開始する前に

Oracle Logging Analyticsは、スケーラビリティと信頼性が高く、リアルタイムのログ分析ソリューションです。Logging Analyticsは、オンプレミスまたはクラウドリソースからの履歴ログとリアルタイムログの収集を自動化します。このサービスでは、ログの分析を開始する前に、複数の方法でOCIにログを取り込むことができます。

このガイドでは、ログ・アナリティクスで連続的なログ収集を設定するステップについて説明します。約30分で、ログ・アナリティクスを設定し、エージェントをインストールし、いくつかの重要なLinuxホスト・ログを取り込み、ログ・エクスプローラでログを確認します。

バックグラウンド

この例では、管理エージェントは、ログを継続的に収集するLinuxホストにインストールされます。通常、エージェントはオンプレミス・データ・センターにインストールされますが、Linuxを実行しているクラウド・コンピュート・インスタンスにもインストールできます。このチュートリアルでは、ログ収集のためのスタンドアロン管理エージェントの使用に重点を置いています。

ロギング・アナリティクスのキー・リソースとその階層について学習します。キー・リソースの階層を参照してください。

必要事項

  • OCIユーザー・アカウント。このユーザーは、Logging-Analytics-SuperAdminsグループに追加されます。

    Oracle Logging Analyticsを有効にするには、ユーザーが「管理者」グループのメンバーである必要があります。また、「データの追加」ウィザードを使用する場合、ユーザーは、ルート・コンパートメントへのアクセス権を持つ管理者グループのメンバーで、OCIリソースの監視、管理エージェントによる監視(管理エージェントも構成する必要がある場合のみ)、Kubernetesの監視、またはセキュリティとコンプライアンスのためにログを収集する必要があります。管理者グループ、ポリシーおよび管理者ロールに関する項を参照してください。

  • 管理エージェントをインストールし、ログを収集するLinuxホスト。
  • ホストがOCIコンピュート・インスタンスの場合、Oracle Cloud Agentで管理エージェント・プラグインを有効にできます。コンピュート・インスタンスでの管理エージェントのデプロイを参照してください。Oracle Cloud Agentで管理エージェント・プラグインを有効にする場合は、JVMヒープ・サイズが512MB以上であることを確認してください。ただし、必要に応じて、OCIコンピュート・インスタンスでスタンドアロン・エージェントを使用することもできます。

    ホストがOCI以外のコンピュート・インスタンスである場合は、管理エージェントのインストールの項の説明に従って管理エージェントをインストールします。

  • ユースケースに適したログ・ソースを特定します。ソースは、後のセクションで作成したエンティティに関連付けます。また、ソースに含めるパーサーを識別する必要もあります。要件に応じて、大量のOracle定義ソースおよびパーサーから選択できます。ログ・アナリティクスの用語と概念: ソースおよびOracle定義ソースを参照してください。

ログ・アナリティクスの有効化

ログ・アナリティクスをすでに使用している場合は、サービス・ポリシーおよびユーザー/グループ・ポリシーが作成されていることを確認します。ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」をクリックします。「アイデンティティ」で、「ポリシー」をクリックして検証します。作成されたポリシーのリストは、ログ・アナリティクスのオンボーディング中に作成されたポリシーを参照してください。この項を飛ばして、管理エージェントのインストールの項に進みます。

新規ユーザーで、ログ・アナリティクスの使用を開始する場合は、次のオンボーディング・プロセスに従います。

  1. ログ・アナリティクスは、トップ・レベルのOCIコンソール・メニューから使用できます。「監視および管理」にナビゲートし、「ログ・アナリティクス」をクリックします。
    ela1.pngの説明が続きます
    図ela1の説明

  2. サービスの高レベルの詳細と、ログ・アナリティクス・サービスの使用を開始するオプションを示すオンボーディング・ページを確認します。「ログ・アナリティクスの使用の開始」をクリックします。
    ela2.pngの説明が続きます
    図ela2の説明

  3. 自動的に作成されるポリシーを確認します。作成されたポリシーのリストは、ログ・アナリティクスのオンボーディング中に作成されたポリシーを参照してください。ログ・グループ「デフォルト」は、まだ存在しない場合は作成されます。ログ・アナリティクスが正常に有効になったら、「次へ」をクリックして続行します。
    ela3.pngの説明が続きます
    図ela3の説明

  4. OCI監査ログ収集が構成されます。「サブコンパートメントに_Auditを含める」チェック・ボックスは、デフォルトで有効になっています。OCI監査ログ収集を構成するために作成されたポリシーのリストは、ロギング・アナリティクスのオンボーディング中に作成されたポリシーを参照してください。「次」をクリックします。
    ela4.pngの説明が続きます
    図ela4の説明

  5. OCI監査ログ分析が正常に有効になったら、「OCI監査ログ・ダッシュボードに移動」をクリックして分析を表示します。
    ela6.pngの説明が続きます
    図ela6の説明

管理エージェントのインストール

管理エージェントを使用して連続したログ収集を設定するには、次のステップに従います。ここにリストされているステップは、スタンドアロン管理エージェントをログ収集に使用するためのものです。かわりにOCIコンピュート・インスタンスでOracle Cloud Agentを使用する場合は、この項の最後のステップを実装してください。

  1. 管理ページに移動します。ログ・アナリティクスで、左上隅にあるメニューをクリックし、「管理」を選択します。「管理」ページが開きます。

  2. 「データの追加」をクリックします。「データの追加」ページが開きます。「管理エージェントを使用したモニター」セクションを展開します。
    sui2.pngの説明が続きます
    図sui2の説明

  3. 「エージェントの構成」リンクをクリックします。この項では、管理エージェント・ベースのログ収集の詳細について説明します。
    sui3.pngの説明が続きます
    図sui3の説明

  4. 「エージェントの構成」ボタンをクリックします。「取込みの設定」ダイアログ・ボックスが開きます。

  5. リストされたポリシー・ステートメントで自動的に作成されるポリシーを確認します。自動的に作成されるリソースに注意してください。「収集の設定」をクリックします。
    sui4.pngの説明が続きます
    図sui4の説明

  6. 管理エージェント・ソフトウェアをダウンロードするには、「エージェント・ソフトウェアのダウンロード」リンクに従います。ダウンロードが完了したら、「エージェント・インストール・スクリプトのダウンロード」リンクに従ってインストール・スクリプトを取得します。管理エージェントがダウンロードされるのと同じディレクトリにあるLinuxホストで、インストール・スクリプトを実行します。管理エージェントのインストール手順の詳細は、管理エージェントのインストールを参照してください。
    sui5.pngの説明が続きます
    図sui5の説明

    エージェントのインストール時にログ・アナリティクス・プラグインをデプロイしてください。インストール・プロセスの一部として、ログ・アナリティクス・プラグインの有効化に関する次の行を含むレスポンス・ファイルを作成する必要があります。

    Service.plugin.logan.download=true

  7. 管理エージェントが正常に構成されたら、「閉じる」をクリックします。

  8. オプションで、管理エージェントのかわりにOracle Cloud Agentをログ収集に使用する場合は、動的グループlogging_analytics_agentのコンパートメントが、Oracle Cloud Agentがインストールされているコンパートメントと一致していることを確認します。また、JVMヒープ・サイズが512MB以上であることも確認します。

ログ・アナリティクスにログを送信するホストの準備

ノート:

Unixベースのホストでは、管理エージェントをインストールするユーザーは、手動でインストールした管理エージェントの場合はmgmt_agent、Oracle Cloud Agentで有効化されたプラグインの場合はoracle-cloud-agentです。Oracle Cloud Agentの詳細は、Oracle Cloud Agentに関する項を参照してください。
  1. ログ・ファイルがエージェント・ユーザーによって読取り可能であることを確認します。

    まず、エージェント・ユーザーがファイルが読取り可能であることを確認できます。

    sudo -u <agentuser> /bin/bash -c "cat <log_file_with_complete_path>"

    エージェント・ユーザーがログ・ファイルを読み取ることができない場合は、次のいずれかの方法(ベスト・プラクティスの順序)を使用して、ログ・ファイルを管理エージェントに対して読取り可能にします。各メソッドをリストされた順序で試行し、次のメソッドを試行する前にアクセスが使用可能かどうかを確認することをお薦めします。

    1. アクセス制御リスト(ACL)を使用して、エージェント・ユーザーにログ・ファイル・パスとログ・ファイルの読取りを可能にします。ACLは、ファイル・システムのための柔軟な権限メカニズムを提供します。ログ・ファイルのフルパスがACLから読取り可能であることを確認してください。

      UNIXベースのホストでACLを設定するには:

      ログ・ファイルを含むシステムにaclパッケージがあるかどうかを確認します:

      rpm -q acl

      システムにaclパッケージが含まれる場合、前のコマンドによって次が返されます:

      acl-2.2.39-8.el5

      システムにaclパッケージが含まれない場合、パッケージをダウンロードしてインストールします。

    2. 次のsetfaclコマンドを実行します。

      まず、既存の権限を確認し、必要に応じて追加します。変更が既存の変更に影響しないことを確認します。

      • エージェント・ユーザーに、必要なログ・ファイルに対するREADアクセス権を付与します:
        setfacl -m u:<agentuser>:r <path to the log file/log file name>
      • 親フォルダ以外のフォルダに対する読取りおよび実行権限を設定します。
        setfacl -m u:<agentuser>:rx <path to the folder>
      • 親フォルダの再帰オプションを指定して、読取りおよび実行権限を設定します。
        setfacl -R -m u:<agentuser>:rx <path to the folder>
      • デフォルト・オプションを指定して「読取り」および「実行」を設定すると、このフォルダの下に作成される将来のすべてのログ・ファイルが読取り可能になります。
        setfacl -d -m u:<agentuser>:rx <path to the folder>

      たとえば、管理エージェント・ユーザーmgmt_agentのパス/scratch/logs/*.logには、次のコマンドが必要です。

      setfacl -m u:mgmt_agent:rx /scratch
      setfacl -R -m u:mgmt_agent:rx /scratch/logs
      setfacl -d -m u:mgmt_agent:rx /scratch/logs
    3. 管理エージェントとログを生成する製品を同じユーザー・グループに配置し、ファイルをグループ全体に対して読取り可能にします。エージェントを再起動します。

      nfs mountでは、ログファイルまたはフォルダを読み取るためのREADおよびEXECUTEアクセス権をエージェントユーザーに付与できない場合があります。そのような場合は、bellowコマンドを実行してエージェント・ユーザーをログ・ファイル・グループに追加し、管理エージェントを再起動します。

      usermod -a -G <group of log file> <agentuser>
    4. ログ・ファイルをすべてのユーザーに対して読取り可能にします。たとえば次のようにします。

      chmod o+r <file>

      親フォルダに実行可能権限を付与する必要がある場合があります。たとえば次のようにします。

      chmod o+rx <parent folder>
  2. エージェントがOracle Cloudと通信していることを確認します。
    1. OCIコンソール・メニューから、「監視および管理」に移動し、「管理エージェント」をクリックします。

    2. 画面の左側のセレクタを使用して、Management-Agentsコンパートメントにいることを確認します。

    3. 「エージェント」メニューをクリックします。最近インストールしたエージェント、インストールされているホストおよびインストールしたログ・アナリティクス・プラグインを確認できます。エージェントの可用性「アクティブ」であることを確認します。管理エージェントのインストールの確認を参照してください。

    4. モニタリングでエージェントのサービス・メトリックを表示し、エラーがなく、データ・フローが満足していることを確認します。管理エージェント・メトリック: コンソールの使用を参照してください。

ログ・アナリティクスでのエンティティへのホストのマップ

エージェントを介した継続的な収集を有効にするには、オンプレミスまたはクラウドのアセットを表すエンティティがログ・アナリティクスに存在する必要があります。管理エージェントがインストールされると、ログ出力ホストと管理エージェント用のエンティティが自動的に作成されます。エンティティがログ・アナリティクス環境に存在することを確認します。必要なエンティティが存在しない場合は作成します。

エンティティを作成する場合は、管理エージェント・コンパートメントとして「管理エージェント」を選択し、以前にインストールしたエージェントを選択します。オンボーディングのステップまたは取込みを設定すると、ウィザードによってこのコンパートメントが自動的に作成され、その中にエージェントが配置されます。

  1. OCIコンソール・メニューから、「監視および管理」に移動し、「ログ・アナリティクス」をクリックします。「管理」ページにアクセスします。

  2. 左側で、エンティティを作成するコンパートメントを選択してください。

  3. 左側のサイド・メニューで、「エンティティ」リソース・メニュー・リンクをクリックします。右側の「エンティティ」パネルで件数をクリックすることもできます。

  4. 「エンティティ」リスト・ページで、「エンティティの作成」ボタンをクリックします。

  5. エンティティ タイプとして [ホスト(Linux)]を選択します。名前の入力を開始して、ドロップダウン・リストをフィルタできます。

  6. エンティティの名前を指定します。この例では、host123を使用しますが、通常は実際のホスト名を使用します。

  7. 管理エージェント・コンパートメントとして「管理エージェント」を選択します。

  8. 以前にインストールしたエージェントを選択します。

  9. 「作成」をクリックします。
    myh9.pngの説明が続きます
    図myh9の説明

エンティティとソース間のアソシエーションの作成

ログ・アナリティクスのユーザーは、ログ・ソースをエンティティに関連付けて、OCI管理エージェントを介した継続的なログ収集プロセスを開始します。ソース・エンティティ・アソシエーションの概念は、エージェントを介した継続的なログ収集にのみ適用されます。この項では、「データの追加」ウィザードを使用してソース・エンティティ・アソシエーションを実行するステップについて説明します。

  1. 「管理」ページにアクセスします。「データの追加」をクリックします。

    「データの追加」ウィザードが開きます。


  2. 「管理エージェントによるモニター」で、「カスタム選択」をクリックします。

    Host(Linux)エンティティ・タイプのログの場合、「Linuxコア・ログ」をクリックして、特定のタイプのエンティティおよび適格なソースの詳細リストを取得することもできます。ただし、ウィザードの全機能を体験するために、「カスタム選択」を選択します。


    sui2.pngの説明が続きます
    図sui2の説明

    結果の「エージェントベースのログ収集の構成」ページに、構成されているすべてのエンティティがリストされます。


  3. エンティティ・タイプを指定して、エンティティのリストからフィルタします。「エンティティ・タイプの指定」を選択します。メニューから、「Host(Linux)」エンティティ・タイプを選択します。

  4. Host(Linux)タイプのエンティティのリストから、ソースとのアソシエーションを構成するエンティティを50個まで選択します。「次」をクリックします。
    ca4.pngの説明が続きます
    図ca4の説明

  5. 表から、選択したエンティティに関連付ける最大25のソースを選択します。
    ca7.pngの説明が続きます
    図ca7の説明

  6. 「エージェント収集プロパティの表示」をクリックしてセクションを展開します。ここで指定したエージェント・プロパティは、このワークフローで追加されたすべてのソース・エンティティ・アソシエーションに適用されます。前の選択に基づいて、「ソース・タイプ」がすでに移入されています。そのソース・タイプのエージェント・プロパティが表にリストされます。
    ca9.pngの説明が続きます
    図ca9の説明

    • 情報アイコンの上にカーソルを置くと、デフォルト値が何であるかがわかります。

    • 「新規値」フィールドに、変更するプロパティの新しい値を入力します。値のデータ型が指定したとおりであることを確認します。各ソース・タイプに対して変更できるプロパティのリストおよび対応するデータ型については、「管理エージェントの拡張構成オプション: エージェント・プロパティの変更」を参照してください。

    • プロパティをデフォルト値に変更するには、「アクション」メニュー・アイコンをクリックし、「デフォルトにリセット」を選択します。

    • プロパティの現在の値をクリアするには、「アクション」メニュー・アイコンをクリックし、「現在の値をクリア」を選択します。現在の値をクリアすると、新しい値が継承されます。現在の変更を保存してこのダイアログボックスを再び開くと、新しい値がテーブルに表示されます。

      エージェント・プロパティを設定するための様々な階層レベルとその値の継承ルールを理解するには、「管理エージェントの拡張構成オプション: エージェント・プロパティの変更」を参照してください。


  7. 関連付けるエンティティおよびソースを選択した後、収集されるログ・データを格納する必要があるログ・グループを指定します。
    1. ログ・グループが作成されるログ・グループ・コンパートメントを選択します。

    2. ログを保存する必要があるログ・グループを選択します。取込みの設定中に以前に作成されたlogging_analytics_ociauditログ・グループを選択します。

      同じコンパートメントに新しいログ・グループを作成する場合は、「新規作成」をクリックします。「ログ・グループの作成」ダイアログ・ボックスが開きます。新しいログ・グループの名前を指定し、適切な説明を指定します。「作成」をクリックします。


  8. アソシエーションを完了するには、「ログ収集の検証および構成」をクリックします。

  9. アソシエーションが作成されると、確認が表示されます。また、活動のステータスを表示することもできます。アソシエーションの詳細を表示するには、ソース名をクリックします。

    アソシエーションが正常に構成されると、ログ収集が開始されます。ログ・データを表示するには、「ログ・エクスプローラに移動」をクリックします。


    ca8.pngの説明が続きます
    図ca8の説明

ログの探索

ソースとエンティティを関連付けた後、ログ内のデータを探索およびビジュアル化できるようになりました。

  1. ログ・エクスプローラを表示します。

    ログ・エクスプローラの右側にある「スコープ・フィルタ」アイコンをクリックします。


    el3.pngの説明が続きます
    図el3の説明

    前に作成したデフォルトのログ・グループ・コンパートメントが自動的に選択されます。ただし、ログ・グループ・コンパートメントを変更する場合は、それを選択します。

    コンパートメント・セレクタでは、ログ・グループが配置されているコンパートメントに基づいて、検索に含めるログ・グループを選択できます。ここでコンパートメントを選択すると、このコンパートメントとすべての子コンパートメントがすべて自動的に含まれます。ルート・コンパートメントを使用することで、ユーザーのコンパートメント・アクセス・ポリシーおよびそれらのコンパートメント内のログ・グループに基づいて、ユーザーがアクセスできるすべてのログを検索します。

    約2分後に、ソースのログイン・ログが表示されます。デフォルト検索は、すべてのログ・ソースに対して入力されるログ・エントリの数を示す円グラフです。


  2. 「レコード」ビューを確認します。

    「ビジュアライゼーション」メニューをクリックし、選択内容を「ヒストグラムのあるレコード」に変更します。


    el4.pngの説明が続きます
    図el4の説明

    このビューには、時間によってインターリーブされたすべてのログ・ソースのログ・エントリが表示されます:


    el5.pngの説明が続きます
    図el5の説明

  3. クラスタ分析を参照してください。

    上の検索画面では、過去14日間、27,145のログ・エントリが収集されたことがわかります。これは、手動で検査する非常に多数のログです。大規模な本番環境では、14日間に数十億のログ・エントリがある場合があります。

    「可視化」オプションを「クラスタ」に変更します。

    画面が変わり、ログエントリのクラスタが表示されます。ここで、ログ・エントリの27kが654クラスタのみに縮小され、潜在的な問題を示す46個のクラスタと外れ値と思われる351個のクラスタが識別されたことがわかります。より長い期間にわたって大きなデータ・セットを使用すると、比較するデータの繰返しパターンが増えるため、クラスタ機能は向上します。


    el7.pngの説明が続きます
    図el7の説明

    2番目のエントリでは、カウントが281の単一のタイプのログ・エントリがあることがわかります。つまり、この同じパターンに従うログ・エントリは、過去14日間で281回発生しています。クラスタ・サンプルの一部は、青いリンクとして表示されます。これは、同じような形状の281レコード全体で、青の部分はログ・エントリごとに異なるためです。青色のリンクをクリックすると、特定のインスタンスのすべてのバリアントが表示されます。


  4. ファセット・フィルタリングを使用します。

    「ヒストグラム付きレコード」ビューに戻ると、左側のフィールド・パネルで目的のフィールドをクリックして、ログから解析された値を確認できます。これらの値の出現回数と傾向を示した。ここから値を選択して、検索を絞り込むことができます。


    el8.pngの説明が続きます
    図el8の説明

  5. 「検索」を保存します。

    検索の保存は、いくつかの理由で重要です。最初に、書き直さずに定期的に検索を使用することもできます。また、組織全体の多くのユーザーが重要な側面を一貫して把握するために使用する検索を作成することもできます。また、このウォークスルーで後述するように、保存検索をダッシュボードのウィジェットとして使用できます。

    ビジュアライゼーションを「横棒グラフ」に変更します。

    デフォルトでは、「グループ化基準」フィールドが「ソース」として選択されているグラフが表示されます(前述の他の問合せを変更した場合は空になる場合があります)。フィールド「その他」「サービス」「グループ化基準」フィールドにドラッグし、「適用」ボタンをクリックします。

    次のようなログ・エントリの数に基づいて、ホスト上で使用されている上位のサービスを示す棒グラフが表示されます。


    el9.pngの説明が続きます
    図el9の説明

    カウントの降順の値が表示されない場合は、問合せにログ・レコードとして設定されていることを確認して、その値を含む計算済フィールドを作成し、|sort -logrecordsを検索に追加します。これはレコード数の降順でソートされます。使用する問合せについては、上のスクリーンショットを参照してください。

    • 検索を保存する区分を選択します。
    • 検索に名前と説明を指定します。
    • 「ダッシュボードに追加」チェック・ボックスをクリックします。
    • 保存済検索ウィジェットを新しいダッシュボードに追加するには、「新規ダッシュボード」を選択します。または、既存のダッシュボードに追加することもできます。
    • ダッシュボードのコンパートメントを選択します。
    • 新しいダッシュボードの場合は、新しいダッシュボードの名前と説明を指定します。それ以外の場合は、既存のダッシュボード名を選択します。
    • 「保存」ボタンをクリックします。
      el10.pngの説明が続きます
      図el10の説明

    ログ・エクスプローラのタイトルが、作業中の保存済検索の名前を含むように変更されました。ここで変更を加えて「アクション」に移動する場合は、「保存」をクリックすると、保存済検索を更新できます。


    el11.pngの説明が続きます
    図el11の説明

  6. ダッシュボードを表示します。

    上部のナビゲーション・コントロールから、「Logging Analytics」をクリックし、「Dashboards」を選択します。


    el12.pngの説明が続きます
    図el12の説明

    検索の保存と同時に、以前に作成したダッシュボードを含むダッシュボード・リスト・ページが表示されます。ここに新しいダッシュボードが表示されない場合は、左側で選択したコンパートメントがダッシュボードを保存した場所であることを確認してください。


    el13.pngの説明が続きます
    図el13の説明

    ダッシュボード名をクリックすると、ダッシュボードが表示されます。保存済検索ウィジェットを追加したり、ページのレイアウトやウィジェットのサイズを変更できます。時間範囲またはコンパートメント・フィルタを変更すると、すべての保存済検索ウィジェットのデータが変更されます。


    el14.pngの説明が続きます
    図el14の説明

    調査を続けます。これは、ログ・アナリティクスを使用して実行できる多くのタスクのサンプルにすぎません。ログの分析方法の詳細は、製品の技術コンテンツを確認してください。


さらに学ぶ