OCI Logging Analyticsのダッシュボードを使い始める (2022/10/31)
OCI Logging Analyticsのダッシュボードを使い始める (2022/10/31)
https://blogs.oracle.com/cloud-infrastructure/post/start-oci-logging-analytics-dashboards
投稿者:Venugopal Naik
Oracle Cloud Infrastructure (OCI) Logging Analyticsは、アプリケーション、インフラストラクチャ、およびあらゆるクラウドサービスのログの主要要素について、視覚的なログ・チャートを作成するのに役立ちます。オールイン・ダッシュボードの作成は、組織がDay 2オペレーションを実行する上で非常に重要です。このブログでは、ワークロードのログ分析ダッシュボードを構築するのに役立つ2つのOCI Logging Analyticsの機能を紹介します。
OCI Logging Analytics は、ほとんどのデータソースに対してあらかじめ定義されたログソース、パーサー、およびラベルにより、ログ解析を簡素化します。完全なリストについては、Oracle-defined Sourcesを参照してください。Linuxを例にとると、次のログ・ソースがすでに定義されており、Logging AnalyticsはLinux Audit、Linux Cron、Linux Mail Delivery、Linux Secure、Linux Syslog、およびLinux YUMログを解析する方法を知っていることになります。
LinuxのSyslogログをさらに詳しく見てみると、ログソースから、どのログが考慮されているか(この場合、/var/log/syslogと/var/logメッセージ)、どのパーサーが使われているか(syslog標準形式)などがわかります。パーサーの詳細と使用されている正規表現(regex)を見ることができます。
ダッシュボードの構築を始めるにあたり、Logging Analyticsが提供する以下の機能を使ってみましょう。
- OCI Logging Analyticsのラベル
- クラスターの可視化
OCI Logging Analyticsのラベル
OCI Logging Analyticsは、ソースの様々なラベル定義に基づいて、取り込まれたログ・エントリに自動的にラベルを適用します。
例えば、Linux syslogの場合、ログに含まれる文字列「failed password」は、認証エラーとしてラベル付けされます。同様に、NGINX Accessのログでは、"403,405 "は認証エラーとしてラベル付けされます。その他にも、すでに多くのラベルがこの方式で定義されています。
この機能を使うには、ログエクスプローラーに移動して、ヒストグラムの視覚化とラベルによるグループ分けを行います。
色分けからわかるように、Logging Analyticsはあらかじめ定義されたラベルに基づいて、ログから様々なエラーをすでに判断しています。この機能は、手動でクエリを実行することなく、ログを素早く洞察することができます。
次の論理的ステップは、この可視化をダッシュボードに追加して、日常業務に役立てることです。
Oracle Cloud Consoleで、Logging Analyticsに移動し、Log Explorerを選択します。[Actions]で[Save as]を選択し、"Logs by label"などの意味のある名前を指定します。次に、[ダッシュボードに追加]をクリックします。
作成したダッシュボードは次の例のようになります。
このように、ログエクスプローラーのフィールドタブからログソースを個別に選択して、「Syslog by labels」や「Secure log by labels」といった同様のウィジェットを構築しています。
では、ログ解析のもう一つの特徴を見てみましょう。
クラスターの可視化
クラスタリングは、機械学習を使用してログレコードのパターンを識別し、類似したパターンを持つログをグループ化します。このウィジェットでは、発見されたクラスタの合計を見ることができます。エラー、致命的、例外などの単語を含むログレコードに基づく潜在的な問題。その他のタブには、外れ値(一度だけ発生したイベント)やいくつかのユニークなトレンドが含まれます。
[Logging Analytics]に移動します。[Log Explorer]で[Select visualizations]をクリックし、[Cluster]をクリックします。
また、特定のログソースを選択して、関心のあるログをフィルタリングすることができます。
ラベルとクラスタリングを追加した後、ダッシュボードは次の例のようになります。
まとめ
Logging Analyticsの2つの機能、ラベルとクラスタリングが、問題を引き起こす根源となる一方で、必要なログのほとんどの側面をカバーすることを見てきました。しかし、ユーザー名、ログソース、サーバー名など、より多くのフィールドを学習し、要件に応じて、それらをグループ化し(Group By機能)、より多くの可視化チャートを作成し続けることができます。また、「中間者攻撃」や「決済失敗」など、独自のカスタムラベルを追加することも可能です。ダッシュボードに表示する簡単なクエリを独自に作成し、システム上で実行されている上位のコマンドや、システム上でほとんどのアクティビティを実行しているユーザーを表示することもできます。つまり、システムに関する質問をし、OCI Logging Analyticsを使って答えを見つけることが重要なのです。
詳細については、Oracle Cloud Infrastructure Log Logging Analyticsのドキュメントを参照してください。
コメント
コメントを投稿