shut itself down,Server Shutdown,WebLogic Server
CONTAINS,state changed to FAILED,Server Failed,
CONTAINS,Removing .* from cluster view due to PeerGone,Cluster Removed,WebLogic Server
# ----------------------
# Connection Error / Timeouts and Slowness
# ----------------------
CONTAINS,Unable to connect to WSM policy manager,WSM Policy Manager Connection Error,
CONTAINS REGEX,java.sql.SQLTimeoutException: \S+: user requested cancel of current operation,SQL Timeout,Database
CONTAINS,This member is running extremely slowly and may endanger the rest of the cluster,WebLogic Cluster Slowness,WebLogic Server

問合せでのディクショナリ・ルックアップの使用

同じディクショナリを複数の問合せで使用できます。たとえば、次の問合せでは、同じディクショナリがMessageフィールドに適用され、円グラフのビジュアライゼーションを使用してロールアップされた結果が表示されます:

'Log Source' = 'Linux Syslog Logs'
| lookup table = 'Linux Error Categories' select Issue, Area using Message
| stats count by Area

参照に対するすべての操作の実行をユーザーに許可

個々のリソース・タイプ: loganalytics-lookup

集約リソース・タイプの一部: loganalytics-features-family

ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:

ユース・ケース	IAMポリシー
ルックアップはテナンシに存在できます	`allow group <user_group> to READ loganalytics-lookup in tenancy`
ルックアップの権限を特定のコンパートメントに制限します。	`allow group <user_group> to READ loganalytics-lookup in compartment <compartment_name>`

前述のポリシー・ステートメントで、必要なスコープ(テナンシまたはコンパートメント)を持つルックアップ・リソースに対する権限を制限するには、リソース・タイプ・ファミリおよびより大きなスコープをカバーする他のポリシー・ステートメントが存在してはならないことに注意してください。

ノート

参照のコンテンツが間接的にも表示されないようにする場合は、そのユーザーに次の権限を付与しないでください。

ログのアップロード
このような制限付き参照を使用してエンリッチされたフィールドを含むログを表示します

loganalytics-lookupのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:

`Inspect`	`Read`	`Use`	`Manage`
NA	NA	ルックアップの登録	「管理」には、「使用」と同じレベルの権限およびAPI操作があります。

通常、管理者のみが参照を作成または削除するためのUSEおよびMANAGE権限を持ちます。ルックアップ問合せを実行する権限が必要な場合は、READ権限が必要です。

参照リソースの権限をカバーするファミリ・ポリシー・ステートメントの集計:

ユース・ケース	IAMポリシー
ルックアップはテナンシに存在できます	`allow group <user_group> to read loganalytics-features-family in tenancy`

ノート

サービスに初めてナビゲートするときに使用できるオンボーディングUIを使用してOracle Logging Analyticsを有効にした場合、一部のポリシーがすでに作成されます。ログ・アナリティクスのオンボーディング中に作成されたポリシーを参照してください。

参照リソースの使用権限

すでにログ・エクスプローラ、SDKまたはCLIを使用して問合せを実行している場合は、既存のOracle定義およびユーザー作成参照でsearchlookupまたはlookup問合せコマンドを実行するために必要な権限がすでにあります。

インスタンス・プリンシパルを使用して問合せを実行する場合は、動的グループへのloganalytics-features-familyアクセス権をまだ提供していない場合に、次の権限を指定します。

Allow dynamic-group <dynamic-group-name> to {LOG_ANALYTICS_LOOKUP_READ} in tenancy

または

Allow dynamic-group <dynamic-group-name> to {LOG_ANALYTICS_LOOKUP_READ} in compartment <compartment_name>

Oracle Cloud Infrastructureドキュメント