Documentação do Oracle Cloud Infrastructure

Criar uma Origem

As origens definem a localização dos logs de sua entidade e como enriquecer as entradas de logs. Para iniciar a coleta contínua de logs por meio dos agentes de gerenciamento do OCI, uma origem precisa estar associada a uma ou mais entidades.

Observação

Para etapas mais específicas de

Tópicos Adicionais:

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Logging Analytics, clique em Administração. A página Visão Geral da Administração é aberta.

    Os recursos de administração são listados no painel de navegação à esquerda em Recursos. Clique em Origens.

    A página Origens é aberta. Clique em Criar Origem.

  2. No campo Nome, digite o nome da origem.

    Se desejar, adicione uma descrição.

  3. Na lista Tipo de Origem, selecione o tipo da origem de log.
    O Oracle Log Analytics suporta três tipos de origem de log para origens personalizadas:

    • Arquivo: Use esse tipo para coletar a maioria dos tipos de logs, como logs de Banco de Dados, Aplicativo e Infraestrutura.

    • Oracle Diagnostic Logging (ODL): Use esse tipo para logs que seguem o formato do ODL. Normalmente, eles são usados para logs de diagnóstico no Oracle Fusion Middleware e Oracle Applications.

    • Listener de Syslog: Geralmente é usado para dispositivos de rede, como Intrusion Detection Appliance, Firewall ou outro dispositivo em que um agente de gerenciamento não pôde ser instalado.

    • Microsoft Windows: Use este tipo para coletar mensagens de Evento do Windows. O Oracle Logging Analytics pode coletar todas as entradas históricas do Log de Eventos do Windows. Ele suporta o Windows, bem como canais de eventos personalizados.

      Observação

      Esse tipo de origem não exige o campo Parser de Logs.

    • Banco de Dados: Use esse tipo de origem para coletar os logs armazenados nas tabelas dentro de um banco de dados local. Com esse tipo de origem, uma consulta SQL é executada periodicamente para coletar os dados da tabela como entradas de log.

    • API REST: Use este tipo de origem para configurar a coleta de logs contínua baseada na API REST dos URLs de ponto final que respondem com mensagens de log. Com esse tipo de origem, uma chamada de API GET ou POST é feita no URL do ponto final fornecido para obter os logs.

  4. Clique no campo Tipo de Entidade e selecione o tipo de entidade para essa origem de log. Posteriormente, quando você associar essa origem a uma entidade para ativar a coleta de logs por meio do agente de gerenciamento, somente as entidades desse tipo estarão disponíveis para associação. Uma origem pode ter um ou mais tipos de entidade.

    • Se você selecionou Arquivo, API REST ou Oracle Diagnostic Log (ODL), é recomendável selecionar o tipo de entidade para sua origem de log que mais corresponda ao que você vai monitorar. Evite selecionar tipos de entidades compostas, como Cluster de Banco de Dados; em vez disso, selecione o tipo de entidade Instância do Banco de Dados porque os logs são gerados no nível da instância.

    • Se você tiver selecionado o tipo de origem Listener de Syslog, selecione uma das variantes de Host.

    • Se você tiver selecionado o tipo de origem Banco de Dados, o tipo de entidade estará limitado aos tipos de banco de dados elegíveis.

    • Se você selecionou o tipo de origem Sistema de Eventos do Windows, o tipo de entidade padrão Host (Windows) será selecionado automaticamente e não poderá ser alterado.

  5. Clique no campo Parser e selecione o nome do parser relevante, como Formato de Entradas do Log de Auditoria do Banco de Dados.
    Você pode selecionar vários parsers para os arquivos de log. Isso é particularmente útil quando um arquivo de log tem entradas com sintaxe diferente e não pode ser analisado por um único parser.

    A ordem na qual você adiciona os parsers é importante. Quando o Oracle Logging Analytics lê um arquivo de log, ele tenta o primeiro analisador e passa para o segundo se o primeiro não funciona. Isso continuará até que seja encontrado um parser em funcionamento. Selecione primeiro o parser mais comum para essa origem.

    Para o tipo de origem ODL, o único parser disponível é o do Formato do Oracle Diagnostic Logging.

    Para o tipo de origem Syslog, geralmente é usado um dos parsers de variantes, como Formato Padrão Syslog ou Formato Syslog RFC5424. Você também pode selecionar entre os parsers de syslog definidos pela Oracle para dispositivos de rede específicos.

    O campo Parser de Arquivos não está disponível para os tipos de origem Sistema de Eventos do Windows e API REST. Para o tipo de origem Sistema de Eventos do Windows, o Oracle Logging Analytics recupera dados de log já analisados.

    Para fazer parsing apenas das informações de tempo das entradas de log, você pode selecionar o parser de tempo automático. Consulte Usar o Parser de Tempo Automático.

  6. Digite as seguintes informações dependendo do tipo de origem:

    • Tipo de origem Syslog: Especifique a Porta do Listener.

    • Tipo de origem do Windows: Especifique um nome de canal de serviço de evento. O nome do canal deve corresponder ao nome do evento do Windows para que o agente possa formar a associação para selecionar logs.

    • Tipo de origem do banco de dados: Especifique as Instruções SQL e clique em Configurar. Mapeie as colunas da tabela de SQL para os campos disponíveis no menu. Para criar um novo campo para mapeamento, clique no ícone Ícone Adicionar.

    • Tipo de origem de API REST: Clique em Adicionar ponto final de log para fornecer um único URL de ponto final de log ou em Adicionar ponto final de lista de logs para vários logs para fornecer um URL de ponto final de lista de logs para vários logs dos quais os logs podem ser coletados periodicamente com base na configuração de tempo na IU. Para obter mais informações sobre como configurar a coleta de logs da API REST, consulte Configurar Coleta de Logs da API REST.

    • Tipos de origem de Arquivo e ODL: Use as guias Incluir e Excluir

      • Na guia Padrões Incluídos, clique em Adicionar para especificar os padrões de nome de arquivo dessa origem.

        Digite o padrão de nome de arquivo e a descrição.

        Você pode digitar parâmetros entre chaves {}, como {AdrHome}, como parte do padrão de nome de arquivo. O Oracle Logging Analytics substitui esses parâmetros no padrão de inclusão pelas propriedades da entidade quando a origem está associada a uma entidade. A lista de parâmetros possíveis é definida pelo tipo de entidade. Se você criar seus próprios tipos de entidade, poderá definir suas próprias propriedades. Ao criar uma entidade, você será solicitado a atribuir um valor a cada propriedade dessa entidade. Você também pode adicionar suas próprias propriedades personalizadas por entidade, se necessário. Todas essas propriedades podem ser usadas como parâmetros aqui em Padrões Incluídos.

        Por exemplo, para uma determinada entidade em que a propriedade {AdrHome} esteja definida como /u01/oracle/database/, o padrão de inclusão {AdrHome}/admin/logs/*.log será substituído por /u01/oracle/database/admin/logs/*.log para essa entidade específica. Todas as outras entidades no mesmo host podem ter um valor diferente para {AdrHome}, o que resultaria em um conjunto completamente diferente de arquivos de log a serem coletados para cada entidade.

        Você só poderá associar uma origem a uma entidade se os parâmetros que a origem exige nos padrões tiverem um valor para a entidade em questão.

        Você pode configurar advertências na coleta de logs para seus padrões. Na lista suspensa Enviar Advertência, selecione a situação em que a advertência deve ser emitida:

        • Para cada padrão que tenha um problema: Quando você tiver definido vários padrões de inclusão, uma advertência de coleta de logs será enviado para cada padrão de nome de arquivo que não corresponder.

        • Somente se todos os padrões tiverem problemas: Quando você tiver definido vários padrões de inclusão, uma advertência de coleta de logs só será enviada se nenhum padrão de nome de arquivo corresponder.

      • Você poderá usar um padrão excluído quando houver arquivos no mesmo local que não deseja incluir na definição da origem. Na guia Padrões Excluídos, clique em Adicionar para definir padrões de nomes de arquivos de log que devem ser excluídos desta origem de log.

        Por exemplo, há um arquivo com o nome audit.aud no diretório que você configurou como origem de inclusão (/u01/app/oracle/admin/rdbms/diag/trace/). No mesmo local, há outro arquivo com o nome audit-1.aud. Você pode excluir quaisquer arquivos com o padrão audit-*.aud.

  7. Adicionar Filtros de Dados. Consulte Usar Filtros de Dados em Origens.
  8. Adicionar Campos Estendidos. Consulte Usar Campos Estendidos em Origens.
  9. Configurar opções de Enriquecimento de Campo. Consulte Configurar Opções de Enriquecimento de Campo.
  10. Adicionar Labels. Consulte Usar Labels em Origens.
  11. Clique em Salvar.

Usar Filtros de Dados em Origens

O Oracle Logging Analytics permite que você mascare e oculte informações confidenciais de suas entradas de log, bem como oculte as entradas de log inteiras antes que o upload dos dados de log seja feito na nuvem.

Usando a guia Filtros de Dados ao editar ou criar uma origem, você pode mascarar endereços IP, ID do usuário, nome do host e outras informações confidenciais com strings de substituição, eliminar palavras-chave e valores específicos de uma entrada de log e também ocultar uma entrada de log inteira.

Você pode adicionar filtros de dados ao criar uma origem de log ou ao editar uma origem existente. Consulte Personalizar uma Origem Definida pela Oracle para saber como editar origens de log existentes.

Se os dados do log forem enviados para o Oracle Logging Analytics usando o Upload ou a coleta sob demanda do armazenamento de objetos, o mascaramento acontecerá na nuvem antes da indexação dos dados. Se você estiver coletando logs usando o Agente de Gerenciamento, os logs serão mascarados antes que o conteúdo saia do local.

Tópicos:

Mascarando Dados de Log

O mascaramento é o processo de usar um conjunto de texto existente e substituí-lo por outro texto estático para ocultar o conteúdo original.

Se quiser mascarar qualquer informação, como o nome do usuário e o nome do host das entradas de log:

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Logging Analytics, clique em Administração. A página Visão Geral da Administração é aberta.

  2. Os recursos de administração são listados no painel de navegação à esquerda em Recursos. Clique em Origens.

  3. Clique no nome da origem que você deseja editar. A página de detalhes da origem é aberta. Clique em Editar para editar a origem.

  4. Clique na guia Filtros de Dados e clique em Adicionar.

  5. Digite o Nome da máscara, selecione Mascarar como Tipo, digite o valor Expressão de Localização e seu valor associado Expressão de Substituição.

    O valor Expressão de Localização pode ser pesquisa de texto simples ou expressão regular padrão. O texto que corresponde à Expressão Localizar é substituído pela Expressão Substituir em toda a entrada de log.

    Nome Expressão de Localização Expressão Replace
    mascarar nome do usuário User=\S User=confidential
    mascarar host Host=\S+ Host=mask_host
    Observação

    A sintaxe da string substituta deve corresponder à sintaxe da string que está sendo substituída. Por exemplo, um número não deve ser substituído por uma string. Um endereço IP no formato 123.45.67.89 deve ser substituído por 000.000.000.000 e não por 000.000. Se as sintaxes não corresponderem, os parsers poderão se dividir.

  6. Clique em Salvar.

Ao exibir as entradas de log mascaradas desta origem de log, você descobrirá que o Oracle Logging Analytics mascarou os valores dos campos que você especificou.

  • User = confidential

  • Host = mask_host

Máscara de Hash dos Dados de Log

Quando você mascara os dados de log usando a máscara conforme descrito na seção anterior, as informações mascaradas são substituídas por uma string estática fornecida na Expressão de Substituição. Por exemplo, quando o nome do usuário é mascarado com a string confidential, o nome do usuário é sempre substituído pela expressão confidential nos registros de log para cada ocorrência. Usando máscara de hash, você pode combinar o valor encontrado em um hash exclusivo. Por exemplo, se os registros de log contiverem vários nomes de usuário, cada nome de usuário será combinado para um valor exclusivo. Portanto, se a string user1 for substituída pelo hash de texto ebdkromluceaqie para cada ocorrência, o hash ainda poderá ser usado para identificar que essas entradas de log são do mesmo usuário. No entanto, o nome de usuário real não ficará visível.

Risco Associado: Como esse é um hash, não há como recuperar o valor real do texto original mascarado. No entanto, usando um hash de qualquer string, você sempre chega ao mesmo hash. Certifique-se de considerar esse risco enquanto estiver mascarando dados de log. Por exemplo, a string oracle tem o hash md5 a189c633d9995e11bf8607170ec9a4b8. Toda vez que alguém tentar criar um hash md5 na string oracle, ele sempre terá o mesmo valor. Embora você não possa usar esse hash md5 e revertê-lo de volta para obter a string original oracle, se alguém tentar adivinhar e encaminhar o hash do valor oracle, verá que o hash corresponde ao da entrada de log.

Para aplicar o filtro de dados da máscara de hash nos seus dados de log:

  1. Vá para a página Criar Origem. Para ver as etapas, consulte Criar uma Origem.

  2. Você também pode editar uma origem que já existe. Para ver as etapas para abrir uma página Editar Origem, consulte Editar Origem.

  3. Clique na guia Filtros de Dados e clique em Adicionar.

  4. Digite o Nome da máscara, selecione Máscara de Hash como Tipo, digite o valor Expressão de Localização e seu valor associado Expressão de Substituição.

    Nome Expressão de Localização Expressão Replace
    Mascarar Nome do Usuário User=(\S+)s+ Hash do Texto
    Mascarar Porta Port=(\d+)s+ Hash Numérico

  5. Clique em Salvar.

Se você quiser usar máscara de hash em um campo baseado em string, poderá usar o hash Texto ou Numérico como campo de string. Mas se seu campo de dados for numérico, como um número inteiro, longo ou ponto flutuante, use hash Numérico. Se você não usar hash numérico, o texto de substituição fará com que as expressões regulares que dependem desse valor para serem um número sejam divididas. O valor também não será armazenado.

Essa substituição acontece antes do parsing dos dados. Normalmente, quando os dados devem ser mascarados, não fica claro se são sempre numéricos. Portanto, decida o tipo de hash ao criar a definição de máscara.

Como resultado do mascaramento de hash de exemplo acima, cada nome de usuário é substituído por um hash de texto exclusivo e cada número de porta é substituído por um hash numérico exclusivo.

Você pode utilizar a máscara de hash ao filtrar ou analisar seus dados de log. Consulte Filtrar Logs por Máscara de Hash.

Eliminando Palavras-chave ou Valores Específicos de Seus Registros de Log

O Oracle Logging Analytics permite que você procure uma palavra-chave ou um valor específico nos registros de log e elimine a palavra-chave ou o valor correspondente se essa palavra-chave existir nos registros de log.

Considere o seguinte registro de log:

ns5xt_119131: NetScreen device_id=ns5xt_119131  [Root]system-notification-00257(traffic): start_time="2017-02-07 05:00:03" duration=4 policy_id=2 service=smtp proto=6 src zone=Untrust dst zone=mail_servers action=Permit sent=756 rcvd=756 src=192.0.2.1 dst=203.0.113.1 src_port=44796 dst_port=25 src-xlated ip=192.0.2.1 port=44796 dst-xlated ip=203.0.113.1 port=25 session_id=18738

Se você quiser ocultar a palavra-chave device_id e seu valor do registro de log:

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Logging Analytics, clique em Administração. A página Visão Geral da Administração é aberta.

  2. Os recursos de administração são listados no painel de navegação à esquerda em Recursos. Clique em Origens.

  3. Clique no nome da origem que você deseja editar. A página de detalhes da origem é aberta. Clique em Editar para editar a origem.

  4. Clique na guia Filtros de Dados e clique em Adicionar.

  5. Digite o Nome do filtro, selecione Eliminar String como Topo e digite o valor Expressão de Localização, como device_id=\S*

  6. Clique em Salvar.

Ao exibir os registros de log dessa origem, você descobrirá que o Oracle Logging Analytics eliminou as palavras-chave ou os valores que você especificou.

Observação

Certifique-se de que a expressão regular do parser corresponda ao padrão de registro de log; caso contrário, o Oracle Logging Analytics poderá não fazer parsing dos registros corretamente depois de eliminar a palavra-chave.

Observação

Além de adicionar filtros de dados ao criar uma origem, você também pode editar uma origem existente para adicionar filtros de dados. Consulte Personalizar uma Origem Definida pela Oracle para saber como editar origens existentes.

Eliminando uma Entrada de Log Inteira com Base em Palavras-chave Específicas

O Oracle Logging Analytics permite procurar uma palavra-chave ou um valor específico nos registros de log e eliminar uma entrada de log inteira em um registro de log se essa palavra-chave existir.

Considere o seguinte registro de log:

ns5xt_119131: NetScreen device_id=ns5xt_119131  [Root]system-notification-00257(traffic): start_time="2017-02-07 05:00:03" duration=4 policy_id=2 service=smtp proto=6 src zone=Untrust dst zone=mail_servers action=Permit sent=756 rcvd=756 src=198.51.100.1 dst=203.0.113.254 src_port=44796 dst_port=25 src-xlated ip=198.51.100.1 port=44796 dst-xlated ip=203.0.113.254 port=25 session_id=18738

Digamos que você queira eliminar toda a entrada de log se a palavra-chave device_id existir:

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Logging Analytics, clique em Administração. A página Visão Geral da Administração é aberta.

  2. Os recursos de administração são listados no painel de navegação à esquerda em Recursos. Clique em Origens.

  3. Clique no nome da origem que você deseja editar. A página de detalhes da origem é aberta. Clique em Editar para editar a origem.

  4. Clique na guia Filtros de Dados e clique em Adicionar.

  5. Digite o Nome do filtro, selecione Eliminar Entrada de Log como Tipo e digite o valor Expressão de Localização como .*device_id=.*

    É importante que a expressão regular corresponda à entrada de log inteira. O uso de .* na frente e no final da expressão regular garante que ela corresponda a todos os outros textos na entrada de log.

  6. Clique em Salvar.

Quando você exibir as entradas de log desta origem de log, descobrirá que o Oracle Logging Analytics eliminou todas as entradas de log que contêm a string device_id nelas.

Observação

Além de adicionar filtros de dados ao criar uma origem, você também pode editar uma origem existente para adicionar filtros de dados. Consulte Personalizar uma Origem Definida pela Oracle para saber como editar origens existentes.

Usar Campos Estendidos em Origens

O recurso Campos Estendidos no Oracle Logging Analytics permite que você extraia campos adicionais de um registro de log, além de quaisquer campos analisados pelo parser.

Na definição de origem, é escolhido um parser que pode dividir um arquivo de log em entradas de log e cada entrada de log em um conjunto de campos base. Esses campos base precisariam ser consistentes entre todas as entradas de log. Um parser base extrai campos comuns de um registro de log. No entanto, se você tiver um requisito para extrair campos adicionais do conteúdo da entrada de log, poderá usar a definição de campos estendidos. Por exemplo, o parser pode ser definido de forma que todo o texto no final dos campos comuns de uma entrada de log seja analisado e armazenado em um campo chamado Mensagem.

Quando você procura logs usando a origem atualizada, os valores dos campos estendidos são exibidos com os campos extraídos pelo parser base.

Observação

Para adicionar o Grupo de Logs como campo de entrada, forneça seu OCID para o valor em vez do nome.

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Logging Analytics, clique em Administração. A página Visão Geral da Administração é aberta.

    Os recursos de administração são listados no painel de navegação à esquerda em Recursos. Clique em Origens.

  2. Clique no nome da origem que você deseja editar. A página de detalhes da origem é aberta. Clique em Editar para editar a origem.
  3. Clique na guia Campos Estendidos e, em seguida, clique em Adicionar.
  4. Uma condição pode ser especificada para que a extração de campo só ocorra se a entrada de log que está sendo avaliada corresponder a uma condição predefinida. Para adicionar uma condição ao campo estendido, expanda a seção Condições.
    • Reutilizar Existente: Se necessário, para reutilizar uma condição já definida para a origem do log, selecione o botão de opção Reutilizar Existente e selecione a condição definida anteriormente no menu Condição.
    • Criar Nova Condição: Ative esse botão se quiser definir uma nova condição. Especifique o Campo da Condição, o Operador e o Valor.

      Por exemplo, a definição do campo estendido que só extrairá o valor do campo Nome do Recurso de Segurança do valor do campo Mensagem se o campo Serviço tiver um dos valores informados NetworkManager, dhclient ou dhcpd:

      • Campo Base: Message
      • Exemplo de Conteúdo do Campo Base: DHCPDISCOVER from b8:6b:23:b5:c1:bd (HOST1-LAP) via eth0
      • Expressão de Extração: ^DHCPDISCOVER\s+from\s+{Security Resource Name:\S+}\s+.+

      A condição para essa definição de campo estendido deve ser definida da seguinte forma:

      • Campo de Condição: service
      • Operador de Condição: IN
      • Valor da Condição: NetworkManager,dhclient,dhcpd

      No exemplo acima, o valor extraído do campo Nome do Recurso de Segurança é b8:6b:23:b5:c1:bd.

      Para fornecer diversos valores para o campo Valor da Condição, digite o valor e pressione Enter para cada valor.

    Ao adicionar uma condição, você pode reduzir o processamento de expressão regular em uma entrada de log que provavelmente não tem o valor que você está tentando extrair. Isso pode reduzir efetivamente o tempo de processamento e o atraso na disponibilidade das entradas de log no Log Explorer.

  5. Selecione o Campo Base em que o valor é aquele que você deseja extrair com mais detalhes nos campos.

    Os campos que são mostrados no campo base são aqueles que são analisados pelo parser base e alguns campos padrão que são preenchidos pela coleta de logs, como Entidade de Log (o nome do arquivo, a tabela do banco de dados ou outro local original de onde provém a entrada de log) e Conteúdo de Log Original.

  6. Digite um valor de exemplo comum para o Campo Base que você optou por extrair nos campos adicionais, no espaço Exemplo de Conteúdo de Campo Base. Isso é usado durante a fase de teste para mostrar que a definição de campo estendido está funcionando corretamente.
  7. Digite a expressão de extração no campo Expressão de Extração e marque a caixa de seleção Ativado.

    Uma expressão de extração segue a sintaxe normal de expressão regular, exceto que ao especificar o elemento de extração você deve usar uma macro indicada por chaves { e }. Há dois valores entre chaves separados por dois-pontos :. O primeiro valor entre chaves é o campo no qual armazenar os dados extraídos. O segundo valor é a expressão regular que deve corresponder ao valor a ser capturado do campo base.

    Observação

    Quando você deseja extrair vários valores de um campo usando os Campos Estendidos:

    1. Primeiro crie um campo para o conteúdo do log que possa ter vários valores para um campo, por exemplo, Error IDs. Consulte Criar um Campo.

    2. Na caixa de diálogo Adicionar Definição de Campo Estendido, para o Campo Base, selecione um campo base que seja extraído de um parser e tenha dados de vários valores, por exemplo, Message, Original Log Content.

    3. Informe Exemplo de Conteúdo de Campo Base que tenha vários valores de um campo que você deseja extrair.

    4. Em Expressão de Extração, forneça a expressão regular para extrair cada valor do campo. Clique em Adicionar.


    EFD para Vários valores de um Campo

  8. Clique em Testar Definição para confirmar se a expressão de extração pode extrair com sucesso os campos desejados do conteúdo de exemplo do campo base fornecido. No caso de sucesso na correspondência, a Contagem de Etapas é exibida, sendo uma boa medida da eficácia da expressão de extração. Se a expressão for ineficiente, pode ser que ocorra timeout da extração e o campo não será preenchido.
    Observação

    É melhor manter a contagem de etapas abaixo de 1.000 para obter o melhor desempenho. Quanto mais alto esse número, mais tempo será necessário para processar os logs e disponibilizá-los no Log Explorer.
  9. Clique em Salvar.

Se você usar a opção Somente tempo de parsing automático na definição de origem, em vez de criar um parser, o único campo que estará disponível para criar Definições de Campo Estendido será o campo Conteúdo de Log Original, visto que nenhum outro campo será preenchido pelo parser. Consulte Usar o Parser de Tempo Automático.

O Oracle Logging Analytics permite que você procure os campos estendidos que você deseja. Você pode pesquisar com base na forma como ele foi criado, no tipo de campo base ou com algum conteúdo de exemplo do campo. Digite o conteúdo do exemplo no campo Pesquisar ou clique na seta para baixo da caixa de diálogo de pesquisa. Na caixa de diálogo de pesquisa, em Tipo de Criação, selecione se os campos estendidos que você está procurando são definidos pelo usuário ou pela Oracle. Em Campo Base, você pode selecionar entre as opções disponíveis. Também é possível especificar o conteúdo de exemplo ou a expressão do campo de extração que pode ser usada para a pesquisa. Clique em Aplicar Filtros.

Tabela 8-1 Conteúdo de Exemplo de Amostra e Expressão de Extração de Campo Estendido

Descrição Campo Base Conteúdo de Exemplo Expressão de Extração de Campo Estendido
Para extrair a entrada do arquivo de ponto final do campo URI de um arquivo de log do Fusion Middleware Access

URI

/service/myservice1/endpoint/file1.jpg

{Content Type:\.(jpg|html|png|ico|jsp|htm|jspx)}

Isso extrairá o sufixo de arquivo, como jpg ou html, e armazenará o valor no campo Tipo de Conteúdo. Só serão extraídos os sufixos listados na expressão.

Para extrair o nome do usuário do caminho do arquivo de uma entidade de log

Log Entity

/u01/oracle/john/audit/134fa.xml

/\w+/\w+/{User Name:\w+}/\w+/\w+

Para extrair a hora inicial do campo Mensagem

Observação: A Hora Inicial do Evento é um campo de tipo de dados Timestamp. Se esse fosse um campo de tipo de dados numérico, a Hora Inicial seria armazenada simplesmente como número e não como timestamp.

Message

Backup transaction finished. Start=1542111920

Start={Event Start Time:\d+}

Origem: /var/log/messages

Nome do Parser: Linux Syslog Format

Message

authenticated mount request from 10.245.251.222:735 for /scratch (/scratch)

authenticated {Action:\w+} request from {Address:[\d\.]+}:{Port:\d+} for {Directory:\S+}\s(

Origem: /var/log/yum.log

Nome do Parser: Yum Format

Message

Updated: kernel-headers-2.6.18-371.0.0.0.1.el5.x86_64

{Action:\w+}: {Package:.*}

Origem: Database Alert Log

Nome do Parser: Database Alert Log Format (Oracle DB 11.1+)

Message

Errors in file /scratch/cs113/db12101/diag/rdbms/pteintg/pteintg/trace/pteintg_smon_3088.trc (incident=4921): ORA-07445: exception encountered: core dump [semtimedop()+10] [SIGSEGV] [ADDR:0x16F9E00000B1C] [PC:0x7FC6DF02421A] [unknown code] []

Errors in file {Trace File:\S+} (incident={Incident:\d+}): {Error ID:ORA-\d+}: exception encountered: core dump [semtimedop()+10] [SIGSEGV] [ADDR:{Address:[\w\d]+] [PC:{Program Counter:[\w\d]+}] [unknown code] []

Origem: FMW WLS Server Log

Nome do Parser: WLS Server Log Format

Message

Server state changed to STARTING

Server state changed to {Status:\w+}

Configurar Opções de Enriquecimento de Campo

O Oracle Logging Analytics permite que você configure opções de Aumento de Campo para que possa extrair e exibir informações significativas dos dados dos campos estendidos.

Uma das opções de Enriquecimento de Campo é Geolocalização, que converte endereços IP ou coordenadas de localização presentes nos registros de log em um país ou código de país. Isso pode ser usado em origens de log, como Logs de Acesso à Web, que têm endereços IP de cliente externos.

Usando a opção Lookup de Enriquecimento de Campo, você pode corresponder combinações de campo/valor de logs com uma tabela de pesquisa externa.

Inclua informações adicionais em suas entradas de log usando a opção Campos Adicionais. Essas informações são adicionadas a cada entrada de log no momento do processamento.

Para substituir uma string/expressão em um campo por uma expressão alternativa e armazenar o resultado em um campo de saída, use a opção Substituição.

Observação

  • Para uma origem, você pode definir no máximo três enriquecimentos de campo, cada um de tipo diferente.

  • Para adicionar o Grupo de Logs como campo de entrada, forneça seu OCID para o valor em vez do nome.

Tópicos:

Usar Pesquisas de Tempo de Ingestão na Origem

O Oracle Logging Analytics permite que você enriqueça dados de log com combinações adicionais de campo/valor de lookups configurando a opção Aprimoramento de Campo de Lookup na origem. O Oracle Logging Analytics corresponde o valor do campo especificado com uma tabela de lookup externa e, se correspondente, anexa outras combinações de campo/valor do registro de lookup correspondente aos dados de log. Consulte Gerenciar Lookups.

Você pode adicionar dados de várias pesquisas configurando a opção Aprimoramento do Campo de Pesquisa várias vezes. O Aprimoramento do Campo de Pesquisa é processado na mesma ordem em que é criado. Portanto, se você tiver pesquisas relacionadas em que as chaves se sobrepõem e ajudam a adicionar mais enriquecimentos com o processamento de cada pesquisa, certifique-se de incluir as chaves de sobreposição nas seleções de entrada e saída da definição Aprimoramento de Campo de Pesquisa. Para obter um exemplo de como usar várias pesquisas relacionadas para enriquecer dados de log, consulte Exemplo de Adição de Vários Aprimoramentos de Campo de Pesquisa.

Etapas para Adicionar Enriquecimento do Campo de Pesquisa

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Logging Analytics, clique em Administração. A página Visão Geral da Administração é aberta.

    Os recursos de administração são listados no painel de navegação à esquerda em Recursos. Clique em Origens.

    A página Origens é aberta. Clique em Criar Origem.

    Como alternativa, clique no ícone de menu Ações ícone Ações ao lado da entrada de origem que você deseja editar e selecione Editar. A página Editar Origem é exibida.

    Observação

    Certifique-se de que um parser esteja selecionado na página de definição da origem para que o botão Adicionar seja ativado para enriquecimento de campo.

  2. Clique na guia Enriquecimento de Campo e, em seguida, clique em Adicionar.

    A caixa de diálogo Adicionar Enriquecimento de Campo é aberta.

  3. Na caixa de diálogo Adicionar Enriquecimento de Campo,

    1. Selecione o compartimento no qual a pesquisa está localizada.
    2. Selecione Lookup como Função.
    3. Selecione o Nome da Tabela de Pesquisa no menu drop-down.
    4. Em Campos de Entrada, selecione a Coluna da Tabela de Pesquisa e o Campo da Origem de Log para o qual ela deve ser mapeada. Isso é para mapear a chave da tabela de pesquisa para um campo que é preenchido pelo parser em Campo da Origem de Log, por exemplo, a coluna errid na tabela de pesquisa pode ser mapeada para o campo Error ID nos logs.

      A lista dos campos de entrada no Campo da Origem de Log será limitada aos campos que sua origem de log preenche.

    5. Em Ações, selecione o novo campo de origem de log e o valor do campo na coluna da tabela de pesquisa para a qual ele deve ser mapeado. Quando um registro correspondente é encontrado na tabela de pesquisa especificada com base no mapeamento de entrada acima, o campo de saída especificado no Campo da Origem de Log é adicionado ao log com o valor da coluna de pesquisa de saída especificado no Valor do campo. Por exemplo, a coluna erraction na tabela de pesquisa pode ser mapeada para o campo Action.

      Opcionalmente, clique em + Outro item para mapear mais campos de saída.

    6. Clique em Adicionar enriquecimento de campo.

    O lookup agora é adicionado à tabela Enriquecimento de Campo.

  4. Deixe marcada a caixa de seleção Ativado.

  5. Para adicionar mais pesquisas, repita as etapas 3 e 4.

Quando você exibe os registros de log da origem de log para os quais criou o enriquecimento do campo de lookup de tempo de ingestão, é possível ver que o Campo de Saída exibe valores preenchidos nas entradas de log por causa da referência da tabela de pesquisa usada na criação do enriquecimento de campo. Consulte Gerenciar Lookups.

Exemplo de Adição de Vários Aprimoramentos de Campos de Consulta

Você pode adicionar até três Aprimoramentos de Campo de Pesquisa a uma origem. As pesquisas individuais podem ou não estar relacionadas entre si.

O exemplo a seguir ilustra como três pesquisas relacionadas podem ser configuradas de forma que os dados de log possam ser enriquecidos com informações de todas as três pesquisas. Considere as três pesquisas relacionadas a seguir que têm informações sobre vários hosts:

Lookup1: SystemConfigLookup

Número de série Fabricante Sistema Operacional Memória Tipo de Processador Unidade de Disco ID do Host
SÉRICO-01 Manuf1 OS1 256TB Proc1 Disco rígido 1,001
SÉRICO-02 Manuf2 OS2 7.5TB Proc3 Unidade de estado sólido 1,002
SÉRICO-03 Manuf2 OS3 16TB Proc2 Unidade de estado sólido 1,003
SÉRICO-04 Manuf3 OS1 512TB Proc5 Disco rígido 1,004
SÉRICO-05 Manuf1 OS1 128TB Proc4 Disco rígido 1,001

Lookup2: GeneralHostConfigLookup

ID do Host Proprietário do Host Local do Host Descrição do Host Endereço IP do Host
1,001 Jack San Francisco Descrição para Jack host 192.0.2.76
1,002 Alexis Denver Descrição para Alexis host 203.0.113.58
1,003 John Seattle Descrição para John host 198.51.100.11
1,004 Jane San José Descrição para Jane host 198.51.100.164

Lookup3: NetworkConfigLookup

Endereço IP Máscara de Sub-Rede Gateway Servidor DNS
192.0.2.76 255.255.255.252 192.0.2.1 Servidor recursivo
203.0.113.58 255.255.255.0 203.0.113.1 Servidor confiável
198.51.100.11 255.255.255.224 198.51.100.1 Servidor raiz
198.51.100.164 255.255.255.192 198.51.100.1 Servidor recursivo

Entre as pesquisas Lookup1 e Lookup2, Host ID é a chave comum que pode ser selecionada como saída no primeiro enriquecimento de campo de pesquisa e como entrada no segundo enriquecimento de campo de pesquisa. Da mesma forma, entre as pesquisas Lookup2 e Lookup3, IP Address é a chave comum que pode ser selecionada como saída no primeiro enriquecimento de campo de pesquisa e como entrada no segundo enriquecimento de campo de pesquisa.

Com a configuração acima, deixe que os enriquecimentos do campo de pesquisa sejam configurados na ordem 1, 2 e 3:

Enriquecimento do Campo de Pesquisa Nome da Tabela de Lookup Campos de Entrada Ações
1 SystemConfigLookup
  • Campo de Origem do Log: Serial Number
  • Coluna da Tabela de Pesquisa: Serial Number
  • Novo campo de Origem de Log 1: Operating System
  • Valor do campo 1: Operating System
  • Campo 2 da Nova Origem do Log: Memory
  • Valor do campo 2: Memory
  • Novo campo de Origem de Log 3: Host ID
  • Valor do campo 3: Host ID
2 GeneralHostConfigLookup
  • Campo de Origem do Log: Host ID
  • Coluna da Tabela de Pesquisa: Host ID
  • Novo campo de Origem de Log 1: Host Owner
  • Valor do campo 1: Host Owner
  • Novo campo de Origem de Log 2: Host IP Address
  • Valor do campo 2: Host IP Address
3 NetworkConfigLookup
  • Campo de Origem do Log: Host IP Address
  • Coluna da Tabela de Pesquisa: IP Address
  • Campo 1 da Nova Origem do Log: Gateway
  • Valor do campo 1: Gateway
  • Novo campo de Origem de Log 2: DNS Server
  • Valor do campo 2: DNS Server

Após a conclusão da configuração de enriquecimento acima, quando o campo Serial Number é detectado nos dados de log, ele é enriquecido ainda mais com Operating System, Memory, Host ID, Host Owner, Host IP Address, Gateway e DNS Server das três pesquisas. So, for the serial number SER-NUM-01 detected in the log, it is enriched with additional information OS1, 256TB, 1001, Jack, 192.0.2.76, 192.0.2.1, and Recursive server.

Usar o Campo de Geolocalização para Agrupar Logs

Depois de configurar o enriquecimento do campo Geolocalização, você poderá exibir registros de log agrupados por país ou código de país. Isso é útil quando você analisa logs que têm informações de localização cruciais, como endereço IP ou coordenadas de localização, por exemplo, logs de acesso, logs de rastreamento ou logs de transporte de aplicativos.

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Logging Analytics, clique em Administração. A página Visão Geral da Administração é aberta.

    Os recursos de administração são listados no painel de navegação à esquerda em Recursos. Clique em Origens.

    A página Origens é aberta. Clique em Criar Origem.

    Como alternativa, clique no ícone de menu Ações ícone Ações ao lado da entrada de origem que você deseja editar e selecione Editar. A página Editar Origem é exibida.

  2. Adicione a definição Campos Estendidos para o campo base que contém o endereço IP específico do país ou registros de nomes de host, como Endereço IP do Host.
  3. Clique na guia Enriquecimento de Campo e, em seguida, clique em Adicionar.
  4. Na caixa de diálogo Adicionar Enriquecimento de Campo, selecione Geolocalização como a Função.
  5. Na seção Campos de Entrada, selecione Campo IP, que é o nome do campo de gelocalização extraído pelo parser dos logs, por exemplo, Client Coordinates ou Host IP Address (Client).

    Para detectar ameaças com as informações de geolocalização, ative a caixa de seleção Enriquecimento de inteligência de ameaças. Durante a ingestão dos dados de log, se o valor do endereço IP associado ao campo de entrada Endereço de Origem no conteúdo do log for sinalizado como uma ameaça, ele será adicionado ao campo IPs de Ameaça. Em seguida, você pode usar o campo para filtrar os logs que têm ameaça associada a eles. Além disso, esses registros de log também terão o label IP de Ameaça com uma prioridade de problema Alta. Você pode usar o rótulo em sua pesquisa.

    Os registros de log que têm prioridade de problema Alta associados a eles têm um ponto vermelho na linha. Isso torna esses registros de log mais proeminentes em sua aparência na tabela, tornando mais fácil para você identificá-los e analisá-los. Em seguida, você pode abrir os IPs de Ameaças no console do Oracle Threat Intelligence e obter mais informações sobre a ameaça.

  6. Clique em Adicionar.

Adicionar Mais Dados às Entradas de Log no Tempo de Processamento

Talvez você queira incluir mais informações em cada uma de suas entradas como metadados adicionais. Essas informações não fazem parte da entrada de log, mas são adicionadas no momento do processamento, por exemplo, ID do Contêiner, . Para obter um exemplo de adição de metadados ao fazer upload de logs sob demanda, consulte Fazer Upload de Logs sob Demanda.

As informações assim adicionadas podem não estar diretamente visíveis no Log Explorer. Siga as etapas abaixo para torná-lo visível no Log Explorer para sua análise de log:

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Logging Analytics, clique em Administração. A página Visão Geral da Administração é aberta.

    Os recursos de administração são listados no painel de navegação à esquerda em Recursos. Clique em Origens.

    A página Origens é aberta. Clique no ícone de menu Ações ícone Ações ao lado da entrada de origem que você deseja editar e selecione Editar. A página Editar Origem é exibida.

    Observação

    Certifique-se de que um parser esteja selecionado na página de definição da origem para que o botão Adicionar seja ativado para enriquecimento de campo.

  2. Clique na guia Enriquecimento de Campo e, em seguida, clique em Adicionar.

    A caixa de diálogo Adicionar Enriquecimento de Campo é aberta.

  3. Na caixa de diálogo Adicionar Enriquecimento de Campo,

    1. Selecione Campos Adicionais como a Função.
    2. Em Mapear Campos, selecione os campos que você deseja mapear para a origem. Os campos selecionados nos analisadores associados a esta origem não estão disponíveis aqui.
    3. Clique em Adicionar.

Depois que você especificar os campos adicionais, eles ficarão visíveis no Log Explorer para análise de log. Eles também podem ser selecionados ao configurar os Campos ou Labels Estendidos para origens.

Usar Função de Substituição para Substituir uma Expressão em um Campo

Durante o processamento de log, se você quiser substituir uma parte do valor do campo por uma string ou expressão alternativa, use a função de substituição e armazene a expressão resultante do campo em outro campo de saída.

Considere o cenário em que você deseja capturar todos os registros de log que têm o campo URI com o conteúdo do formato http://www.example.com/forum/books?<ISBN>, e o valor de ISBN varia com cada registro de log. Nesses casos, você pode substituir o valor de ISBN no campo de cada registro de log por uma string allExampleBooks e armazená-lo em um campo modified_URI. Como resultado, todos os registros de log capturados com URI no formato acima também terão o campo modified_URI com o valor http://www.example.com/forum/books?allExampleBooks. Agora você pode usar o campo modified_URI em sua consulta de pesquisa para filtrar esses logs para análise posterior no Log Explorer.

Além disso, use a opção Substituir todas as correspondências para substituir todas as ocorrências do valor no campo. Por exemplo, se o campo Original log content tiver várias ocorrências de endereço IP que você deseja substituir por uma string, você poderá usar essa opção. O resultado pode ser salvo em um campo, por exemplo, Altered log content. Agora você pode usar o campo Altered log content na consulta para filtrar todos os registros de log que têm endereços IP no campo Original log content.

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Logging Analytics, clique em Administração. A página Visão Geral da Administração é aberta.

    Os recursos de administração são listados no painel de navegação à esquerda em Recursos. Clique em Origens.

    A página Origens é aberta. Clique em Criar Origem.

    Como alternativa, clique no ícone de menu Ações ícone Ações ao lado da entrada de origem que você deseja editar e selecione Editar. A página Editar Origem é exibida.

  2. Informe um nome para a origem, uma descrição adequada e selecione o tipo de origem. Selecione um parser que deve ser usado para fazer parsing dos logs. Essas seleções determinarão os campos disponíveis para enriquecimento de campo.

  3. Clique na guia Enriquecimento de Campo e, em seguida, clique em Adicionar enriquecimento de campo.

  4. Na caixa de diálogo Adicionar enriquecimento de campo, selecione Substituição como a Função.

  5. Na seção Campos de Entrada:

    1. Selecione o Campo de Origem de Log que tem valores que você deseja substituir, por exemplo, URI.

    2. Em Expressão a ser correspondida, forneça a expressão regex a ser correspondida para a string no campo que deve ser substituída.

    3. Especifique a string/expressão de substituição que deve ser substituída no lugar do valor original do campo de entrada.

    4. Se o campo tiver várias ocorrências da string que você deseja substituir, ative a caixa de seleção Substituir todas as correspondências.

  6. Na seção Campo de Saída, selecione o campo que deve armazenar o novo valor do campo de entrada depois que o valor original for substituído pelo valor de substituição.

  7. Clique em Adicionar enriquecimento de campo.

Usar Labels em Origens

O Oracle Logging Analytics permite que você adicione labels ou tags aos registros de log, com base em condições definidas.

Quando uma entrada de log corresponde à condição definida, um label é preenchido com essa entrada de log. Esse label está disponível nas visualizações do explorador de logs, bem como na pesquisa e filtragem de entradas de log.

Você pode usar labels definidos pela Oracle ou criados pelo usuário nas origens. Para criar um label personalizado para marcar uma entrada de log específica, consulte Criar um Label.

  1. Para usar labels em uma origem existente, edite essa origem. Para ver as etapas para abrir uma página Editar Origem, consulte Editar Origem.

  2. Clique na guia Labels.

  3. Para adicionar um label condicional, clique em Adicionar label condicional.

    Na seção Conditions:

    1. Selecione o campo de log no qual você deseja aplicar a condição na lista Campo de Entrada.

    2. Selecione o operador na lista Operador.

    3. No campo Valor da Condição, especifique o valor da condição a ser correspondida para a aplicação do label.

      Observação

      Para adicionar o Grupo de Logs como campo de entrada, forneça seu OCID para o valor em vez do nome.

    4. Para adicionar mais condições, clique no ícone Adicionar Condição Ícone Adicionar Condição e repita as etapas 3a a 3c. Selecione a operação lógica a ser aplicada nas várias condições. Selecione E, OU, NÃO E ou NÃO OU.

      Para adicionar um grupo de condições, clique no ícone Condição do Grupo Ícone Condição do Grupo e repita as etapas 3a a 3c para adicionar cada condição. Um grupo de condições deve ter mais de uma condição. Selecione a operação lógica a ser aplicada no grupo de condições. Selecione E, OU, NÃO E ou NÃO OU.

      Para remover uma condição, clique no ícone Remover Condição Ícone Remover Condição.

      Para exibir a lista de condições na forma de instrução, clique em Mostrar Resumo da Condição.

  4. Em Ações, selecione entre os labels já disponíveis definidos pela Oracle ou criados pelo usuário. Se necessário, você poderá criar um novo label clicando em Criar Label.

    Marque a caixa de seleção Ativado .

  5. Clique em Adicionar.

O Oracle Logging Analytics permite que você procure os labels que você deseja no Log Explorer. Você pode pesquisar com base em qualquer um dos parâmetros definidos para os labels. Digite a string de pesquisa no campo Pesquisar. Você pode especificar os critérios da pesquisa na caixa de diálogo. Em Tipo de Criação, selecione se os labels que você está procurando são definidos pela Oracle ou pelo usuário. Nos campos Campo de Entrada, Operador e Campo de Saída, você pode selecionar entre as opções disponíveis. Você também pode especificar o valor da condição ou o valor de saída que pode ser usado para a pesquisa. Clique em Aplicar Filtros.

Agora você pode pesquisar dados de log com base nos labels que criou. Consulte Filtrar Logs por Labels.

Usar os Campos Condicionais para Aprimorar o Conjunto de Dados

Se desejar selecionar qualquer campo arbitrário e digitar um valor nele, você poderá usar os campos condicionais. O preenchimento de um valor em um campo arbitrário usando a funcionalidade de campos condicionais é muito semelhante ao uso de Pesquisas. No entanto, o uso dos campos condicionais oferece mais flexibilidade nas condições de correspondência e é ideal para ser usado quando se lida com um pequeno número de condições - definições de preenchimento de campo. Por exemplo, se houver algumas condições para preencher um campo, você poderá evitar a criação e o gerenciamento de um lookup usando campos condicionais.

As etapas para adicionar os campos condicionais são semelhantes às do fluxo de trabalho acima para adicionar rótulos condicionais.

  • Na etapa 3, em vez de clicar em Adicionar label condicional, clique em Adicionar campo condicional. O restante da etapa 3 para selecionar as condições permanece igual ao fluxo de trabalho acima.

  • Na etapa 4 acima,

    1. Para o Campo de Saída, selecione no menu os campos já disponíveis definidos pela Oracle ou criados pelo usuário. Se necessário, você poderá criar um novo campo clicando em Criar Novo Campo.

    2. Informe um Valor de Saída a ser gravado para o campo de saída quando a condição de entrada for verdadeira.

      Por exemplo, a origem pode ser configurada para anexar o valor de saída authentication.login para o campo de saída Security Category quando o registro de log contém o campo de entrada Method definido com o valor CONNECT.

      Marque a caixa de seleção Ativado .

Usar o Parser de Tempo Automático

O Oracle Logging Analytics permite que você configure sua origem para usar um parser genérico em vez de criar um para seus logs. Ao fazer isso, seus logs só terão o tempo de log analisado as entradas de log se o tempo puder ser identificado pelo Oracle Logging Analytics.

Isso é particularmente útil quando você não tem certeza sobre como fazer parsing de seus logs ou como criar expressões regulares para fazer o parsing e só deseja transmitir os dados de log brutos para executar a análise. Normalmente, um parser define como os campos são extraídos de uma entrada de log para um determinado tipo de arquivo de log. No entanto, o parser genérico no Oracle Logging Analytics pode:

  • Detectar o timestamp e o fuso horário das entradas de log.

  • Criar um timestamp usando a hora atual se as entradas de log não tiverem qualquer timestamp.

  • Detectar se as entradas de log são de várias linhas ou linha única.

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Logging Analytics, clique em Administração. A página Visão Geral da Administração é aberta.

    Os recursos de administração são listados no painel de navegação à esquerda em Recursos. Clique em Origens.

  2. Na página Origens, clique em Criar origem.
    Isso exibe a caixa de diálogo Criar Origem.
  3. No campo Origem, digite o nome da origem.
  4. No campo Tipo de Origem, selecione Arquivo.
  5. Clique em Tipo de Entidade e selecione o tipo de entidade para essa origem.
  6. Selecione Fazer parsing automaticamente apenas do tempo. O Oracle Logging Analytics aplica automaticamente o tipo de parser genérico.
  7. Clique em Salvar.
Quando você acessar os registros de log da origem recém-criada, o Oracle Logging Analytics extrairá e exibirá as seguintes informações das entradas de log:

  • Timestamp:

    • Quando uma entrada de log não tem um timestamp, o parser genérico cria e exibe o timestamp com base na hora em que os dados de log foram coletados.

    • Quando um registro de log contém um timestamp, mas o fuso horário não está definido, o parser genérico usa o fuso horário do agente de gerenciamento.

      Ao usar o Agente de Gerenciamento, se o fuso horário não for detectado de forma adequada, você poderá definir manualmente o fuso horário nos arquivos de configuração do agente. Consulte Especificar Manualmente Fuso Horário e Codificação de Caracteres para Arquivos.

      Ao fazer upload de logs usando upload sob demanda, você pode especificar o fuso horário com seu upload para forçar o fuso horário se não pudermos detectá-lo adequadamente. Se você estiver usando a CLI, consulte Referência de Linha de Comando: Logging Analytics - Fazer Upload. Se você estiver usando a API REST, consulte API do Logging Analytics - Fazer Upload.

    • Quando um arquivo de log tem registros de log com vários fusos horários, o parser genérico pode suportar até 11 fusos horários.

    • Quando um arquivo de log exibe algumas entradas de log com fuso horário e algumas sem, o parser genérico usa o fuso horário encontrado anteriormente para os que não possuem um fuso horário.

    • Quando você ingere logs usando o agente de gerenciamento, se o fuso horário ou o offset de fuso horário não for indicado nos registros de log, o Oracle Logging Analytics comparará o horário da última modificação do SO com o timestamp da última entrada de log para determinar o fuso horário adequado.

  • Várias linhas: Quando uma entrada de log abrange várias linhas, o parser genérico pode capturar o conteúdo de várias linhas corretamente.