Búsqueda de consulta

Oracle Logging Analytics permite filtrar y analizar grandes cantidades de datos de log en las bases de datos empresariales, a través de una pantalla única, unificada y personalizable que es fácil de leer y de navegar. Utilice la función de búsqueda integrada para filtrar todos los datos de log disponibles y devolver entradas de log específicas.

Oracle Logging Analytics Search permite aumentar detalle a entradas de log específicas, lo que permite el análisis y la supervisión centrados en toda la empresa. Utilice el lenguaje de consultas de Oracle Logging Analytics para formular las consultas de búsqueda, que recuperarán entradas de log específicas para el problema que está solucionando.

El lenguaje de consulta para analizar los logs permite especificar la acción que se debe realizar en los resultados de búsqueda. Los comandos pueden ser comandos de búsqueda o comandos estadísticos. Los comandos de búsqueda son los comandos que filtran más detalladamente las entradas de log disponibles. Los comandos estadísticos realizan operaciones estadísticas en los resultados de la búsqueda. Para obtener la lista completa de comandos, su sintaxis y ejemplos para usarlos, consulte Command Reference.

El lenguaje de consulta de Oracle Logging Analytics le permite:

Filtrar y explorar todos los datos de log disponibles
Realizar análisis de la causa raíz
Ejecutar análisis estadísticos en entidades seleccionadas
Generar informes
Guardar consultas de búsqueda para uso posterior
Recuperar búsquedas guardadas para crear paneles de control

Puede crear la consulta de búsqueda arrastrando elementos del panel Campo y soltándolos en las secciones correspondientes de la columna Visualizar o introduciendo directamente la consulta en el campo Buscar. Para obtener más información sobre el uso de la interfaz de usuario para formular consultas, vea Formulación de consultas mediante la interfaz de usuario de Logging Analytics.

Para escribir consultas de rendimiento con el comando regex, consulte la sintaxis de RE2J en Implantación de Java de RE2.

Utilizar asistente de ayuda de consulta

Logging Analytics ahora le ofrece ayuda activa para aprender rápidamente a escribir consultas y también proporciona un amplio conjunto de consultas de ejemplo para el análisis avanzado.

Haga clic en el icono de ayuda situado junto a la barra de consultas del explorador de logs para abrir el asistente de ayuda de consultas. En cuestión de minutos, puede comprender el formato y la sintaxis de las consultas que puede componer. Ejecute las consultas de ejemplo desde la búsqueda muy básica hasta el análisis avanzado y familiarícese con la referencia de consulta. El asistente le da algunos consejos y accesos directos para que su búsqueda sea eficiente. También puede ver el resultado de la ejecución de algunos de los comandos comunes para sus casos de uso habituales.

Temas:

Consulte también Filtrado de logs por máscara de hash.

Búsqueda de logs con palabras clave y frases

Puede utilizar comandos para recuperar los datos de log y para trabajar con esos datos. El primer comando (e implícito) de una consulta es el comando de búsqueda. Una búsqueda es una serie de comandos delimitados por un carácter de pleca (|). La primera cadena con espacios en blanco que aparece tras el carácter de pleca identifica el comando que se va a utilizar. El carácter de pleca indica que los resultados del comando anterior se deben utilizar como entrada para el siguiente comando.

Por ejemplo, para buscar todos los mensajes de error de la base de datos, introduzca la siguiente expresión lógica en la barra Buscar de Oracle Logging Analytics:

Severity = 'error' AND 'Entity Type' = 'Database Instance'

Al incluir las palabras entre comillas e incluirlas en la cadena de consulta como frase (‘Database Instance’, por ejemplo), solo se devuelven los logs que contengan la frase ‘Database Instance’. Además, las búsquedas por palabra clave en las que la subcadena se podría interpretar como una directiva separada deben ser específicas entre comillas. Por ejemplo, para buscar la cadena and, debe introducir la cadena entre comillas simples (‘and’) para evitar que el sistema utilice su significado booleano.

Para obtener más ejemplos y detalles sobre el uso del lenguaje de consulta para buscar los logs, consulte Escribir consultas de búsqueda.

Visualización de las búsquedas recientes

Oracle Logging Analytics permite seleccionar y ejecutar una búsqueda utilizada recientemente. Al hacer clic en el campo Buscar o introducir texto en el campo Buscar, Oracle Logging Analytics muestra una lista de búsquedas utilizadas recientemente. Esto le permite acceder rápidamente a los comandos de búsqueda utilizados recientemente. Puede seleccionar cualquiera de los comandos mostrados y hacer clic en Ejecutar para ejecutar el comando de búsqueda seleccionado.

Nota

La lista utilizada recientemente está disponible por sesión. Por lo tanto, si cierra sesión en Oracle Logging Analytics y vuelve a iniciar sesión, no se mostrará la lista de la sesión anterior. Se crea una nueva lista de búsquedas recientes para su sesión.

Uso de la función Sugerencia automática

Al introducir una consulta en el campo Buscar, la función de sugerencia automática de Oracle Logging Analytics sugiere automáticamente términos que puede utilizar en la consulta. Oracle Logging Analytics muestra una lista de sugerencias, basada en el texto introducido en el campo Buscar. Por ejemplo, si ha introducido el nombre de un campo o una acción de búsqueda, la función de sugerencia automática muestra los valores posibles solo para ese campo o la lista de acciones disponibles.

Escritura de consultas de búsqueda

Puede especificar entidades, palabras clave, frases o comodines, operadores de comparación, expresiones booleanas, funciones y tiempo para crear la consulta de búsqueda de Oracle Logging Analytics.

Para utilizar la función Buscar en Oracle Logging Analytics, debe formular una consulta de búsqueda e introducirla en el campo Buscar.

Temas:

Además, consulte Parámetros de URL del explorador de logs.

Uso de la interfaz de usuario de Logging Analytics

La interfaz de usuario de Oracle Logging Analytics permite formular la consulta de búsqueda.

Puede utilizar los siguientes elementos de la interfaz de usuario para formular la consulta de búsqueda:

Barra de búsqueda: la consulta de búsqueda se muestra aquí. Puede editar directamente el texto en este campo para acotar aún más los resultados de búsqueda.

La barra de búsqueda aumenta o se reduce según el número de líneas agregadas a la consulta. Puede tener un máximo de 21 líneas y un mínimo de 1 línea. Algunos de los accesos directos personalizados disponibles son:
- Ctrl + i: sangrar cada línea del texto presente en el editor. Tenga en cuenta que con laI mayúscula se abre el depurador.
- Ctrl + Enter: ejecutar la consulta que se muestra en el editor
- Con Ctrl + Space: se muestra la lista de opciones de terminar automáticamente según la posición del cursor
- Ctrl + Z: deshace la última edición
- Ctrl + Y: rehace la última edición
- Ctrl + D: suprime la línea actual
Nota: No utilice la tecla SHIFT a menos que se especifique.

Coloque el cursor entre los paréntesis de apertura o cierre para ver el elemento coincidente resaltado. Los elementos que se pueden resaltar son ( ) y [ ].

La barra de búsqueda soporta dos temas diferentes, de color y de escala de grises. Puede cambiar los temas dinámicamente cambiando la opción en la ventana emergente de ayuda.
Campo: el panel Campo está dividido en las siguientes secciones:
- Los atributos de Anclado permiten filtrar los datos de log en función de los siguientes elementos:
  - Orígenes de log, como logs de base de datos, logs de Oracle WebLogic Server, etc.
  - Entidades de log, que son los nombres de archivos log reales.
  - Etiquetas, que son etiquetas agregadas a entradas de log cuando las entradas de log coinciden con condiciones definidas específicas.
  - Nombres de carga de los datos de log cargados bajo demanda.
  Por defecto, las entidades y los detalles de recopilación están disponibles en el cubo Anclado del panel Campos para filtrar. Puede anclar campos adicionales al cubo Anclado según su uso. Una vez anclados, los campos se mueven al cubo Anclado. Puede desanclar cualquier campo y eliminarlo del cubo Anclado y moverlo de nuevo al cubo Interesante u Otro.
- En función de la búsqueda y las consultas, Oracle Log Analytics agrega automáticamente campos al cubo Interesante para su consulta rápida. Puede anclar un campo que esté disponible en el cubo Interesante. A continuación, el campo anclado se mueve al cubo Anclado.
- Puede anclar cualquier campo del cubo Otros y moverlo al cubo Anclado. Si utiliza un campo del cubo Otros en la búsqueda o consulta, se mueve al cubo Interesante.
  
  Las opciones seleccionadas se agregan automáticamente a la consulta en la barra Buscar.
Visualizar: en este panel, puede seleccionar cómo preferiría ver los resultados de la búsqueda. En el campo Agrupar por, puede decidir las métricas por las que agrupar los resultados.
Guardar: utilice este botón para guardar la consulta de búsqueda que está actualmente en el campo Buscar, que se ejecutará posteriormente.
Abrir: utilice este botón para ver las consultas de búsqueda guardadas anteriormente. Puede ejecutar estas consultas y obtener resultados actuales, o bien puede utilizarlas para crear paneles de control.
Nuevo: utilice este botón para iniciar una nueva consulta de búsqueda.
Exportar: utilice este botón para exportar el resultado de la consulta de búsqueda actual en un archivo con el formato Comma-separated Values(CSV) o JavaScript Object Notation(JSON).
Ejecutar: utilice este botón para ejecutar la consulta que está actualmente en el campo Buscar.
Selector de tiempo: utilice el selector de tiempo para especificar el período de tiempo.
Panel de visualización: los resultados de la consulta de búsqueda se muestran en este panel. La información filtrada de este panel se carga cuando se ejecuta la consulta en el campo Buscar. Al hacer clic en cualquier área del gráfico en el panel de visualización, puede aumentar el detalle de la consulta de búsqueda y actualizarla.

Uso de palabras clave, frases y comodines

Las consultas de cadena pueden incluir palabras clave y frases. Una palabra clave es una sola palabra (por ejemplo, database), mientras que una frase hace referencia a varias palabras, entre comillas simples (‘ ‘) o dobles (“ “) (por ejemplo, ‘database connection’). Si especifica una palabra clave o una frase en la consulta, todas las entradas de log que contengan la palabra clave o frase especificada se devuelven después de ejecutar la consulta.

El lenguaje de búsqueda de Oracle Logging Analytics también soporta la asignación de patrones especiales. En otras palabras, puede utilizar caracteres comodín, como el asterisco (*), el signo de interrogación (?) y el porcentaje (%), para completar palabras clave.

En la siguiente tabla se muestran los caracteres comodín soportados y se proporciona una breve descripción de cada uno de ellos.

Carácter comodín	Descripción
`?`	Utilice este carácter para hacer coincidir exactamente un carácter de las posibilidades con la palabra clave. Por ejemplo, si introduce `host?`, la palabra clave `host1` se considera una coincidencia, mientras que `host.foo.bar` no lo es.
`*` o `%`	Utilice cualquiera de estos caracteres para hacer coincidir 0 o más caracteres de las posibilidades, con la palabra clave. Por ejemplo, si introduce `host*` o `host%`, se considera que `host1` y `host.foo.bar` coinciden con la palabra clave. Del mismo modo, si introduce `%host%`, se considera que `ahostb` y `myhost` coinciden con la palabra clave especificada.

Puede especificar varias palabras clave. Por ejemplo, database y connection. Se devuelven los logs que contengan las palabras database y connection (pero no necesariamente juntos). Sin embargo, estas palabras no tienen que aparecer necesariamente de forma consecutiva. Sin embargo, al incluir las palabras entre comillas e incluirlas en la cadena de consulta como frase (‘database connection’, por ejemplo), solo se devuelven los logs que contengan la frase ‘database connection’. Para ver cómo utilizar varias palabras clave, consulte Usar expresiones booleanas.

Al especificar una palabra clave o frase, recuerde lo siguiente:

Las palabras clave y las cadenas de frases no distinguen entre mayúsculas y minúsculas.
Las palabras clave que no están entre comillas deben contener solo caracteres alfanuméricos, de subrayado (_) y caracteres comodín (*, % y ?).
Las búsquedas por palabra clave en las que la subcadena se podría interpretar como una directiva separada deben ser específicas entre comillas. Por ejemplo, para buscar la cadena and, tendrá que introducirla entre comillas simples (‘and’) para evitar que el sistema seleccione su significado booleano.

Nota

Para utilizar comodines con el campo message, también debe utilizar LIKE o LIKE IN. A continuación se muestran ejemplos del uso de comodines con message.

ORA-* AND message LIKE 'connection* error*'

ORA-* AND message LIKE IN ('tablesp*','connection* error*')

Uso de operadores de comparación

Los operadores de comparación son condiciones que se especifican para establecer una relación entre un campo y su valor. Los campos sin valores se consideran nulos.

En la siguiente tabla se muestran los operadores de comparación soportados y se proporciona una breve descripción de cada uno de ellos.

Operador de comparación	Descripción
`<`	Si utiliza este operador en la consulta, se devolverán todas las entradas de log con un valor, para el campo correspondiente, inferior al valor especificado.
`<=`	Si utiliza este operador en la consulta, se devolverán todas las entradas de log con un valor, para el campo correspondiente, menor o igual que el valor especificado.
`>`	Si utiliza este operador en la consulta, se devolverán todas las entradas de log con un valor, para el campo correspondiente, mayor que el valor especificado.
`>=`	Si utiliza este operador en la consulta, se devolverán todas las entradas de log con un valor, para el campo correspondiente, mayor o igual que el valor especificado.
`=`	Si especifica este operador en la consulta, se devolverán todas las entradas de log con un valor, para el campo correspondiente, igual que el valor especificado.
`!=`	Si especifica este operador en la consulta, se devolverán todas las entradas de log con un valor, para el campo correspondiente, distinto del valor especificado.

Utilice estos operadores para buscar logs con campos con valores específicos. Por ejemplo, especifique Severity=’ERROR’ para buscar en los logs disponibles donde el valor del campo Severity sea ERROR. Del mismo modo, Severity!=NULL devuelve todos los logs en los que el valor del campo Severity no sea nulo (es decir, donde se haya especificado la gravedad).

Nota

El valor a la derecha del operador de comparación se debe especificar entre comillas si el valor no es numérico o NULL.

Uso de expresiones booleanas

La función Buscar de Oracle Logging Analytics tiene las capacidades de LIKE y REGEX, según las convenciones estándar. Las expresiones booleanas pueden tener un valor true o false.

En la siguiente tabla se muestran las expresiones booleanas soportadas, junto con una breve descripción de cada una de ellas.

Expresión booleana	Descripción
`AND`	Utilice esta expresión para ver solo los logs que contengan ambos parámetros especificados.
`NOT IN` o `IN`	Utilice esta expresión para buscar datos que estén en un subjuego especificado de datos disponibles. Por ejemplo, `‘Entity Type’ IN (‘Database Instance’,‘Automatic Storage Management’,’Listener’,’Cluster’)` primero tendrá en cuenta únicamente los logs que contengan `‘Database Instance’`, `‘Automatic Storage’`, `Listener` o `Cluster` y, a continuación, identificará los logs que contengan `‘Entity Type’`. Sin embargo, al utilizar `NOT IN`, se devuelven las entradas de log con la palabra clave o frase especificadas, excluidas las entradas especificadas. Por ejemplo, `‘Entity Type’ NOT IN (‘Database Instance’,’Automatic Storage Management’,’Listener’,’Cluster’)` primero filtra las entradas de log con `‘Database Instance’`, `‘Automatic Storage Management’`, `Listener` y `Cluster` y, a continuación, devuelve las entradas de log en las que el valor de `‘Target Type’` no sea uno de los valores especificados. La palabra reservada `NULL` está soportada con este operador booleano.
`NOT LIKE` o `LIKE`	Utilice esta expresión para buscar datos que coincidan o no con el patrón de caracteres especificado. El patrón de caracteres es una cadena que puede contener uno o más caracteres comodín.
`NOT LIKE IN` o `LIKE IN`	De forma similar a `[NOT] IN`, esta expresión permite utilizar una abreviatura para expresar varias cláusulas `LIKE` juntas.
`OR`	Utilice esta opción para ver los logs que contengan cualquiera de los parámetros especificados.

El lenguaje de búsqueda de Oracle Logging Analytics soporta expresiones booleanas anidadas dentro de otras expresiones booleanas. Por ejemplo, tenga en cuenta la siguiente consulta:

fatal ('order' OR host LIKE '*.oracle.com')

Al ejecutar esta consulta, se devuelven todos los logs que contengan fatal y que contengan la palabra clave order o que se hayan originado en un host cuyo nombre termina en .oracle.com.

Formulación de consultas mediante la interfaz de usuario de Logging Analytics

Puede utilizar la interfaz de usuario de Oracle Logging Analytics para formular la consulta de búsqueda.

Por defecto, la consulta * | stats count by ‘log source’ se especifica en el campo Buscar.

Para ver los datos de entidades específicas, realice los siguientes pasos:

Abra el menú de navegación y haga clic en Observación y gestión. En Logging Analytics, haga clic en Explorador de logs.
En la cabecera Entidades del panel Campos, seleccione Entidad o Tipo de entidad, según cómo desee ver las entidades. De esta forma se agrupan las bases de datos registradas en función de la selección realizada. Por ejemplo, si selecciona Tipo de entidad, las entidades seleccionadas se agrupan según sus tipos.
Seleccione la entidad o el tipo de entidad cuyos datos desea ver.
Haga clic en Enviar.

Aparece el botón borrar junto a la entidad que ha seleccionado y los datos se muestran en el panel de visualización.

Para ver los datos de un campo específico, realice los siguientes pasos:

Seleccione el tipo de campo del panel Campos y en los atributos Anclado, el cubo Interesante o el cubo Otro.
Seleccione la etiqueta, la entidad de log, el origen de log, el propietario o el nombre de carga cuyos datos desea ver. Puede seleccionar más de una etiqueta, entidad de log, origen de log, propietario o nombre de carga.
Haga clic en Enviar.

Los datos del campo se cargan en el panel de visualización.

Especificar el rango temporal en la consulta

Normalmente, el rango temporal seleccionado en Log Explorer no se incluye en la cadena de consulta. Puede especificar el rango de tiempo en la consulta mediante el modificador tiempo absoluto o tiempo relativo en el comando search.

Temas:

Nota

En el caso de la búsqueda guardada, el rango temporal seleccionado en el explorador de logs al crear la búsqueda guardada se almacena como uno de los componentes de la búsqueda guardada. Al utilizar la búsqueda guardada, puede editar la hora mediante el selector de rango temporal en el explorador de logs.

Por otro lado, cuando se especifica el rango de tiempo en una consulta, se ignora el rango de tiempo seleccionado en el explorador de logs. El rango temporal incluido en la consulta se utiliza para el análisis de log. Al guardar esta consulta como Búsqueda guardada, el rango de tiempo especificado en la consulta se tiene en cuenta para las tareas de Búsqueda guardada y no para la hora especificada en el explorador de logs.

Algunos ejemplos en los que se puede especificar un rango temporal en la consulta:

Devuelva todos los logs de errores de ORA-600 detectados en las últimas 24 horas:
```
Message like 'ORA-600%' and time > dateRelative(24h)
```

Devuelva el recuento de logs para el destino de host myHost en los últimos 90 días:

'Host Name (Server)' = myHost and Time > dateRelative(90day) | stats count as 'Num Host Logs'

Funciones basadas en tiempo que se pueden utilizar con el comando search

Las siguientes funciones basadas en tiempo solo se pueden utilizar con el comando search:

toDate: es el tiempo absoluto, por ejemplo, 2014-07-15T16:24:51.000Z o '2014-07-12', 'yyyy-MM-dd'.

Sintaxis para toDate: toDate(<time>).
dateRelative: crea una fecha relativa a la fecha actual, por ejemplo, 12h o 2d, day.

Sintaxis para dateRelative: dateRelative(<timespan>, <rounding interval>) donde el redondeo se basa en la hora UTC.
dateadd: agrega unidades de tiempo a la fecha especificada, por ejemplo, agregue Day, 2 a toDate('2024-05-12', 'yyyy-MM-dd')

Sintaxis para dateadd: dateadd(<date>, <unit>, <amount>).
dateset: cambia una fecha por las unidades de tiempo. Por ejemplo, toDate('2015-08-12', 'yyyy-MM-dd') ha cambiado con year, 2014, month, 7

Sintaxis para dateset: dateset(<date>, <unit>, <value> [, <unit>,<value>]).

Los criterios de tiempo se pueden expresar mediante los operadores de comparación =, !=, <, <=, >, >= y el operador lógico and.

Unidades de tiempo admitidas

All Time

Ejemplo de JSON equivalente: "timeFilter": { "type" : "relative", "timeUnit" : "allTime" }
Segundo: s, seg, seg, segundo, segundos
Minuto: m, min, min, minuto, minutos

Ejemplo: Last 60 minutes

Ejemplo de JSON equivalente: "timeFilter": { "type" : "relative", "duration" : "60", "timeUnit" : "minutes" }
Hora: h, hr, hrs, hour, hours
Día: d, día, días
Semana: w, semana, semanas
Mes: lunes, mes, meses
Año: año, año, años, año

Un ejemplo para la fecha absoluta en formato JSON es "timeFilter": { "type" : "absolute", "startTime" : "2015-04-26T08:00:00.000Z", "endTime" : "2015-04-27T08:00:00.000Z" }.

Ejemplos de rango temporal en consultas

La siguiente consulta busca todo entre 2 fechas absolutas especificadas en formato estándar ISO:

time between '2014-07-15T16:24:51.000Z' and '2014-07-17T18:14:16.000Z'

Consulte ISO 8601: FORMATO DE FECHA Y TIEMPO.

La siguiente consulta busca todo en función de 2 fechas absolutas que no tienen el formato estándar ISO:

time between toDate('2014-07-12', 'yyyy-MM-dd') and toDate('2014-07-15', 'yyyy-MM-dd')

La siguiente consulta busca todo, excepto desde las últimas 12 horas (* en el lado izquierdo de la expresión between representa new Date(0), * a la derecha es now):

time between * AND dateRelative(12h)

La siguiente consulta busca todo en las últimas 12 horas:

time > dateRelative(12h)

La siguiente consulta busca todo lo de los últimos 30 minutos redondeado para empezar desde la parte superior de la hora:

time > dateRelative(30min, hour)

La siguiente consulta busca registros con fecha anterior al 12 de julio de 2014:

time < dateAdd(toDate('2014-07-22', 'yyyy-MM-dd'), day, -10)

La siguiente consulta busca registros con fecha posterior al 10 de junio de 2010:

time > dateSet(toDate('2015-08-10', 'yyyy-MM-dd'), year, 2010, month, 6)

Escritura de subconsultas

Las subconsultas permiten que la consulta secundaria proporcione un filtro dinámico a sus consultas principales. Las subconsultas se evalúan en primer lugar y el resultado se utiliza en la consulta principal.

Puede anidar subconsultas entre sí, así como una consulta particular que tenga varias subconsultas en el mismo nivel.
Por defecto, las subconsultas heredan el rango de tiempo global, pero puede sustituirlo mediante la sintaxis time between T1 and T2, si es necesario.
Las subconsultas están restringidas para devolver solo las primeras 2.000 coincidencias como entrada a su principal. Los demás resultados se truncan.
Tienen un timeout máximo de 30 segundos para terminar.
Todos los campos devueltos por una subconsulta deben coincidir con los campos de la consulta principal por nombre. De lo contrario, se producirá un error.
Solo puede utilizar subconsultas dentro de un comando de búsqueda.
Puede utilizar todos los comandos dentro de una subconsulta, excepto cluster, clustersplit, clustercompare, fieldsummary, delete, classify, highlight y highlightrows.

Ejemplos:

Crear un gráfico del tráfico a partir de la lista negra de IP con el tiempo:

[searchlookup table=ip_blacklist | distinct ip | rename ip as 'host address'] | timestats count

Enumerar los productos más comprados para los principales usuarios de un sitio de comercio electrónico:

'Log Source'='WLS Access Logs' status=200 action=purchase ['Log Source'='WLS Access Logs' status=200 action=purchase | stats count by 'Host (Client Address)' | top limit=1 'Host(Client Address)' | fields -*, 'Host (Client Address)'] | lookup table=products select 'product name' using productid | stats count, distinctcount(productId), unique('product name') by 'Host (Client Address)'

Buscar los 4 principales ID de procesos del sistema operativo con la suma más alta:

[ *|stats sum('OS Process ID') as OSprocessidSum by 'OS Process ID' | top 4 OSprocessidSum | fields -OSprocessidSum ] | stats count by 'OS Process ID', 'Log Source', 'Host Name(Server)'

Mostrar todos los logs del destino con los logs de gravedad más fatales:

* and [ Severity = fatal | stats count by Target | top limit = 1 Count | fields -Count]

Documentación de Oracle Cloud Infrastructure Probar cuenta gratuita