Documentação do Oracle Cloud Infrastructure

Criar uma Origem

As origens definem a localização dos logs de sua entidade e como enriquecer as entradas de logs. Para iniciar a coleta contínua de logs por meio dos agentes de gerenciamento do OCI, uma origem precisa estar associada a uma ou mais entidades.

Observação

Para etapas mais específicas do

Tópicos Adicionais:

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Log Analytics, clique em Administração.

    Os recursos administrativos são listados no painel esquerdo de navegação em Administração. Clique em Origens.

    A página Origens é aberta. Clique em Criar Origem.

  2. No campo Nome, digite o nome da origem.

    Se desejar, adicione uma descrição.

  3. Na lista Tipo de Origem, selecione o tipo da origem de log.
    O Oracle Log Analytics suporta três tipos de origem de log para origens personalizadas:

    • Arquivo: Use esse tipo para coletar a maioria dos tipos de logs, como logs de Banco de Dados, Aplicativo e Infraestrutura.

    • Oracle Diagnostic Logging (ODL): Use esse tipo para logs que seguem o formato do ODL. Normalmente, eles são usados para logs de diagnóstico no Oracle Fusion Middleware e Oracle Applications.

    • Listener de Syslog: Geralmente é usado para dispositivos de rede, como Intrusion Detection Appliance, Firewall ou outro dispositivo em que um agente de gerenciamento não pôde ser instalado.

    • Microsoft Windows: Use este tipo para coletar mensagens de Evento do Windows. O Oracle Log Analytics pode coletar todas as entradas históricas de Log de Evento do Windows. Ele suporta o Windows, bem como canais de eventos personalizados.

      Observação

      Esse tipo de origem não exige o campo Parser de Logs.

    • Banco de Dados: Use esse tipo de origem para coletar os logs armazenados nas tabelas dentro de um banco de dados local. Com esse tipo de origem, uma consulta SQL é executada periodicamente para coletar os dados da tabela como entradas de log.

    • API REST: Use esse tipo de origem para configurar a coleta de logs contínua baseada na API REST de URLs de pontos finais que respondem com mensagens de log. Com esse tipo de origem, uma chamada de API GET ou POST é feita para o URL do ponto final que você fornece para obter os logs.

    • Comando do SO: Use esse tipo de origem para configurar a coleta contínua de saída executando scripts de comando do SO no host do agente, na forma de logs.

  4. Clique no campo Tipo de Entidade e selecione o tipo de entidade para essa origem de log. Posteriormente, quando você associar essa origem a uma entidade para ativar a coleta de logs por meio do agente de gerenciamento, somente as entidades desse tipo estarão disponíveis para associação. Uma origem pode ter um ou mais tipos de entidade.

    • Se você selecionou Arquivo, API REST, ODL (Oracle Diagnostic Log) ou comando do SO, é recomendável selecionar o tipo de entidade para a origem do log que corresponda mais ao que você vai monitorar. Evite selecionar tipos de entidades compostas, como Cluster de Banco de Dados; em vez disso, selecione o tipo de entidade Instância do Banco de Dados porque os logs são gerados no nível da instância.

    • Se você selecionou o tipo de origem Listener de Syslog, selecione uma das variantes de Host.

    • Se você tiver selecionado o tipo de origem Banco de Dados, o tipo de entidade estará limitado aos tipos de banco de dados elegíveis.

    • Se você selecionou o tipo de origem Sistema de Eventos do Windows, o tipo de entidade padrão Host (Windows) será selecionado automaticamente e não poderá ser alterado.

  5. Clique no campo Parser e selecione o nome do parser relevante que melhor captura os campos em seus logs.
    Você pode selecionar vários parsers para os arquivos de log. Isso é particularmente útil quando um arquivo de log tem entradas com sintaxe diferente e não pode ser analisado por um único parser.

    A ordem na qual você adiciona os parsers é importante. Quando o Oracle Log Analytics lê um arquivo do log, ele tenta o primeiro parser e passa para o segundo parser se o primeiro não funcionar. Isso continuará até que seja encontrado um parser em funcionamento. Selecione primeiro o parser mais comum para essa origem.

    Para o tipo de origem ODL, o único parser disponível é o do Formato do Oracle Diagnostic Logging.

    Para o tipo de origem Syslog, geralmente é usado um dos parsers de variantes, como Formato Padrão Syslog ou Formato Syslog RFC5424. Você também pode selecionar entre os parsers de syslog definidos pela Oracle para dispositivos de rede específicos.

    Para o tipo de origem de comando do SO, as seguintes funções de parser não são suportadas:

    • A função Detalhes do Cabeçalho não é suportada nos casos em que o tamanho do bloco JSON ou XML é maior que 1 MB e o cabeçalho fica no final do bloco ou do cabeçalho envolve o corpo.
    • Deslocamento de tempo

    O campo Parser de Arquivos não está disponível para os tipos de origem Sistema de Eventos Windows e API REST. Para o tipo do Windows Event System, o Oracle Log Analytics recupera dados de log já submetidos a parsing.

    Para fazer parsing apenas das informações de tempo das entradas de log, você pode selecionar o parser de tempo automático. Consulte Usar o Parser de Tempo Automático.

  6. Digite as seguintes informações dependendo do tipo de origem:

    • Tipo de origem Syslog: Especifique a Porta do Listener.

    • Tipo de origem do Windows: Especifique um nome de canal de serviço de evento. O nome do canal deve corresponder ao nome do evento do Windows para que o agente possa formar a associação para selecionar logs.

    • Tipo de origem do banco de dados: Especifique as Instruções SQL e clique em Configurar. Mapeie as colunas da tabela de SQL para os campos disponíveis no menu. Para criar um novo campo para mapeamento, clique no ícone Ícone Adicionar.

    • Tipo de origem da API REST: Clique em Adicionar ponto final de log para fornecer um único URL de ponto final de log ou Adicionar ponto final da lista de logs para vários logs para fornecer um URL de ponto final da lista de logs para vários logs dos quais os logs podem ser coletados periodicamente com base na configuração de tempo na IU. Para obter mais informações sobre como configurar a coleta de logs da API REST, consulte Configurar a Coleta de Log da API REST.

    • Tipos de origem de arquivo e ODL: Usar as guias Incluir e Excluir

      • Na guia Padrões Incluídos, clique em Adicionar para especificar os padrões de nome de arquivo dessa origem.

        Digite o padrão de nome de arquivo e a descrição.

        Você pode digitar parâmetros entre chaves {}, como {AdrHome}, como parte do padrão de nome de arquivo. O Oracle Log Analytics substitui esses parâmetros no padrão de inclusão por propriedades de entidade quando a origem está associada à entidade. A lista de parâmetros possíveis é definida pelo tipo de entidade. Se você criar seus próprios tipos de entidade, poderá definir suas próprias propriedades. Ao criar uma entidade, você será solicitado a atribuir um valor a cada propriedade dessa entidade. Você também pode adicionar suas próprias propriedades personalizadas por entidade, se necessário. Todas essas propriedades podem ser usadas como parâmetros aqui em Padrões Incluídos.

        Por exemplo, para uma determinada entidade em que a propriedade {AdrHome} esteja definida como /u01/oracle/database/, o padrão de inclusão {AdrHome}/admin/logs/*.log será substituído por /u01/oracle/database/admin/logs/*.log para essa entidade específica. Todas as outras entidades no mesmo host podem ter um valor diferente para {AdrHome}, o que resultaria em um conjunto completamente diferente de arquivos de log a serem coletados para cada entidade.

        Você só poderá associar uma origem a uma entidade se os parâmetros que a origem exige nos padrões tiverem um valor para a entidade em questão.

        Você pode configurar advertências na coleta de logs para seus padrões. Na lista suspensa Enviar Advertência, selecione a situação em que a advertência deve ser emitida:

        • Para cada padrão que tenha um problema: Quando você tiver definido vários padrões de inclusão, uma advertência de coleta de logs será enviado para cada padrão de nome de arquivo que não corresponder.

        • Somente se todos os padrões tiverem problemas: Quando você tiver definido vários padrões de inclusão, uma advertência de coleta de logs só será enviada se nenhum padrão de nome de arquivo corresponder.

      • Você poderá usar um padrão excluído quando houver arquivos no mesmo local que não deseja incluir na definição da origem. Na guia Padrões Excluídos, clique em Adicionar para definir padrões de nomes de arquivos de log que devem ser excluídos desta origem de log.

        Por exemplo, há um arquivo com o nome audit.aud no diretório que você configurou como origem de inclusão (/u01/app/oracle/admin/rdbms/diag/trace/). No mesmo local, há outro arquivo com o nome audit-1.aud. Você pode excluir quaisquer arquivos com o padrão audit-*.aud.

    • Tipo de comando do SO: Use a guia Comandos para incluir OS scripts de comando do SO e seus detalhes que devem ser executados no host do agente para coletar a saída na forma de logs.

      • Comando: Forneça o caminho do script de comando do SO armazenado no host do agente. O caminho deve ser relativo à pasta de script personalizada. O campo Comando não pode conter sequências de travessia do diretório pai /../ ou \..\. O comando não pode terminar com /.. ou \...

        Caminho de Exemplo:

        Se o caminho absoluto do seu script personalizado for /opt/oracle/mgmt_agent/usercontent/logan/scripts/os_cmd/my_script1.sh, forneça o caminho my_script1.sh neste campo.

        Para obter detalhes sobre o script personalizado do comando do SO e o local para armazená-lo no host do agente, consulte Pré-requisitos para Configurar a Coleta da Saída do Comando do SO.

      • Argumentos: Opcionalmente, você pode especificar argumentos para o script e separar cada argumento por um caractere de espaço em branco.

      • Descrição: Opcionalmente, forneça uma descrição significativa para este comando e conjunto de argumentos.

    Depois de fornecer detalhes do script de comando do SO, ative a caixa de seleção correspondente à linha para ativar a configuração.

  7. Adicionar Filtros de Dados. Consulte Usar Filtros de Dados em Origens.
  8. Adicionar Campos Estendidos. Consulte Usar Campos Estendidos em Origens.
  9. Configurar opções de Enriquecimento de Campo. Consulte Configurar Opções de Enriquecimento de Campo.
  10. Adicionar Labels. Consulte Usar Labels em Origens.
  11. Clique em Salvar.

Usar Filtros de Dados em Origens

O Oracle Log Analytics permite mascarar e ocultar informações confidenciais de suas entradas do log, bem como ocultar entradas inteiras do log antes que os dados do log sejam submetidos a upload para a nuvem.

Usando a guia Filtros de Dados ao editar ou criar uma origem, você pode mascarar endereços IP, ID do usuário, nome do host e outras informações confidenciais com strings de substituição, eliminar palavras-chave e valores específicos de uma entrada de log e também ocultar uma entrada de log inteira.

Você pode adicionar filtros de dados ao criar uma origem de log ou ao editar uma origem existente. Consulte Personalizar uma Origem Definida pela Oracle para saber como editar origens de log existentes.

Se os dados de log tiverem sido enviados para o Oracle Log Analytics usando Upload sob Demanda ou coleta do armazenamento de objeto, o mascaramento ocorrerá no lado da nuvem antes de os dados serem indexados. Se você estiver coletando logs usando o Agente de Gerenciamento, os logs serão mascarados antes que o conteúdo saia do local.

Tópicos:

Mascarando Dados de Log

O mascaramento é o processo de usar um conjunto de texto existente e substituí-lo por outro texto estático para ocultar o conteúdo original.

Se quiser mascarar qualquer informação, como o nome do usuário e o nome do host das entradas de log:

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Log Analytics, clique em Administração.

  2. Os recursos administrativos são listados no painel esquerdo de navegação em Administração. Clique em Origens.

  3. Clique no nome da origem que você deseja editar. A página de detalhes da origem é aberta. Clique em Personalizar para editar a origem.

  4. Clique na guia Filtros de Dados e clique em Adicionar.

  5. Digite o Nome da máscara, selecione Mascarar como Tipo, digite o valor Expressão de Localização e seu valor associado Expressão de Substituição.

    O valor Expressão de Localização pode ser pesquisa de texto simples ou expressão regular padrão. O texto que corresponde à Expressão de Localização é substituído pela Expressão de Substituição em toda a entrada de log.

    Nome Expressão de Localização Expressão de Substituição
    mascarar nome do usuário User=\S User=confidential
    mascarar host Host=\S+ Host=mask_host
    Observação

    A sintaxe da string substituta deve corresponder à sintaxe da string que está sendo substituída. Por exemplo, um número não deve ser substituído por uma string. Um endereço IP no formato 123.45.67.89 deve ser substituído por 000.000.000.000 e não por 000.000. Se as sintaxes não corresponderem, os parsers poderão se dividir.

  6. Clique em Salvar.

Ao exibir as entradas de log mascaradas desta origem de log, você descobrirá que o Oracle Log Analytics mascarou os valores dos campos especificados.

  • User = confidential

  • Host = mask_host

Máscara de Hash dos Dados de Log

Quando você mascara os dados de log usando a máscara conforme descrito na seção anterior, as informações mascaradas são substituídas por uma string estática fornecida na Expressão de Substituição. Por exemplo, quando o nome do usuário é mascarado com a string confidential, o nome do usuário é sempre substituído pela expressão confidential nos registros de log para cada ocorrência. Usando máscara de hash, você pode combinar o valor encontrado em um hash exclusivo. Por exemplo, se os registros de log contiverem vários nomes de usuário, cada nome de usuário será combinado para um valor exclusivo. Portanto, se a string user1 for substituída pelo hash de texto ebdkromluceaqie para cada ocorrência, o hash ainda poderá ser usado para identificar que essas entradas de log são do mesmo usuário. No entanto, o nome de usuário real não ficará visível.

Risco Associado: Como esse é um hash, não há como recuperar o valor real do texto original mascarado. No entanto, usando um hash de qualquer string, você sempre chega ao mesmo hash. Certifique-se de considerar esse risco enquanto estiver mascarando dados de log. Por exemplo, a string oracle tem o hash md5 a189c633d9995e11bf8607170ec9a4b8. Toda vez que alguém tentar criar um hash md5 na string oracle, ele sempre terá o mesmo valor. Embora você não possa usar esse hash md5 e revertê-lo de volta para obter a string original oracle, se alguém tentar adivinhar e encaminhar o hash do valor oracle, verá que o hash corresponde ao da entrada de log.

Para aplicar o filtro de dados da máscara de hash nos seus dados de log:

  1. Vá para a página Criar Origem. Para ver as etapas, consulte Criar uma Origem.

  2. Você também pode editar uma origem que já existe. Para ver as etapas para abrir uma página Editar Origem, consulte Editar Origem.

  3. Clique na guia Filtros de Dados e clique em Adicionar.

  4. Digite o Nome da máscara, selecione Máscara de Hash como Tipo, digite o valor Expressão de Localização e seu valor associado Expressão de Substituição.

    Nome Expressão de Localização Expressão de Substituição
    Mascarar Nome do Usuário User=(\S+)s+ Hash de texto
    Mascarar Porta Port=(\d+)s+ Hash Numérico

  5. Clique em Salvar.

Se você quiser usar máscara de hash em um campo baseado em string, poderá usar o hash Texto ou Numérico como campo de string. Mas se seu campo de dados for numérico, como um número inteiro, longo ou ponto flutuante, use hash Numérico. Se você não usar hash numérico, o texto de substituição fará com que as expressões regulares que dependem desse valor para serem um número sejam divididas. O valor também não será armazenado.

Essa substituição acontece antes do parsing dos dados. Normalmente, quando os dados devem ser mascarados, não fica claro se são sempre numéricos. Portanto, decida o tipo de hash ao criar a definição de máscara.

Como resultado do mascaramento de hash de exemplo acima, cada nome de usuário é substituído por um hash de texto exclusivo e cada número de porta é substituído por um hash numérico exclusivo.

Você pode utilizar a máscara de hash ao filtrar ou analisar seus dados de log. Consulte Filtrar Logs por Máscara de Hash.

Eliminando Palavras-chave ou Valores Específicos de Seus Registros de Log

O Oracle Log Analytics permite pesquisar uma palavra-chave ou um valor específico nos registros de log e eliminar a palavra-chave ou o valor correspondente se essa palavra-chave existir nos registros de log.

Considere o seguinte registro de log:

ns5xt_119131: NetScreen device_id=ns5xt_119131  [Root]system-notification-00257(traffic): start_time="2017-02-07 05:00:03" duration=4 policy_id=2 service=smtp proto=6 src zone=Untrust dst zone=mail_servers action=Permit sent=756 rcvd=756 src=192.0.2.1 dst=203.0.113.1 src_port=44796 dst_port=25 src-xlated ip=192.0.2.1 port=44796 dst-xlated ip=203.0.113.1 port=25 session_id=18738

Se você quiser ocultar a palavra-chave device_id e seu valor do registro de log:

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Log Analytics, clique em Administração.

  2. Os recursos administrativos são listados no painel esquerdo de navegação em Administração. Clique em Origens.

  3. Clique no nome da origem que você deseja editar. A página de detalhes da origem é aberta. Clique em Personalizar para editar a origem.

  4. Clique na guia Filtros de Dados e clique em Adicionar.

  5. Digite o Nome do filtro, selecione Eliminar String como Topo e digite o valor Expressão de Localização, como device_id=\S*

  6. Clique em Salvar.

Quando você exibir os registros de log dessa origem, descobrirá que o Oracle Log Analytics eliminou as palavras-chave ou valores especificados.

Observação

Verifique se a expressão regular do parser corresponde ao padrão de registro de log; caso contrário, o Oracle Log Analytics pode não fazer parsing dos registros corretamente após a eliminação da palavra-chave.

Observação

Além de adicionar filtros de dados ao criar uma origem, você também pode editar uma origem existente para adicionar filtros de dados. Consulte Personalizar uma Origem Definida pela Oracle para saber como editar origens existentes.

Eliminando uma Entrada de Log Inteira com Base em Palavras-chave Específicas

O Oracle Log Analytics permite pesquisar uma palavra-chave ou valor específico nos registros de log e eliminar uma entrada inteira de log em um registro de log, se essa palavra-chave existir.

Considere o seguinte registro de log:

ns5xt_119131: NetScreen device_id=ns5xt_119131  [Root]system-notification-00257(traffic): start_time="2017-02-07 05:00:03" duration=4 policy_id=2 service=smtp proto=6 src zone=Untrust dst zone=mail_servers action=Permit sent=756 rcvd=756 src=198.51.100.1 dst=203.0.113.254 src_port=44796 dst_port=25 src-xlated ip=198.51.100.1 port=44796 dst-xlated ip=203.0.113.254 port=25 session_id=18738

Digamos que você queira eliminar toda a entrada de log se a palavra-chave device_id existir:

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Log Analytics, clique em Administração.

  2. Os recursos administrativos são listados no painel esquerdo de navegação em Administração. Clique em Origens.

  3. Clique no nome da origem que você deseja editar. A página de detalhes da origem é aberta. Clique em Personalizar para editar a origem.

  4. Clique na guia Filtros de Dados e clique em Adicionar.

  5. Digite o Nome do filtro, selecione Eliminar Entrada de Log como Tipo e digite o valor Expressão de Localização como .*device_id=.*

    É importante que a expressão regular corresponda à entrada de log inteira. O uso de .* na frente e no final da expressão regular garante que ela corresponda a todos os outros textos na entrada de log.

  6. Clique em Salvar.

Quando você exibir as entradas de log desta origem de log, descobrirá que o Oracle Log Analytics eliminou todas as entradas de log que contêm a string device_id nelas.

Observação

Além de adicionar filtros de dados ao criar uma origem, você também pode editar uma origem existente para adicionar filtros de dados. Consulte Personalizar uma Origem Definida pela Oracle para saber como editar origens existentes.

Usar Campos Estendidos em Origens

A funcionalidade Campos Estendidos no Oracle Log Analytics permite extrair campos adicionais de um registro de log, além de quaisquer campos que o parser analisou.

Na definição de origem, é escolhido um parser que pode dividir um arquivo de log em registros de log e cada registro de log em um conjunto de campos base. Esses campos base precisariam ser consistentes em todos os registros de log. Um parser base extrai campos comuns de um registro de log. Entretanto, se você tiver um requisito para extrair campos adicionais do conteúdo do registro de log, poderá usar a definição dos campos estendidos. Por exemplo, o parser pode ser definido para que todo o texto no final dos campos comuns de um registro de log seja submetido a parse e armazenado em um campo chamado Mensagem.

Quando você procura logs usando a origem atualizada, os valores dos campos estendidos são exibidos com os campos extraídos pelo parser base.

Observação

Para adicionar o Grupo de Logs como campo de entrada, forneça o respectivo OCID para o valor em vez do nome.

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Log Analytics, clique em Administração.

    Os recursos administrativos são listados no painel esquerdo de navegação em Administração. Clique em Origens.

  2. Clique no nome da origem que você deseja editar. A página de detalhes da origem é aberta. Clique em Editar para editar a origem.
  3. Clique na guia Campos Estendidos e, em seguida, clique em Adicionar.
  4. Uma condição pode ser especificada para que a extração do campo ocorra apenas se o registro de log que está sendo avaliado corresponder à condição predefinida. Para adicionar uma condição ao campo estendido, expanda a seção Condições.
    • Reutilizar Existente: Se necessário, para reutilizar uma condição já definida para a origem do log, selecione o botão de opção Reutilizar Existente e selecione a condição definida anteriormente no menu Condição.
    • Criar Nova Condição: Ative esse botão se quiser definir uma nova condição. Especifique o Campo da Condição, o Operador e o Valor.

      Por exemplo, a definição do campo estendido que só extrairá o valor do campo Nome do Recurso de Segurança do valor do campo Mensagem se o campo Serviço tiver um dos valores informados NetworkManager, dhclient ou dhcpd:

      • Campo Base: Message
      • Exemplo de Conteúdo do Campo Base: DHCPDISCOVER from b8:6b:23:b5:c1:bd (HOST1-LAP) via eth0
      • Expressão de Extração: ^DHCPDISCOVER\s+from\s+{Security Resource Name:\S+}\s+.+

      A condição para essa definição de campo estendido deve ser definida da seguinte forma:

      • Campo de Condição: service
      • Operador de Condição: IN
      • Valor da Condição: NetworkManager,dhclient,dhcpd

      No exemplo acima, o valor extraído do campo Nome do Recurso de Segurança é b8:6b:23:b5:c1:bd.

      Para fornecer diversos valores para o campo Valor da Condição, digite o valor e pressione Enter para cada valor.

    Ao adicionar uma condição, você pode reduzir o processamento da expressão regular em um registro de log que provavelmente não tenha o valor que você está tentando extrair. Isso pode efetivamente reduzir o tempo de processamento e o atraso na disponibilidade dos seus registros de log no Log Explorer.

  5. Selecione o Campo Base em que o valor é aquele que você deseja extrair com mais detalhes nos campos.

    Os campos mostrados no campo base são aqueles que são analisados do analisador base e alguns campos padrão preenchidos pela coleta de logs como Entidade do Log (o nome do arquivo, a tabela de bancos de dados ou outro local original do qual o registro de log veio) e Conteúdo do Log Original.

  6. Digite um valor de exemplo comum para o Campo Base que você optou por extrair nos campos adicionais, no espaço Exemplo de Conteúdo de Campo Base. Isso é usado durante a fase de teste para mostrar que a definição de campo estendido está funcionando corretamente.
  7. Digite a expressão de extração no campo Expressão de Extração e marque a caixa de seleção Ativado.

    Uma expressão de extração segue a sintaxe normal de expressão regular, exceto que ao especificar o elemento de extração você deve usar uma macro indicada por chaves { e }. Há dois valores entre chaves separados por dois-pontos :. O primeiro valor entre chaves é o campo no qual armazenar os dados extraídos. O segundo valor é a expressão regular que deve corresponder ao valor a ser capturado do campo base.

    • Use LoganAI para criar a expressão de extração:

      Marque a caixa de seleção Usar LoganAI para criar a expressão de extração. Especifique as informações que deseja extrair. Você pode usar linguagem natural para especificar, por exemplo, extract the username from the log content ou give me the device ID. Clique no ícone de IA Ícone AI. A expressão de extração é gerada. Você pode editar a expressão e mapear os campos, se necessário. Teste a definição para verificar se a expressão atende aos seus critérios. Caso contrário, clique no ícone AI Ícone AI novamente para gerar a expressão de extração novamente.

      Essa opção só estará disponível se o administrador tiver ativado o LoganAI para a tenancy e a região atuais.

    • Construa a expressão de extração sozinha:

      Para incluir vários campos no bloco de expressão de extração, certifique-se de que eles estejam separados por vírgula (,). No exemplo a seguir, os campos estendidos eventcount, readycount e resultcnt recebem o mesmo valor. 

      Tx\\s+Msg[:]{eventcount,readycount,resultcnt:\\d+}

      Vírgula (,) é o único separador que você pode usar entre vários campos adicionados dentro da expressão de extração.

    Observação

    Quando você quiser extrair vários valores de um campo usando os Campos Estendidos:

    1. Primeiro crie um campo para o conteúdo do log que possa ter vários valores para um campo, por exemplo, Error IDs. Consulte Criar um Campo.

    2. Na caixa de diálogo Adicionar Definição de Campo Estendido, para o Campo Base, selecione um campo base que seja extraído de um parser e tenha dados de vários valores, por exemplo, Message, Original Log Content.

    3. Insira Exemplo de Conteúdo do Campo Base que tenha vários valores de um campo que você deseja extrair.

    4. Em Expressão de Extração, forneça a expressão regular para extrair cada valor do campo. Clique em Adicionar.

  8. Clique em Testar Definição para confirmar se a expressão de extração pode extrair com sucesso os campos desejados do conteúdo de exemplo do campo base fornecido. No caso de sucesso na correspondência, a Contagem de Etapas é exibida, sendo uma boa medida da eficácia da expressão de extração. Se a expressão for ineficiente, pode ser que ocorra timeout da extração e o campo não será preenchido.
    Observação

    É melhor manter a contagem de etapas abaixo de 1.000 para obter o melhor desempenho. Quanto mais alto esse número, mais tempo será necessário para processar os logs e disponibilizá-los no Log Explorer.
  9. Clique em Salvar.

Se você usar a opção Somente tempo de parsing automático na definição de origem, em vez de criar um parser, o único campo que estará disponível para criar Definições de Campo Estendido será o campo Conteúdo de Log Original, visto que nenhum outro campo será preenchido pelo parser. Consulte Usar o Parser de Tempo Automático.

O Oracle Log Analytics permite pesquisar pelos campos estendidos que você está procurando. Você pode pesquisar com base na forma como ele foi criado, no tipo de campo base ou com algum conteúdo de exemplo do campo. Digite o conteúdo do exemplo no campo Pesquisar ou clique na seta para baixo da caixa de diálogo de pesquisa. Na caixa de diálogo de pesquisa, em Tipo de Criação, selecione se os campos estendidos que você está procurando são definidos pelo usuário ou pela Oracle. Em Campo Base, você pode selecionar entre as opções disponíveis. Também é possível especificar o conteúdo de exemplo ou a expressão do campo de extração que pode ser usada para a pesquisa. Clique em Aplicar Filtros.

Tabela 9-1 Conteúdo de Exemplo de Amostra e Expressão de Extração de Campo Estendido

Descrição Campo Base Conteúdo de Exemplo Expressão de Extração de Campo Estendido
Para extrair a entrada do arquivo de ponto final do campo URI de um arquivo de log do Fusion Middleware Access

URI

/service/myservice1/endpoint/file1.jpg

{Content Type:\.(jpg|html|png|ico|jsp|htm|jspx)}

Isso extrairá o sufixo de arquivo, como jpg ou html, e armazenará o valor no campo Tipo de Conteúdo. Só serão extraídos os sufixos listados na expressão.

Para extrair o nome do usuário do caminho do arquivo de uma entidade de log

Log Entity

/u01/oracle/john/audit/134fa.xml

/\w+/\w+/{User Name:\w+}/\w+/\w+

Para extrair a hora inicial do campo Mensagem

Observação: A Hora Inicial do Evento é um campo de tipo de dados Timestamp. Se esse fosse um campo de tipo de dados numérico, a Hora Inicial seria armazenada simplesmente como número e não como timestamp.

Message

Backup transaction finished. Start=1542111920

Start={Event Start Time:\d+}

Origem: /var/log/messages

Nome do Parser: Linux Syslog Format

Message

authenticated mount request from 10.245.251.222:735 for /scratch (/scratch)

authenticated {Action:\w+} request from {Address:[\d\.]+}:{Port:\d+} for {Directory:\S+}\s(

Origem: /var/log/yum.log

Nome do Parser: Yum Format

Message

Updated: kernel-headers-2.6.18-371.0.0.0.1.el5.x86_64

{Action:\w+}: {Package:.*}

Origem: Database Alert Log

Nome do Parser: Database Alert Log Format (Oracle DB 11.1+)

Message

Errors in file /scratch/cs113/db12101/diag/rdbms/pteintg/pteintg/trace/pteintg_smon_3088.trc (incident=4921): ORA-07445: exception encountered: core dump [semtimedop()+10] [SIGSEGV] [ADDR:0x16F9E00000B1C] [PC:0x7FC6DF02421A] [unknown code] []

Errors in file {Trace File:\S+} (incident={Incident:\d+}): {Error ID:ORA-\d+}: exception encountered: core dump [semtimedop()+10] [SIGSEGV] [ADDR:{Address:[\w\d]+] [PC:{Program Counter:[\w\d]+}] [unknown code] []

Origem: FMW WLS Server Log

Nome do Parser: WLS Server Log Format

Message

Server state changed to STARTING

Server state changed to {Status:\w+}

Configurar Opções de Enriquecimento de Campo

O Oracle Log Analytics permite configurar opções de Enriquecimento de Campo de modo que você possa extrair e exibir informações significativas dos dados de seus campos estendidos.

Uma das opções de Enriquecimento de Campo é a Geolocalização, que converte endereços IP ou coordenadas de local presentes nos registros de log em um código de país ou país. Isso pode ser usado em origens de log como Logs de Acesso à Web que têm endereços IP de clientes externos.

Usando a opção Lookup de Enriquecimento de Campo, você pode corresponder combinações de campo/valor de logs com uma tabela de pesquisa externa.

Inclua informações adicionais em suas entradas de log usando a opção Campos Adicionais. Essas informações são adicionadas a cada entrada de log no momento do processamento.

Para substituir uma string/expressão em um campo por uma expressão alternativa e armazenar o resultado em um campo de saída, use a opção Substituição.

Observação

  • Para uma origem, você pode definir no máximo três enriquecimentos de campo, cada um de tipo diferente.

  • Para adicionar o Grupo de Logs como campo de entrada, forneça o respectivo OCID para o valor em vez do nome.

Tópicos:

Usar Consultas de Ingestão de Tempo na Origem

O Oracle Log Analytics permite que você aprimore os dados do log com combinações adicionais de valor de campo de pesquisas definindo a opção Enriquecimento de Campo de Pesquisa na origem. O Oracle Log Analytics vincula o valor do campo especificado a uma tabela de pesquisa externa e, se houver correspondência, anexa outras combinações de campo/valor do registro da pesquisa correspondente aos dados do log. Consulte Gerenciar Lookups.
Observação

Para poder adicionar um lookup para enriquecimento, os usuários precisam de acesso ao compartimento padrão (root).

Você pode adicionar dados de várias pesquisas configurando a opção Enriquecimento do Campo de Pesquisa várias vezes. O Enriquecimento do Campo de Pesquisa é processado na mesma ordem em que é criado. Portanto, se você tiver pesquisas relacionadas nas quais as chaves se sobrepõem e ajudar a adicionar mais enriquecimentos ao processamento de cada pesquisa, certifique-se de incluir as chaves sobrepostas nas seleções de entrada e saída da definição Enriquecimento de Campo de Pesquisa. Para obter um exemplo de como usar várias pesquisas relacionadas para enriquecer dados de log, consulte Exemplo de Adição de Vários Aprimoramentos de Campos de Pesquisa.

Etapas para Adicionar Aprimoramento do Campo de Consulta

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Log Analytics, clique em Administração.

    Os recursos administrativos são listados no painel esquerdo de navegação em Administração. Clique em Origens.

    A página Origens é aberta. Clique em Criar Origem.

    Como alternativa, clique no ícone do menu Ações Ícone Ações ao lado da entrada de origem que você deseja editar e selecione Personalizar. A página Personalizar Origem é exibida.

    Observação

    Certifique-se de que um parser esteja selecionado na página de definição da origem para que o botão Adicionar seja ativado para enriquecimento de campo.

  2. Clique na guia Enriquecimento de Campo e, em seguida, clique em Adicionar.

    A caixa de diálogo Adicionar Enriquecimento de Campo é aberta.

  3. Na caixa de diálogo Adicionar Enriquecimento de Campo,

    1. Selecione o compartimento no qual a pesquisa está localizada.
    2. Selecione Lookup como Função.
    3. Selecione o Nome da Tabela de Pesquisa no menu drop-down.
    4. Em Campos de Entrada, selecione a Coluna da Tabela de Pesquisa e o Campo da Origem de Log para o qual ela deve ser mapeada. Isso é para mapear a chave da tabela de pesquisa para um campo que é preenchido pelo parser em Campo da Origem de Log, por exemplo, a coluna errid na tabela de pesquisa pode ser mapeada para o campo Error ID nos logs.

      A lista dos campos de entrada no Campo da Origem de Log será limitada aos campos que sua origem de log preenche.

    5. Em Ações, selecione o novo campo de origem de log e o valor do campo na coluna da tabela de pesquisa para a qual ele deve ser mapeado. Quando um registro correspondente é encontrado na tabela de pesquisa especificada com base no mapeamento de entrada acima, o campo da saída especificado no Campo da Origem de Log é adicionado ao log com o valor da coluna da pesquisa de saída especificada no Valor do campo. Por exemplo, a coluna erraction na tabela de pesquisa pode ser mapeada para o campo Action.

      Opcionalmente, clique em + Outro item para mapear mais campos de saída.

    6. Clique em Adicionar enriquecimento de campo.

    O lookup agora é adicionado à tabela Enriquecimento de Campo.

  4. Deixe marcada a caixa de seleção Ativado.

  5. Para adicionar mais lookups, repita as etapas 3 e 4.

Quando você exibe os registros de log da origem de log para os quais criou o enriquecimento do campo de lookup de tempo de ingestão, é possível ver que o Campo de Saída exibe valores preenchidos nas entradas de log por causa da referência da tabela de pesquisa usada na criação do enriquecimento de campo. Consulte Gerenciar Lookups.

Exemplo de Adição de Vários Aprimoramentos do Campo de Consulta

Você pode adicionar até três Enriquecimentos de Campo de Pesquisa a uma origem. As pesquisas individuais podem ou não estar relacionadas entre si.

O exemplo a seguir ilustra como três pesquisas relacionadas podem ser configuradas de forma que os dados de log possam ser enriquecidos com informações de todas as três pesquisas. Considere as três pesquisas relacionadas a seguir que têm informações sobre vários hosts:

Lookup1: SystemConfigLookup

Número de série Fabricante Sistema Operacional Memória Tipo de Processador Unidade de Disco ID do Host
SER-NUM-01 Manuf1 OS1 256TB Proc1 Disco Rígido 1,001
SER-NUM-02 Manuf2 OS2 7.5TB Proc3 Unidade de estado sólido 1,002
SER-NUM-03 Manuf2 OS3 16TB Proc2 Unidade de estado sólido 1,003
SER-NUM-04 Manuf3 OS1 512TB Proc5 Disco Rígido 1,004
SER-NUM-05 Manuf1 OS1 128TB Proc4 Disco Rígido 1,001

Lookup2: GeneralHostConfigLookup

ID do Host Proprietário do Host Localização do Host Descrição do Host Endereço IP do Host
1,001 Jack San Francisco Descrição para Jack host 192.0.2.76
1,002 Alexis Denver Descrição para Alexis host 203.0.113.58
1,003 João Seattle Descrição para John host 198.51.100.11
1,004 Jane San Jose Descrição para Jane host 198.51.100.164

Lookup3: NetworkConfigLookup

Endereço IP Máscara de Sub-Rede Gateway Servidor DNS
192.0.2.76 255.255.255.252 192.0.2.1 Servidor recursivo
203.0.113.58 255.255.255.0 203.0.113.1 Servidor autorizado
198.51.100.11 255.255.255.224 198.51.100.1 Servidor raiz
198.51.100.164 255.255.255.192 198.51.100.1 Servidor recursivo

Entre as pesquisas Lookup1 e Lookup2, Host ID é a chave comum que pode ser selecionada como a saída no primeiro enriquecimento de campo de pesquisa e como a entrada no segundo enriquecimento de campo de pesquisa. Da mesma forma, entre as pesquisas Lookup2 e Lookup3, IP Address é a chave comum que pode ser selecionada como saída no primeiro enriquecimento de campo de pesquisa e como entrada no segundo enriquecimento de campo de pesquisa.

Com a definição acima, deixe que os enriquecimentos do campo de pesquisa sejam configurados na ordem 1, 2 e 3:

Enriquecimento do Campo de Consulta Nome da Tabela de Lookup Campos de entrada Ações
1 SystemConfigLookup
  • Campo de Origem de Log: Serial Number
  • Coluna da Tabela de Pesquisa: Serial Number
  • Novo campo de Origem de Log 1: Operating System
  • Valor do campo 1: Operating System
  • Novo campo de Origem de Log 2: Memory
  • Valor de campo 2: Memory
  • Novo campo de Origem de Log 3: Host ID
  • Valor do campo 3: Host ID
2 GeneralHostConfigLookup
  • Campo de Origem de Log: Host ID
  • Coluna da Tabela de Pesquisa: Host ID
  • Novo campo de Origem de Log 1: Host Owner
  • Valor do campo 1: Host Owner
  • Novo campo de Origem de Log 2: Host IP Address
  • Valor do campo 2: Host IP Address
3 NetworkConfigLookup
  • Campo de Origem de Log: Host IP Address
  • Coluna da Tabela de Pesquisa: IP Address
  • Novo campo de Origem de Log 1: Gateway
  • Valor de campo 1: Gateway
  • Novo campo de Origem de Log 2: DNS Server
  • Valor do campo 2: DNS Server

Após a conclusão da configuração de enriquecimento acima, quando o campo Serial Number é detectado nos dados de log, ele é aprimorado com Operating System, Memory, Host ID, Host Owner, Host IP Address, Gateway e DNS Server das três pesquisas. So, for the serial number SER-NUM-01 detected in the log, it is enriched with additional information OS1, 256TB, 1001, Jack, 192.0.2.76, 192.0.2.1, and Recursive server.

Usar o campo de geolocalização para agrupar logs

Depois de configurar o aprimoramento do campo Geolocalização, você poderá exibir registros de log agrupados por país ou código de país. Isso é útil quando você analisa logs que têm informações de localização cruciais, como endereço IP ou coordenadas de localização, por exemplo, logs de acesso, logs de rastreamento ou logs de transporte de aplicativos.

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Log Analytics, clique em Administração.

    Os recursos administrativos são listados no painel esquerdo de navegação em Administração. Clique em Origens.

    A página Origens é aberta. Clique em Criar Origem.

    Como alternativa, clique no ícone do menu Ações Ícone Ações ao lado da entrada de origem que você deseja editar e selecione Personalizar. A página Personalizar Origem é exibida.

  2. Adicione a definição Campos Estendidos para o campo base que contém os registros de endereço IP ou nomes de host específicos do país, como Endereço IP do Host.
  3. Clique na guia Enriquecimento de Campo e, em seguida, clique em Adicionar.
  4. Na caixa de diálogo Adicionar Enriquecimento de Campo, selecione Geolocalização como a Função.
  5. Na seção Campos de Entrada, selecione Campo IP, que é o nome do campo de geolocalização extraído pelo parser dos logs, por exemplo, Client Coordinates ou Host IP Address (Client).

    Para detectar ameaças com as informações de geolocalização, marque a caixa de seleção Enriquecimento de inteligência de ameaças. Durante a ingestão dos dados de log, se o valor do endereço IP associado ao campo de entrada Endereço de Origem no conteúdo do log for marcado como ameaça, ele será adicionado ao campo IPs de Ameaça. Em seguida, você pode usar o campo para filtrar os logs que têm ameaça associada a eles. Além disso, esses registros de log também terão o rótulo IP de Ameaça com uma prioridade de problema Alta. Você pode usar o rótulo em sua pesquisa.

    Os registros de log que têm a prioridade do problema Alta associada a eles têm um ponto vermelho na linha. Isso torna esses registros de log mais proeminentes em sua aparência na tabela, facilitando a sua identificação e análise. Você pode exibir os detalhes do IP de Ameaça clicando no valor do campo IPs de Ameaça e clicando em Exibir informações de ameaça. A caixa de diálogo de informações de ameaça é aberta e exibe detalhes de inteligência de ameaça, como OCID, confiança geral, último relato, primeiro relato, tipo, mais recentemente reportado por, geolocalização e histórico de indicadores. Para obter mais detalhes sobre esses indicadores, consulte Indicadores de Inteligência de Ameaças.

  6. Clique em Adicionar.

Adicionar Mais Dados às Entradas de Log no Tempo de Processamento

Você pode querer incluir mais informações em cada uma de suas entradas como metadados adicionais. Essas informações não fazem parte da entrada de log, mas são adicionadas no momento do processamento. Por exemplo, ID do Contêiner, . Para obter um exemplo de adição de metadados durante o upload de logs sob demanda, consulte Fazer Upload de Logs sob Demanda.

As informações assim adicionadas podem não estar diretamente visíveis no Log Explorer. Siga as etapas abaixo para torná-lo visível no Log Explorer para sua análise de log:

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Log Analytics, clique em Administração.

    Os recursos administrativos são listados no painel esquerdo de navegação em Administração. Clique em Origens.

    A página Origens é aberta. Clique o ícone do menu Ações Ícone Ações ao lado da entrada de origem que você deseja editar e selecione Personalizar. A página Personalizar Origem é exibida.

    Observação

    Certifique-se de que um parser esteja selecionado na página de definição da origem para que o botão Adicionar seja ativado para enriquecimento de campo.

  2. Clique na guia Enriquecimento de Campo e, em seguida, clique em Adicionar.

    A caixa de diálogo Adicionar Enriquecimento de Campo é aberta.

  3. Na caixa de diálogo Adicionar Enriquecimento de Campo,

    1. Selecione Campos Adicionais como a Função.
    2. Em Campos do Mapa, selecione os campos que você deseja mapear para a origem. Os campos selecionados nos analisadores associados a esta origem não estão disponíveis aqui.
    3. Clique em Adicionar.

Depois que você especificar os campos adicionais, eles ficarão visíveis no Log Explorer para análise de log. Eles também podem ser selecionados ao configurar os campos estendidos ou rótulos para origens.

Usar Função de Substituição para Substituir uma Expressão em um Campo

Durante o processamento do log, se você quiser substituir uma parte do valor do campo por uma string ou expressão alternativa, use a função de substituição e armazene a expressão resultante do campo em outro campo de saída.

Considere o cenário em que você deseja capturar todos os registros de log que têm o campo URI com o conteúdo do formato http://www.example.com/forum/books?<ISBN>, e o valor de ISBN varia de acordo com cada registro de log. Nesses casos, você pode substituir o valor de ISBN no campo de cada registro de log por uma string allExampleBooks e armazenar em um campo modified_URI. Como resultado, todos os registros de log capturados com o URI no formato acima também terão o campo modified_URI com o valor http://www.example.com/forum/books?allExampleBooks. Agora você pode usar o campo modified_URI na sua consulta de pesquisa para filtrar esses logs para análise mais detalhada no Log Explorer.

Além disso, use a opção Substituir todas as correspondências para substituir todas as ocorrências do valor no campo. Por exemplo, se o campo Original log content tiver várias ocorrências de endereço IP que você deseja substituir por uma string, você poderá usar essa opção. O resultado pode ser salvo em um campo, por exemplo, Altered log content. Agora você pode usar o campo Altered log content na consulta para filtrar todos os registros de log que têm endereços IP no campo Original log content.

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Log Analytics, clique em Administração.

    Os recursos administrativos são listados no painel esquerdo de navegação em Administração. Clique em Origens.

    A página Origens é aberta. Clique em Criar Origem.

    Como alternativa, clique no ícone do menu Ações Ícone Ações ao lado da entrada de origem que você deseja editar e selecione Personalizar. A página Personalizar Origem é exibida.

  2. Informe um nome para a origem, uma descrição adequada e selecione o tipo de origem. Selecione um parser que deve ser usado para fazer parsing dos logs. Essas seleções determinarão os campos disponíveis para enriquecimento de campo.

  3. Clique na guia Enriquecimento de Campo e, em seguida, clique em Adicionar enriquecimento de campo.

  4. Na caixa de diálogo Adicionar enriquecimento de campo, selecione Substituição como a Função.

  5. Na seção Campos de Entrada:

    1. Selecione o Campo de Origem de Log que tem valores que você deseja substituir, por exemplo, URI.

    2. Em Expressão para correspondência, forneça a expressão regex para correspondência da string no campo que deve ser substituído.

    3. Especifique a String/expressão de substituição que deve ser substituída no lugar do valor original do campo de entrada.

    4. Se o campo tiver várias ocorrências da string que você deseja substituir, ative a caixa de seleção Substituir todas as correspondências.

  6. Na seção Campo de Saída, selecione o campo que deve armazenar o novo valor do campo de entrada após o valor original ser substituído pelo valor de substituição.

  7. Clique em Adicionar enriquecimento de campo.

Usar Labels em Origens

O Oracle Log Analytics permite adicionar labels ou tags a registros de log, com base em condições definidas.

Quando uma entrada de log corresponde à condição definida, um label é preenchido com essa entrada de log. Esse label está disponível nas visualizações do explorador de logs, bem como na pesquisa e filtragem de entradas de log.

Você pode usar labels definidos pela Oracle ou criados pelo usuário nas origens. Para criar um label personalizado para marcar uma entrada de log específica, consulte Criar um Label.

  1. Para usar labels em uma origem existente, edite essa origem. Para saber as etapas para abrir uma página Personalizar Origem, consulte Editar Origem.

  2. Clique na guia Laboratórios.

  3. Para adicionar um label condicional, clique em Adicionar label condicional.

    Na seção Condições:

    1. Selecione o campo de log no qual deseja aplicar a condição na lista Campo de Entrada.

    2. Select the operator from the Operator list Contains, Contains Ignore Case, Contains Regex, Contains one of Regexes, Ends With, Equal, Equal Ignore Case, In, In Ignore Case, Is Null, Not Contains, Not Equal, Not In, Not Null, and Starts With.

    3. No campo Valor da Condição, especifique o valor da condição a ser correspondida para a aplicação do label.

      Observação

      Para adicionar o Grupo de Logs como campo de entrada, forneça o respectivo OCID para o valor em vez do nome.

    4. Para adicionar mais condições, clique no ícone Adicionar Condição Ícone Adicionar Condição e repita as etapas 3a a 3c. Selecione a operação lógica a ser aplicada em várias condições. Selecione AND, OU, NOT AND ou NOT OR.

      Para adicionar um grupo de condições, clique no ícone Condição do Grupo Ícone Condição do Grupo e repita as etapas 3a a 3c para adicionar cada condição. Um grupo de condições deve ter mais de uma condição. Selecione a operação lógica a ser aplicada no grupo de condições. Selecione AND, OU, NOT AND ou NOT OR.

      Para remover uma condição, clique no ícone Remover Condição Ícone Remover Condição.

      Para exibir a lista de condições na forma de demonstrativo, clique em Mostrar Resumo da Condição.

  4. Em Ações, selecione entre os labels já disponíveis definidos pelo sistema Oracle ou criados por usuário. Se necessário, você pode criar um novo label clicando em Criar Label.

    Marque a caixa Habilitado.

  5. Clique em Adicionar.

O Oracle Log Analytics permite pesquisar os labels que você está procurando no Log Explorer. Você pode pesquisar com base em qualquer um dos parâmetros definidos para os labels. Digite a string de pesquisa no campo Pesquisar. Você pode especificar os critérios da pesquisa na caixa de diálogo. Em Tipo de Criação, selecione se os labels que você está procurando são definidos pela Oracle ou pelo usuário. Nos campos Campo de Entrada, Operador e Campo de Saída, você pode selecionar entre as opções disponíveis. Você também pode especificar o valor da condição ou o valor de saída que pode ser usado para a pesquisa. Clique em Aplicar Filtros.

Agora você pode pesquisar dados de log com base nos labels que criou. Consulte Filtrar Logs por Labels.

Usar os Campos Condicionais para Enriquecer o Conjunto de Dados

Se desejar selecionar qualquer campo arbitrário e escrever um valor para ele, você poderá usar os campos condicionais. O preenchimento de um valor em um campo arbitrário usando a funcionalidade de campos condicionais é muito semelhante ao uso de Lookups. No entanto, o uso dos campos condicionais fornece mais flexibilidade em suas condições de correspondência e é ideal para uso ao lidar com um pequeno número de condições - definições da população do campo. Por exemplo, se você tiver algumas condições para preencher um campo, poderá evitar criar e gerenciar uma consulta usando campos condicionais.

As etapas para adicionar os campos condicionais são semelhantes às do fluxo de trabalho acima para adicionar rótulos condicionais.

  • Na etapa 3, em vez de clicar em Adicionar label condicional, clique em Adicionar campo condicional. O restante da etapa 3 para selecionar as condições permanece o mesmo do fluxo de trabalho acima.

  • Na etapa 4 acima,

    1. Para o Campo de Saída, selecione no menu os campos já disponíveis definidos pela Oracle ou criados pelo usuário. Se necessário, você pode criar um novo campo clicando em Criar Novo Campo.

    2. Informe um Valor de Saída para gravar no campo de saída quando a condição de entrada for verdadeira.

      Por exemplo, a origem pode ser configurada para anexar o valor de saída authentication.login para o campo de saída Security Category quando o registro de log contém o campo de entrada Method definido com o valor CONNECT.

      Marque a caixa Habilitado.

Usar o Parser de Tempo Automático

O Oracle Log Analytics permite que você configure sua origem para usar um parser genérico em vez de criar um parser para seus logs. Ao fazer isso, seus logs só terão o tempo de log submetido a parsing das entradas de log se o tempo puder ser identificado pelo Oracle Log Analytics.

Isso é particularmente útil quando você não tem certeza sobre como fazer parsing de seus logs ou como criar expressões regulares para fazer o parsing e só deseja transmitir os dados de log brutos para executar a análise. Normalmente, um parser define como os campos são extraídos de uma entrada de log para um determinado tipo de arquivo de log. No entanto, o parser genérico no Oracle Log Analytics pode:

  • Detectar o timestamp e o fuso horário das entradas de log.

  • Criar um timestamp usando a hora atual se as entradas de log não tiverem qualquer timestamp.

  • Detectar se as entradas de log são de várias linhas ou linha única.

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Log Analytics, clique em Administração.

    Os recursos administrativos são listados no painel esquerdo de navegação em Administração. Clique em Origens.

  2. Na página Origens, clique em Criar origem.
    Isso exibe a caixa de diálogo Criar Origem.
  3. No campo Origem, digite o nome da origem.
  4. No campo Tipo de Origem, selecione Arquivo.
  5. Clique em Tipo de Entidade e selecione o tipo de entidade para essa origem.
  6. Selecione Fazer parsing automaticamente apenas do tempo. O Oracle Log Analytics aplica automaticamente o tipo de parser genérico.
  7. Clique em Salvar.
Quando você acessa os registros de log da origem recém-criada, o Oracle Log Analytics extrai e exibe as seguintes informações das entradas de log: