참고:

OCI 로깅 분석을 사용하여 샘플 로그 분석

소개

일반적인 엔터프라이즈 환경에는 대량의 로그 원격 측정이 있습니다. 로그 데이터와 이벤트를 찾아 이를 모든 애플리케이션에서 가져온 특정 비즈니스 플로우와 연관시키거나 비정상적인 동작을 식별하는 것이 어려울 수 있습니다. OCI Logging Analytics는 온프레미스 및 다중 클라우드 환경에서 다양한 로그 데이터를 집계, 인덱스화 및 분석하는 클라우드 솔루션입니다. 이를 통해 이 데이터를 검색, 탐색 및 상호 연관시키고 운영 통찰력을 도출하며 정보에 기초한 의사 결정을 내릴 수 있습니다. Logging Analytics는 거의 모든 소스에서 로그를 수집, 분석 및 상호 연관시킬 수 있습니다. 상관관계 활동은 즉시 사용 가능한 머신 러닝과 정교한 쿼리 언어를 모두 활용합니다.
이 사용지침서에서는 사전 구성된 환경에서 OCI Logging Analytics를 사용하여 이상치 감지, 이벤트 클러스터링, 로그 상관관계 및 변형 감지를 포함한 작업을 간편하게 수행하는 방법을 배웁니다.

목표

OCI Logging Analytics를 사용하여 사전 구축된 머신 러닝 알고리즘, 컨텍스트 및 대화식 대시보드를 활용하여 로그 파일을 분석하여 문제를 빠르게 찾아내고 근본 원인을 식별하는 방법을 알아봅니다.

필요 조건

시작하기 전에

실습을 시작하면 자체 데스크탑이 제공됩니다. 브라우저를 사용하여 특정 로깅 분석 작업을 실행하도록 설계되고 구성된 Oracle Cloud Infrastructure 환경에 로그인합니다.

OCI 관리자 사용자로 로그인하여 단일 영역 내에서 실습 단계를 수행합니다.

OCI 환경에 로그인

  1. 아직 데스크탑으로 이동하지 않은 경우 파일을 두 번 눌러 Luna-Lab.html 파일을 엽니다. 대화 상자가 나타나면 Chrome이 기본 브라우저로 선택되어 있는지 확인하고 통계 및 충돌 보고서 전송을 Google로 선택 취소합니다.

  2. 이 파일의 세부 정보를 기록하고 아래로 스크롤하여 모두 보기: OCI에 대한 Quick Link, 사용자 이름 및 암호 및 기타 연습 세부 사항. OCI CONSOLE 단추를 누릅니다. OCI 로그인 인터페이스가 별도의 탭에서 열립니다. OCI Console 단추를 누르면 OCI 콘솔 로그인이 새 브라우저 탭에 나타납니다. 사이트의 쿠키와 관련된 메시지가 나타나는 경우 모든 쿠키 수락 단추를 누릅니다.

  3. 첫번째 탭으로 이동하고 사용자 이름을 복사하여 두번째 탭의 사용자 이름 필드에 붙여 넣습니다.

  4. 위의 3단계를 반복하고, 이번에는 비밀번호를 복사한 다음 사인인을 누릅니다. 원하는 경우 암호를 저장하고 팝업될 수 있는 다른 메시지는 무시하십시오.

    구획에 수퍼 관리자 그룹이 있으므로 해당 그룹의 수퍼 관리자이므로 루트 구획에서 지정된 특정 구획으로 이동해야 합니다. 따라서 질의 결과 검색에 대한 빨간색 리소스 오류 메시지가 표시됩니다. 첫번째 Luna Lab 탭에서 아래로 스크롤하여 지정된 OCI 컴파트먼트 이름을 기록해 둡니다.

  5. OCI 콘솔의 왼쪽 상단에서 탐색 아이콘을 누르고 Observability & Management를 누르고 Logging Analytics로 이동한 다음 Log Explorer를 누릅니다. 질의 결과를 다시 검색하는 동안 오류가 무시됩니다!

  6. 로그 탐색기 오른쪽에 있는 필터 아이콘을 누릅니다.

    그런 다음 첫번째 브라우저 탭으로 이동하고 OCI 구획 이름을 찾아 복사를 누릅니다. OCI 환경으로 돌아가서 로그 그룹 구획 검색 필드에 구획 이름을 붙여넣고 구획을 선택합니다. 적용을 누릅니다.

  7. 시간 창(오른쪽 위)에서 최근 14일을 선택합니다.

  8. 로그를 수집하고 있는 엔티티가 모두 올바르게 설정되었는지 확인하려면 왼쪽 상단 메뉴로 이동하여 관리를 선택합니다. 관리 개요 페이지에서 구획 필드를 이전 단계에서 수행한 것과 동일한 방법으로 지정한 필드로 설정합니다. 빨간색 오류 상자를 닫고 엔티티를 누릅니다. 엔티티 목록은 아래 이미지와 유사해야 합니다.

    사용자 환경에 여기에 표시된 것보다 많은 로그가 있을 수 있으며 분석 차트에 다른 숫자가 표시될 수 있습니다. 사전 구축된 환경은 주기적으로 향상됩니다. 그러나 탐색 단계는 동일하게 유지됩니다.

    이미지 2

이제 Logging Analytics를 살펴볼 준비가 되었습니다!

숙지

  1. 로그 탐색기(왼쪽 상단)로 돌아갑니다.

  2. 시각화 옵션에서 히스토그램이 있는 레코드를 선택합니다. 다음은 이 자습서 전체에서 사용될 사용자 인터페이스의 주요 부분입니다.

    1) 질의 막대(막대 오른쪽 끝에 지우기, 검색 도움말실행 단추 포함)

    2) 시간 범위 메뉴 및 작업 메뉴에서 열기, 저장, 다른 이름으로 저장 등의 작업을 찾을 수 있습니다.

    3) 필드 패널 - 데이터를 필터링할 소스 및 필드를 선택할 수 있습니다.

    4) 시각화 패널 - 검색 데이터를 양식에 표시할 방법을 선택할 수 있습니다.

    5) 기본 패널 - 시각화 출력이 질의 결과 위에 표시됩니다.

  3. 시간 범위는 자습서 전체에서 "사용자 정의"로 유지되어야 합니다. 시간 범위를 "사용자 정의"로 재설정할 수 없는 경우 "업로드된 파일" 페이지로 돌아가서 로그 탐색기에서 보기를 눌러 재시작할 수 있습니다.

    힌트: 단계를 잊어버린 경우 브라우저의 뒤로 버튼을 사용할 수 있습니다. 그러나 새로 고침 단추는 사용하지 않습니다.

클러스터화를 사용하여 로그 탐색

  1. 차트에서 OCI VCN 플로우 로그를 눌러 VCN 플로우 데이터로 드릴 다운합니다.

  2. 작업으로 이동하고 다른 이름으로 저장을 눌러 이 검색을 "위젯"으로 저장합니다.

  3. "Save Search(검색 저장)을 완료하고 Save(저장)를 누릅니다.

    이때 여기 또는 나중에 대시보드 메뉴에서 위젯을 대시보드에 직접 추가할 수 있습니다.

  4. 다른 여러 로그를 확인하여 위젯을 두 개 이상 만듭니다.

    나중에 대시보드에 추가합니다.

  5. 모든 로그 데이터 보기로 돌아갑니다.

    힌트: 질의 모음을 지우고 실행을 누릅니다.

    총 74,000개 레코드를 사용하고 있습니다. 대량의 데이터를 관련 클러스터로 시각화하는 것이 더 쉽습니다. 로깅 분석 - 클러스터링(지수 없는 ML)은 로그 데이터와 풍부한 도메인 전문 지식을 사용하여 데이터의 패턴을 찾습니다. 클러스터화는 많은 양의 데이터를 더 적은 패턴으로 줄여 텍스트에서도 작동하므로 변칙 감지에 사용할 수 있습니다. 시각화 패널에서 클러스터 버튼을 누릅니다.

  6. 여러 클러스터, 잠재적 문제, 이상치 및 추세로 드릴 다운합니다.

    Logging Analytics는 비지도 ML을 사용하여 데이터에서 관련 클러스터를 찾습니다. 그러면 최대 74,000개의 로그를 실시간으로 629개의 클러스터 패턴으로 줄일 수 있습니다.

    주: 표시되는 숫자는 자습서에 표시된 것과 약간 다를 수 있습니다.

  7. 잠재적 문제 탭을 누릅니다.

    629개 클러스터 중 76개가 잠재적 문제로 자동으로 식별되었습니다.

  8. 이상 탭을 누릅니다.

    이러한 문제는 한 번만 발생하며 시스템에서 변형 상태를 나타냅니다.

  9. 이제 추세 탭을 누릅니다.

    이는 시간에 상관이 있는 클러스터 패턴입니다. 8개의 유사한 추세를 눌러 데이터베이스 경보 로그에서 관련 로그 집합을 확인합니다. 표시된 추세의 정확한 수는 선택한 시간 창에 따라 다를 수 있습니다.

  10. 위의 3단계에서 수행한 단계와 동일한 단계에 따라 이 검색을 저장합니다.

  11. 하나 이상의 시각화를 만들어 네트워크 트래픽의 배포를 이해합니다.

    먼저 시각화를 파이로 변경하고 새 데이터 세트인 OCI VCN Flow Logs를 선택합니다.

    필드 패널의 검색 상자에서 "소스" 문자열을 검색합니다. 그런 다음 "소스 IP"를 "기타"에서 시각화 패널의 "그룹화 기준" 상자로 끌어 놓고 적용을 누릅니다.

    여기서 "소스 IP"로 로그 배포를 확인할 수 있습니다.

  12. 질의 언어를 사용하여 "대상 IP"의 배포를 찾습니다.

    질의 표시줄에 다음 질의를 입력하고 실행을 누릅니다.

    힌트: 환경 내부에서 붙여 넣을 환경 외부에 복사된 모든 항목을 먼저 환경의 작업 표시줄에 있는 클립보드에 붙여 넣어야 합니다.

    'Log Source' = 'OCI VCN Flow Logs’ | stats count('Destination IP') by 'Destination IP'

    레코드가 포함된 원형 차트(기본적으로 설정됨)가 표시됩니다.

  13. 시각화 메뉴에서 "트리 맵"을 선택하여 시각화를 트리 맵으로 변경합니다.

    시각화 메뉴에서 "트리 맵"을 선택합니다.

    이 페이지에서 대상-IP 배포를 시각화할 수 있습니다. 이 검색/위젯을 다른 이름으로 저장합니다.

  1. 비지도 링크 기능을 사용하여 다른 데이터 소스와 데이터를 상관시킵니다. 질의 표시줄에 다음을 입력하고 실행을 누릅니다. 관리로 이동하고 리소스에서 업로드를 누릅니다. 업로드 이름을 선택하고 복사합니다(Ctrl-C). 로그 탐색기로 돌아가서 질의 모음 logging-analytics-demo에서 복사한 업로드 이름으로 바꿉니다(logging-analytics-demo을 선택하고 Ctrl-V를 누름). 그런 다음 실행을 누릅니다.

    힌트: 질의 모음에서 Ctrl-I를 눌러 질의 형식을 지정합니다.

    'Upload Name' = 'logging-analytics-demo' and 'Log Source' = 'OCI VCN Flow Logs' 
| eval 'Source Name' = if('Source Port' = 80,
                       HTTP,
                       'Source Port' = 443,
                       HTTPS,
                       'Source Port' = 21,
                       FTP,
                       'Source Port' = 22,
                       SSH,
                       'Source Port' = 137,
                       NetBIOS,
                       'Source Port' = 648,
                       RRP,
                       'Source Port' = 9006,
                       Tomcat,
                       'Source Port' = 9042,
                       Cassandra,
                       'Source Port' = 9060,
                       'Websphere Admin. Console',
                       'Source Port' = 9100,
                       'Network  Printer',
                       'Source Port' = 9200,
                       'Elastic Search',
                       Other) 
 | eval 'Destination Name' = if('Destination Port' = 80,
                            HTTP,
                            'Destination Port' = 443,
                            HTTPS,
                            'Destination Port' = 21,
                            SSH,
                            'Destination Port' = 22,
                            FTP,
                            'Destination Port' = 137,
                            NetBIOS,
                            'Destination Port' = 648,
                            RRP,
                            'Destination Port' = 9006,
                            Tomcat,
                            'Destination Port' = 9042,
                            Cassandra,
                            'Destination Port' = 9060,
                            'Websphere Admin. Console',
                            'Destination Port' = 9100,
                            'Network  Printer',
                            'Destination Port' = 9200,
                            'Elastic Search',
                            Other) 
 | eval Source = 'Source IP' || ':' || 'Source Port' 
 | eval Destination = 'Destination IP' || ':' || 'Destination Port' 
 | link Source,
    Destination 
 | stats avg('Content Size Out') as 'Transfer Size (bytes)',
    unique('Source Name') as 'Traffic From',
    unique('Destination Name') as 'Traffic To' 
 | classify topcount = 300 correlate = -*,
    Source,
    Destination 'Start Time',
    'Traffic From',
    'Transfer Size (bytes)',
    'Traffic To' as Network

    eval 기능은 포트 이름을 Applications로 변환합니다.

    질의의 마지막 부분은 질의 시간 평가 필드를 더 추가하여 각 소스 및 대상에 대해 고유 행을 생성하고 이 끝점 간의 평균 네트워크 전송을 계산합니다. 또한 소스 및 대상 포트의 번역된 이름을 '트래픽 시작' 및 '트래픽 종료'로 가져올 수 있습니다.

  2. 분석으로 이동하여 차트 생성을 누르고 다음과 같이 필드를 채웁니다.

  3. 클러스터를 분석하고 지정된 데이터 포인트를 분석하여 아래 분석을 생성합니다.

  4. 차트의 항목 크기 및 색상을 제어하기 위해 여러 필드를 선택할 수 있습니다.

  5. 항목을 가리키면 항목에 대한 세부 정보를 볼 수 있습니다.

  6. 항목을 클릭하여 해당 내용에 액세스할 수 있습니다.

  7. 이것을 위젯으로 저장합니다.

    옵션으로 이동하고 표시 옵션을 누릅니다. 패널의 '대시보드 옵션' 섹션에서 모든 옵션의 선택을 취소하고 '분석' 및 '데이터 테이블' 선택합니다. 변경 사항 저장을 누릅니다. 그런 다음 작업으로 이동하고 다른 이름으로 저장을 눌러 이 분석을 위젯으로 저장합니다.

대시보드 생성

  1. 로깅 분석으로 이동하고 대시보드를 누릅니다.

  2. 생성을 누릅니다.

    대시보드 이름, 이전에 생성한 구획(logging-analytics-demo)을 입력하고 오른쪽에 있는 대시보드에 대한 위젯으로 사용 가능한 저장된 검색을 사용합니다. 캔버스에서 위젯을 끌어 놓습니다. 캔버스에서 패널 크기를 조정하고 이동할 수 있습니다. 이전에 생성한 다른 위젯을 추가합니다. 대시보드가 다음과 같을 수 있습니다.

    또는 다음과 같이 합니다.

더 알아보기

온프레미스 엔티티에서 로그 데이터를 지속적으로 수집하기 위해 호스트, 온프레미스 또는 클라우드 인프라에 Management Agent를 설치할 수 있습니다. 자세한 내용은 Oracle Management Agent 사용을 참조하십시오.

관계를 생성하는 데 사용되는 개체 연계에 대한 자세한 내용은 다음을 참조하십시오.

엔티티 생성

새 소스-개체 연관 구성

로깅 분석에서 모델링된 엔티티 유형

기타 기술 정보는 로깅 분석을 참조하십시오.

Oracle Learn에 대한 다른 실습을 확인하거나 Oracle Learning YouTube channel에서 무료 학습 콘텐츠에 액세스합니다. 또한 Oracle University를 방문하여 Oracle Learning Explorer로 변경합니다.

추가 학습 자원

docs.oracle.com/learn에서 다른 실습을 찾아보거나 Oracle Learning YouTube channel에서 무료 학습 콘텐츠에 액세스할 수 있습니다. 또한 education.oracle.com/learning-explorer를 방문하여 Oracle Learning Explorer로 변경하십시오.

제품 설명서는 Oracle Help Center를 참조하십시오.