OCI Log Analyticsに手動でログをアップロードする

OCI Log Analyticsは通常エージェントが定期的にログをアップロードしますが、OCI CLIまたはREST APIを使って手動でログをアップロードすることが可能です。この方法を使用すれば、エージェンドをインストールできないリソースのログを分析させることができます。

ドキュメントはこちら

ここでは、データベースのXML監査ログをインポートし、分析する手順を手順を説明します。

• ロググループを作成し、OCIDをメモしておく
  

• ログソース名は、以下のソース内の名前から取得する
  

#サンプルのXML監査ログをダウンロード
wget https://raw.githubusercontent.com/western24/omcdemo/master/ora_audit.xml

#OCI CLIでアップロード
oci log-analytics upload upload-log-file --namespace-name テナント名 --log-source-name 'ログソース名' --upload-name アップロード名 --file ログファイルパス --filename ログファイル名 --opc-meta-loggrpid ロググループのID
oci log-analytics upload upload-log-file --namespace-name xxxxxx --log-source-name 'Database Audit XML Logs' --upload-name uptest --file /home/opc/ora_audit.xml --filename oracleXMLlog --opc-meta-loggrpid ocid1.loganalyticsloggroup.oc1.iad.xxxxxxxxxxxxxxx

• 正常にアップロード完了されていれば、管理 -> アップロード内に表示される。アップロードファイル内の "ログ・エクスプローラで表示" をクリック
  

• インポートしたログの分析画面に遷移する
  

• ビジュアル化を円グラフに変更、StatusCodeをグループ化基準にドラッグ&ドロップ
  

• クラスタ分析を選択すると、グルーピング化されログの傾向をより直感的に把握ができる
  

今回はOCI LAにプリセットされているOracle Databaseのログタイプを使用しましたが、サポートされていないミドルウェアやアプリケーションのログには、カスタムパーサーの機能で新たに対応するログタイプを作成することが可能です。

本家のOracle Management CloudではGUIで簡単に実装できますが、OCI LAはまだですので、OMC側で作成した正規表現をコピーするというのが良いかもしれません。

OMC Log Analyticsで未対応のログをカスタム・パーサで取り込む

OCI Audit,Flowlog,WAF関連のログを手動でアップロードして分析するといった使い方も実践的ですね。ただ、完全対応したパーサーはまだなので、自身で作成する必要があります。