Azure Log Analitycs Gestione dei campi Custom per ricerca e indicizzazione delle informazioni

 

Nei post precedenti relativi alla configurazione del servizio agent di OMS su Linux, ho avuto modo di illustrare come è possibile attivare le notifiche di Sicurezza relative ad Oracle verso Operations Management sul Cloud e come da Log Analitycs è possibile effettuarne la ricerca.

Di default vengono indicizzate le varie informazioni all’interno del messaggio Syslog generato dal sistema, mentre il testo vero e proprio del messaggio, quello generato dalla funzione audit del DB utilizzando la facilty local0 (nell’esempio), viene archiviato nella sua completezza.

in questo modo non è possibile effettuare una ricerca utilizzando come chiavi valori archiviati nel messaggio stesso.

All’interno di Log Analitycs è presente la possibilità di “costruire” filtri personalizzati andando ad indicizzare specifiche parti del messaggio Syslog in modo che queste possano poi essere usate come chiavi di ricerca.

In questo esempio si è fatto cenno ad un messaggio Syslog, in quanto per le esigenze specifiche si è utilizzata questa sorgente, ma la modalità operativa di indicizzazione dei messaggi è valida per qualunque “oggetto” all’interno di Log Analitycs.

L’indicizzazione di una parte del messaggio in archivio è attivabile selezionando

Immediatamente prima dell’inizio del messaggio vero e proprio, a questo punto come si vede nell’immagine sotto, viene evidenziato il testo, e la possibilità di estrarre i campi dal messaggio tramite “Extract Fileds from Syslog” dove Syslog è il nome del campo.

 

 

Selezionando questa opzione viene espanso ulteriormente il messaggio consentendo la manipolazione, o meglio la selezione di parte del contenuto, questa selezione, sarà poi ciò che verrà individuato ed “indicizzato” in ogni nuovo messaggio in arrivo.

 

È da tenere presente che l’operazione descritta sarà attiva solo per i nuovi messaggi, tutto quanto già immagazzinato non è interessato dalla nuova indicizzazione.

 

A questo punto si apre un ulteriore menù in cui è richiesto di specificare il nome del campo che sarà visualizzato nei report e la tipologia di dato, confermando con Extract, verrà presentata una Preview della selezione e la possibilità di salvarne l’impostazione.

 

L’elenco dei vari campi personalizzati che sono stati definiti è rilevabile nella console di OMS nella pagina delle impostazioni

Da qui è possibile la visualizzazione di tutti i campi Custom e la loro eventuale rimozione, selezionando Go To si ha disposizione una scorciatoia per l’attivazione rapida del filtro.

 

Da questo momento i dati in ingresso, sono indicizzati anche secondo questo criterio, ed il campo può essere interrogato direttamente dalla composizione della query di Log Analitycs

Lo strumento di reportistica a disposizione in Azure è sicuramente molto potente e può agevolmente sostituire costosi sistemi di archiviazione e gestione dei log la cui installazione finora è stata necessariamente on-prem.

 

Riferimenti:

https://azure.microsoft.com/it-it/services/log-analytics/

https://docs.microsoft.com/it-it/azure/log-analytics/log-analytics-overview

 

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...