Oracle Management CloudのLog Analyticsは、OSやMiddleware,Databaseなどの様々なログを集約して横断的に分析することができるサービスです。
ここでは、実際にWindowsのイベントログの取得するための設定手順、基本的な分析手法について紹介します。
-
左上のメニューアイコンからログアナリティクス-> ログ管理 -> エンティティを選択
-
新規アソシエーションをクリック
-
エンティティタイプをHost(Windows)に選択してエンティティの追加をクリック
-
エンティティ登録したHostが選択可能になっているのでチェックして選択をクリック
-
続行を選択
-
Windows Application Events, Windows Security Events, Windows System Eventsを選択して一番下の続行ボタンをクリック
-
エンティティの関連付けをクリック
-
これでCloud AgentがWindowsの3つのイベントログを収集する設定が完了
-
Log Analyticsの画面にWindowsのイベントログが表示されたら設定はOK
-
使用例
Event IDのフィールドをグループ化基準にドラッグ&ドロップ。右側の円グラフがEvent IDでグループ化される
-
ビジュアライゼーションからヒストグラム付きレコード選択
-
時系列でのログの出力状況
-
ビジュアライゼーションからクラスタを選択するとログがクラスタリング(分類化)される。
潜在的に問題のあるレコードやまれにしか発生しないレコードなど対象レコードの特定が簡単になる。
Cloud Agentは定期的に更新分のログレコードをOMCに送信し、ログデータは常に最新に近しい状態になります。今回はWindowsのイベントログを取り込む設定をしましたが、これ以外にもLog Analyticsには予め用意されたログ・パーサーが準備されています。
対応可能なログパーサーの一覧
ここにない独自のログフォーマットの場合は、カスタムパーサーを自分で作成することで同様にログを取り込んで分析可能です。下記に、手動でのログ取り込みの方法やカスタムパーサーについて紹介しています。
Oracle Management Cloud関連の情報はこちら