OCI Log Analyticsは通常エージェントが定期的にログをアップロードしますが、OCI CLIまたはREST APIを使って手動でログをアップロードすることが可能です。この方法を使用すれば、エージェンドをインストールできないリソースのログを分析させることができます。
ドキュメントはこちら
ここでは、データベースのXML監査ログをインポートし、分析する手順を手順を説明します。
-
ロググループを作成し、OCIDをメモしておく
-
ログソース名は、以下のソース内の名前から取得する
#サンプルのXML監査ログをダウンロード
wget https://raw.githubusercontent.com/western24/omcdemo/master/ora_audit.xml
#OCI CLIでアップロード
oci log-analytics upload upload-log-file --namespace-name テナント名 --log-source-name 'ログソース名' --upload-name アップロード名 --file ログファイルパス --filename ログファイル名 --opc-meta-loggrpid ロググループのID
oci log-analytics upload upload-log-file --namespace-name xxxxxx --log-source-name 'Database Audit XML Logs' --upload-name uptest --file /home/opc/ora_audit.xml --filename oracleXMLlog --opc-meta-loggrpid ocid1.loganalyticsloggroup.oc1.iad.xxxxxxxxxxxxxxx
-
正常にアップロード完了されていれば、管理 -> アップロード内に表示される。アップロードファイル内の "ログ・エクスプローラで表示" をクリック
-
インポートしたログの分析画面に遷移する
-
ビジュアル化を円グラフに変更、StatusCodeをグループ化基準にドラッグ&ドロップ
-
クラスタ分析を選択すると、グルーピング化されログの傾向をより直感的に把握ができる
今回はOCI LAにプリセットされているOracle Databaseのログタイプを使用しましたが、サポートされていないミドルウェアやアプリケーションのログには、カスタムパーサーの機能で新たに対応するログタイプを作成することが可能です。
本家のOracle Management CloudではGUIで簡単に実装できますが、OCI LAはまだですので、OMC側で作成した正規表現をコピーするというのが良いかもしれません。
OMC Log Analyticsで未対応のログをカスタム・パーサで取り込む
OCI Audit,Flowlog,WAF関連のログを手動でアップロードして分析するといった使い方も実践的ですね。ただ、完全対応したパーサーはまだなので、自身で作成する必要があります。