OCI 日誌記錄分析：設定持續日誌收集

開始之前

Oracle Logging Analytics 是可高度擴展、可靠且即時的日誌分析解決方案。Logging Analytics 可自動從任何內部部署或雲端資源收集歷史和即時日誌。此服務提供多種方法，可讓您在開始分析日誌之前，先將日誌擷取至 OCI。

本指南將引導您完成在日誌記錄分析中設定連續日誌收集的步驟。您大約需要 30 分鐘的時間來設定日誌記錄分析、安裝代理程式、擷取一些重要的 Linux 主機日誌，以及瀏覽日誌總管中的日誌。

背景

在此範例中，管理代理程式將安裝在 Linux 主機上，我們想要持續收集日誌。代理程式通常會安裝在您的內部部署資料中心，但您也可以將它們安裝在執行 Linux 的雲端運算執行處理上。請注意，本教學課程著重於使用獨立「管理代理程式」進行日誌收集。

瞭解日誌記錄分析與其階層中的主要資源。請參閱金鑰資源階層。

軟硬體需求

OCI 使用者帳戶。此使用者將會新增至 Logging-Analytics-SuperAdmins 群組。
若要啟用 Oracle Logging Analytics，使用者必須是管理員群組的成員。此外，使用新增資料精靈時，使用者必須是管理員群組的成員，且必須能夠存取 root 區間，才能擷取用於監控 OCI 資源的日誌、使用管理代理程式進行監控 (只有在您還必須設定管理代理程式、監控 Kubernetes 或用於安全性與規範時才適用)。請參閱管理員群組、原則和管理員角色。
安裝「管理代理程式」並從中收集日誌的 Linux 主機。
如果您的主機是 OCI Compute 執行處理，您就可以在 Oracle Cloud 代理程式中啟用管理代理程式 Plugin。請參閱在運算執行處理上部署管理代理程式。若要在 Oracle Cloud 代理程式中啟用「管理代理程式」Plugin，請確定 JVM 堆集大小至少為 512 MB。不過請注意，如有需要，您也可以在 OCI Compute 執行處理上使用獨立代理程式。
如果您的主機是非 OCI Compute 執行處理，請依照安裝管理代理程式小節中的說明安裝管理代理程式。
指定適合您使用案例的日誌來源。您會將來源關聯至您在稍後區段中建立的實體。請注意，您也必須識別要包含在來源中的剖析器。您可以根據需求，從一組大型 Oracle 定義的來源和剖析器中選取。請參閱 Logging Analytics 術語與概念：來源與 Oracle 定義來源。

啟用日誌記錄分析

如果您已經使用日誌記錄分析，請確認已建立服務原則和使用者 / 群組原則。開啟導覽功能表，然後按一下識別與安全。在身分識別底下，按一下原則並驗證。如需已建立的原則清單，請參閱加入日誌記錄分析時建立的原則。略過此段落並繼續安裝管理代理程式段落。

如果您是新使用者且想要開始使用日誌記錄分析，請依照下方的上線處理作業進行。

您可以從最上層的 OCI 主控台功能表取得日誌記錄分析。導覽至可觀測性與管理，然後按一下記錄分析。

ela1 圖解描述

請複查可提供服務部分高階詳細資訊的到職頁面，以及開始使用日誌記錄分析服務的選項。按一下開始使用日誌記錄分析。

ela2 圖解描述

複查自動建立的原則。如需已建立的原則清單，請參閱加入日誌記錄分析時建立的原則。如果日誌群組不存在，則會建立預設。順利啟用日誌記錄分析之後，請按一下下一步以繼續進行作業。

ela3 圖解描述

已設定「OCI 稽核日誌」集合。預設會啟用在子區間中包含 _Audit 核取方塊。如需設定 OCI 稽核日誌收集所建立的原則清單，請參閱上線時建立的原則日誌記錄分析。按下一步。

ela4 圖解描述

順利啟用「OCI 稽核日誌分析」之後，請按一下移至 OCI 稽核日誌儀表板並檢視分析。

ela6 圖解描述

安裝管理代理

若要使用「管理代理程式」設定連續日誌收集，請執行下列步驟。請注意，此處所列的步驟是用於使用獨立「管理代理程式」進行日誌收集。若要改用 OCI Compute 執行處理上的 Oracle Cloud 代理程式，請務必在此段落中實行最後一個步驟。

移至「管理」頁面。在「日誌記錄分析」中，按一下左上角的功能表，然後選取管理。「管理」頁面隨即開啟。

按一下新增資料。即會開啟「新增資料」頁面。展開使用管理代理程式監督段落。

sui2 圖解描述

按一下設定代理程式連結。此段落會展開有關以管理代理程式為基礎之日誌收集的詳細資訊。

sui3 圖解描述

按一下設定代理程式按鈕。這時會開啟「設定攝取」對話方塊。

複查使用列出的原則敘述句自動建立的原則。請注意自動建立的資源。按一下設定擷取。

sui4 圖解描述

請依照下載代理程式軟體連結來下載管理代理程式軟體。完成下載之後，請依照下載代理程式安裝命令檔連結取得安裝命令檔。在下載管理代理程式的相同目錄中，於 Linux 主機上執行安裝命令檔。如需安裝管理代理程式的詳細指示，請參閱 Install Management Agents 。

sui5 圖解說明

請確定在安裝代理程式時部署日誌記錄分析 Plug-in。在安裝過程中，您必須建立回應檔，其中必須包含下列有關啟用日誌記錄分析 Plug-in 的一行：
```
Service.plugin.logan.download=true
```

順利設定「管理代理程式」之後，請按一下關閉。

如果您想要使用 Oracle Cloud 代理程式進行日誌收集，而不是使用「管理代理程式」，請確定動態群組 logging_analytics_agent 的區間與安裝 Oracle Cloud 代理程式的區間相符。此外，請確定 JVM 堆集大小至少為 512 MB。

準備主機以將日誌傳輸至日誌記錄分析

附註：

在 Unix 型主機上，手動安裝管理代理程式的使用者是 mgmt_agent ，而管理代理程式是啟用 Oracle Cloud 代理程式的外掛程式時，則是 oracle-cloud-agent 。如需有關 Oracle Cloud 代理程式的詳細資訊，請參閱 Oracle Cloud 代理程式。

確定代理程式使用者可以讀取日誌檔。

您可以先驗證代理程式使用者是否可讀取檔案：
```
sudo -u <agentuser> /bin/bash -c "cat <log_file_with_complete_path>"
```
如果代理程式使用者無法讀取日誌檔，請使用下列其中一種方式 (依照最佳做法順序) 讓日誌檔可供管理代理程式讀取。建議您依照列出的順序嘗試每個方法，然後在嘗試下一個方法之前，先檢查是否可以存取。
1. 使用「存取控制清單 (ACL)」可讓代理程式使用者讀取日誌檔路徑和日誌檔。ACL 為檔案系統提供靈活的權限機制。確定可以透過 ACL 讀取日誌檔的完整路徑。
  
  若要在 UNIX 型主機中設定 ACL：
  
  判斷是否包含記錄檔的系統具有 acl 套裝軟體：
```
rpm -q acl
```
  如果系統包含 acl 套裝軟體，則上一個指令應傳回：
```
acl-2.2.39-8.el5
```
  如果系統沒有 acl 套裝軟體，請下載並安裝該套裝軟體。
2. 執行下列 setfacl 指令：
  
  首先，檢查現有的權限，然後視需要新增至這些權限。請確定變更不會影響現有的變更。
  - 將代理程式使用者 READ 存取權授與必要的日誌檔：
```
setfacl -m u:<agentuser>:r <path to the log file/log file name>
```
  - 設定父項資料夾以外之資料夾的「讀取及執行」權限：
```
setfacl -m u:<agentuser>:rx <path to the folder>
```
  - 在父系資料夾設定具有遞迴選項的「讀取」和「執行」權限：
```
setfacl -R -m u:<agentuser>:rx <path to the folder>
```
  - 將「讀取與執行」設定為預設選項，以便讀取所有在這個資料夾下建立的紀錄檔。
```
setfacl -d -m u:<agentuser>:rx <path to the folder>
```
  例如，管理代理程式使用者 mgmt_agent 的路徑 /scratch/logs/*.log 需要下列命令：
```
setfacl -m u:mgmt_agent:rx /scratch
setfacl -R -m u:mgmt_agent:rx /scratch/logs
setfacl -d -m u:mgmt_agent:rx /scratch/logs
```
3. 將產生日誌的管理代理程式和產品放在相同的使用者群組中，然後讓檔案可供整個群組讀取。重新開始代理程式。
  
  若為 nfs mount ，可能無法將 READ 和 EXECUTE 權限指定給代理程式使用者，以讀取日誌檔或資料夾。在此情況下，請執行 bellow 命令將代理程式使用者新增至日誌檔群組，然後重新啟動管理代理程式：
```
usermod -a -G <group of log file> <agentuser>
```
4. 將日誌檔設成可供所有使用者讀取。舉例而言：
```
chmod o+r <file>
```
  您可能必須給予父資料夾的執行權限。舉例而言：
```
chmod o+rx <parent folder>
```
確認代理程式與 Oracle Cloud 通訊。
1. 從 OCI 主控台功能表中，瀏覽至可觀測性與管理，然後按一下管理代理程式。
2. 使用畫面左側的選取器，確定您位於管理代理程式區間中。
3. 按一下代理程式功能表。您可以看到最近安裝的代理程式、安裝的主機，以及您安裝的「日誌記錄分析」Plug-in。確認代理程式的使用狀態為作用中。請參閱驗證管理代理程式安裝。
4. 在監督中檢視代理程式的服務測量結果，並確定沒有錯誤且資料流程令人滿意。請參閱管理代理程式測量結果：使用主控台。

將您的主機對應至日誌記錄分析中的實體

若要透過代理程式持續收集，代表內部部署或雲端資產的實體必須存在於日誌記錄分析中。安裝管理代理程式時，會自動建立日誌傳送主機和管理代理程式的個體。確認您的日誌記錄分析環境中有實體。如果必要的實體不存在，請加以建立。

建立實體時，請選取管理代理程式作為管理代理程式區間，然後選取先前安裝的代理程式。當您遵循加入或設定攝取的步驟時，精靈會自動建立此區間，並在其中找到該代理程式。

從 OCI 主控台功能表，瀏覽至可觀測性與管理，然後按一下記錄分析。移至管理頁面。

在左側，選取要在其中建立實體的區間。

在左側功能表上，按一下實體資源功能表連結。您也可以按一下右側「實體」面板中的計數。

在「實體」清單頁面中，按一下建立實體按鈕。

選取主機 (Linux) 作為實體類型。您可以開始輸入名稱來篩選下拉式清單。

提供實體的名稱。在此範例中，我們將使用 host123，但通常會使用實際的主機名稱。

選取管理代理程式作為「管理代理程式」區間。

選取先前安裝的代理程式。

按一下建立。

myh9 圖解描述

建立實體與來源之間的關聯

日誌記錄分析使用者會將日誌來源與實體建立關聯，以透過 OCI 管理代理程式起始持續日誌收集處理作業。來源 - 實體關聯的概念僅適用於透過代理程式的連續日誌收集。在本節中，這些步驟可協助您使用新增資料精靈來執行來源實體關聯。

移至管理頁面。按一下新增資料。
即會開啟「新增資料」精靈。

在使用管理代理程式監督底下，按一下自訂選擇。
請注意，對於主機 (Linux) 實體類型的日誌，您也可以按一下 Linux 核心日誌，取得特定類型的實體精簡清單，以及適用的來源。不過，為了體驗精靈的完整功能，我們將選取自訂選項。

sui2 圖解描述

在產生的設定代理程式型日誌收集頁面中，會列出所有設定的實體。

透過指定實體類型，從實體清單中進行篩選。選取指定實體類型。從功能表中選取 Host (Linux) 實體類型。

從主機 (Linux) 類型的實體清單中，選取最多 50 個實體以設定與來源的關聯。按下一步。

ca4 圖解描述

從表格中選取最多 25 個要與所選實體關聯的來源。

ca7 圖解描述

按一下顯示代理程式收集特性以展開區段。您在此處指定的代理程式特性將會套用至在此工作流程中新增的所有來源實體關聯。系統會根據您先前的選擇，植入來源類型。表格中會列出該來源類型的代理程式特性。

ca9 圖解描述
- 將游標停留在資訊圖示上，即可瞭解預設值為何。
- 在新值欄位中，輸入您要修改之特性的新值。確定指定的值資料類型。如需您可以針對每個來源類型修改的特性清單及其對應的資料類型，請參閱管理代理程式的進階組態選項：修改代理程式特性。
- 若要將特性變更為預設值，請按一下「動作」功能表圖示，然後選取重設為預設值。
- 若要清除目前的特性值，請按一下「動作」功能表圖示，然後選取清除目前的值。如果您清除目前的值，則會繼承新值。在您儲存目前的變更並重新開啟此對話方塊之後，新值就會顯示在表格中。
  若要瞭解設定代理程式特性的各種階層層次及其值的繼承規則，請參閱管理代理程式的進階組態選項：修改代理程式特性。

選取要關聯的實體和來源之後，請指定要收集的日誌資料所在的日誌群組。
1. 選取要在其中建立日誌群組的日誌群組區間。
2. 選取必須儲存日誌的日誌群組。選取先前在設定攝取時建立的 logging_analytics_ociaudit 日誌群組。
  若要在同一個區間中建立新的日誌群組，請按一下新建。這時會開啟建立日誌群組對話方塊。指定新日誌群組的名稱，並提供適當的描述。按一下建立。
若要完成關聯，請按一下驗證並設定日誌收集。

建立關聯之後，就會顯示確認。您也可以檢視活動的狀態。若要檢視關聯的詳細資訊，請按一下來源名稱。
順利設定關聯後，就會開始收集日誌。按一下將我帶到日誌總管以檢視日誌資料。

ca8 圖解描述

瀏覽日誌

建立來源和實體的關聯之後，您現在可以探索日誌中的資料並將其視覺化。

檢視日誌總管。

按一下「日誌總管」右邊的範圍篩選圖示。

el3 圖解描述

系統會自動選取先前建立的預設日誌群組區間。不過，如果您想要變更日誌群組區間，請選取區間。

區間選取器可讓您根據日誌群組所在的區間，選擇要包含在搜尋中的日誌群組。當您在此處選擇區間時，系統會自動包含此區間和所有子項區間。透過使用根區間，您將根據使用者的區間存取原則和這些區間中的日誌群組，搜尋使用者可存取的所有日誌。

大約兩分鐘後，您應該開始查看來源的日誌。「預設搜尋」是一個圓餅圖，顯示所有日誌來源的日誌項目數目。

探索記錄檢視。

按一下「視覺化」功能表，並將選取項目變更為含有長條圖的記錄：

el4 圖解描述

此檢視會顯示時間交錯之所有日誌來源的日誌項目：

el5 圖解描述

查看叢集分析 (Cluster Analysis) 。

您可以在搜尋畫面中看到過去 14 天收集了 27,145 個日誌項目。這是非常大量可供手動檢查的日誌。在較大的生產環境中，14 天期間內可能會有數十億筆日誌項目。

將「視覺化」選項變更為叢集。

畫面會變更以顯示日誌項目的叢集。在這裡，您可以看到日誌項目的 27k 已降為僅 654 個叢集，而我們已識別出 46 個叢集，這些叢集表示潛在問題，351 個叢集似乎是極端值。隨著資料集越長一段時間，叢集功能越好，因為要比較的資料週期性模式越多。

el7 圖解描述

在第二個項目中，您可以看到某種類型的日誌項目計數為 281。這表示過去 14 天內，遵循此相同模式的日誌項目發生了 281 次。叢集範例的部分會顯示為藍色連結。也就是因為在 281 筆記錄中，使用這種相似造型，藍色部分會因不同的日誌項目而異。按一下藍色連結，即可查看特定執行處理的所有變體。

使用層面篩選。

回到「含直方圖的記錄」檢視，在左側的欄位面板中，您可以按一下想要查看已從日誌剖析之值的欄位。會顯示這些值的計數和趨勢。您可以從此處選取值來縮小搜尋範圍。

el8 圖解描述

儲存搜尋。

儲存搜尋非常重要，因為有幾個原因。首先，您可能想要定期使用搜尋而不需重新寫入。您也可以建立搜尋，讓整個組織中的許多人員使用這些搜尋，以一致地檢視重要的層面。此外，已儲存的搜尋可作為儀表板的小工具，您稍後會在此逐步解說中看到。

將您的視覺化變更為水平長條圖。

依照預設，您會得到一個圖表，其中的群組方式欄位選擇為來源 (如果您已在上方進行其他查詢變更，則可能是空白的)。您可以將其他、服務欄位拖曳至群組方式欄位，然後按一下套用按鈕。

您會看到一個長條圖，根據下列日誌項目數顯示主機上最常使用的服務：

el9 圖解描述

如果您未見到計數中遞減的值，請確定您的查詢具有作為日誌記錄來建立具有該值的計算欄位，然後將 |sort -logrecords 新增至搜尋。這會依記錄數遞減排序。請參閱上方的螢幕擷取畫面，瞭解所使用的查詢。
- 選取要儲存搜尋的區間。
- 提供搜尋的名稱與描述。
- 按一下新增至儀表板核取方塊。
- 若要將已儲存的搜尋小工具新增至新的儀表板，請選取新建儀表板。或者，您可以將它新增至現有儀表板。
- 選取儀表板的區間。
- 如果是新儀表板，請指定新儀表板的名稱和描述。否則，請選取現有的儀表板名稱。
- 按一下儲存按鈕。
  
  el10 圖解描述
您現在會看到日誌總管標題已變更，以包含您目前使用的已儲存搜尋名稱。如果您在此處進行變更並前往動作，請按一下儲存，即可更新已儲存的搜尋。

el11 圖解描述

檢視儀表板。

從頂端的導覽控制項中，按一下「日誌記錄分析」，然後選取「儀表板」。

el12 圖解描述

您會在儲存搜尋的同時看到儀表板清單頁面，其中包含您先前建立的儀表板。如果您未在此處見到新的儀表板，請確定在左側選取的區間是您儲存儀表板的位置。

el13 圖解描述

按一下儀表板名稱以檢視儀表板。您可以在此處新增更多已儲存的搜尋小工具、變更頁面的版面配置和小工具的大小。如果您變更時間範圍或區間篩選條件，將會變更所有已儲存搜尋小工具的資料。

el14 圖解描述

持續探索，這只是您可以使用日誌記錄分析執行之許多作業的範例！請務必檢閱產品技術內容，以取得有關如何分析記錄的詳細資訊。

深入瞭解

管理代理程式的進階組態選項
日誌記錄分析技術內容
- 建立自訂儀表板：建立儀表板
- 其他擷取日誌的方法：擷取日誌
- 撰寫查詢以搜尋日誌中的資訊：查詢搜尋
日誌記錄分析 API
日誌記錄分析原則目錄

標題與著作權資訊

OCI 日誌記錄分析：設定持續日誌收集

G36630-01

2025 年 6 月

透過安裝管理代理程式，在 OCI 日誌記錄分析服務中設定連續日誌收集。

本軟體與相關文件係根據授權合約所提供，其中包含資料使用與揭露方面的限制，並受到智慧財產法的保護。除了授權合約中或法律明文允許的部分外，不得以任何形式或方法使用、複製、重製、翻譯、廣播、修改、授權、傳送、散布、展示、演出、出版或陳列本軟體的任何部分。您不得對本軟體進行還原工程 (reverse engineering)、反向組譯 (disassembly) 或解編 (decompilation)，但若因交互操作性的需要則不在此限。

如果本軟體或相關說明文件是提供給美國政府或代表美國政府授權使用本軟體者，適用下列條例：

U.S. GOVERNMENT END USERS: Oracle programs (including any operating system, integrated software, any programs embedded, installed or activated on delivered hardware, and modifications of such programs) and Oracle computer documentation or other Oracle data delivered to or accessed by U.S. Government end users are "commercial computer software" or "commercial computer software documentation" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations.As such, the use, reproduction, duplication, release, display, disclosure, modification, preparation of derivative works, and/or adaptation of i) Oracle programs (including any operating system, integrated software, any programs embedded, installed or activated on delivered hardware, and modifications of such programs), ii) Oracle computer documentation and/or iii) other Oracle data, is subject to the rights and limitations specified in the license contained in the applicable contract.The terms governing the U.S. Government’s use of Oracle cloud services are defined by the applicable contract for such services.No other rights are granted to the U.S. Government.

本軟體或硬體是針對各類資訊管理應用程式的一般使用所開發。不適用於任何原本就具危險性的應用，包括可能導致個人傷害風險的應用。如果您將本軟體或硬體應用於危險用途，則應採取適當的保全、備份、儲備和其他措施以確保使用安全。Oracle Corporation 和其關係企業聲明對將本軟體或硬體應用於危險用途所造成之損害概不負任何責任。

Oracle 和 Java 是 Oracle 和 (或) 其關係企業的註冊商標。其他名稱為各擁有人所有之商標。

Intel 和 Intel Inside 是 Intel Corporation 的商標或註冊商標。所有 SPARC 商標的使用皆經過授權，且是 SPARC International, Inc. 的商標或註冊商標。AMD、Epyc 與 AMD 標誌是 Advanced Micro Devices 的商標或註冊商標。UNIX 是 The Open Group 的註冊商標。

本軟體或硬體與說明文件可能提供有關第三方內容、產品和服務的存取途徑與資訊。除非您與 Oracle 之間的適用合約另有規定，否則 Oracle Corporation 和其關係企業明文聲明對第三方內容、產品與服務不做保證，且不負任何責任。除非您與 Oracle 之間的適用合約另有規定，否則 Oracle Corporation 和其關係企業對於您存取或使用第三方內容、產品或服務所引起的任何損失、費用或損害亦不負任何責任。