Oracle Cloud Infrastructure-Dokumentation

Logging - Überblick

Der Oracle Cloud Infrastructure Logging-Service ist eine hoch skalierbare und vollständig verwaltete zentrale Stelle für alle Logs in Ihrem Mandanten. Logging bietet Zugriff auf Logs aus Oracle Cloud Infrastructure-Ressourcen. Diese Logs enthalten wichtige Diagnoseinformationen, die beschreiben, wie Ressourcen ausgeführt werden und wie auf sie zugegriffen wird.

Tipp

Sehen Sie sich ein Einführungsvideo zum Service an.

Funktionsweise von Logging

Mit Logging können Sie Logs aktivieren, verwalten und durchsuchen. Folgende drei Logtypen sind verfügbar:

  • Auditlogs: Logs zu Ereignissen, die vom Oracle Cloud Infrastructure Audit-Service ausgegeben werden. Diese Logs sind auf der Seite Audit von Logging verfügbar oder können auf der Seite Suchen zusammen mit den anderen Logs durchsucht werden.
  • Service-Logs:: Werden von nativen OCI-Services wie API Gateway, Events, Functions, Load Balancer, Object Storage und VCN-Flowlogs ausgegeben. Jeder dieser unterstützten Services verfügt über vordefinierte Loggingkategorien, die Sie für Ihre jeweiligen Ressourcen aktivieren oder deaktivieren können.
  • Benutzerdefinierte Logs: Logs, die Diagnoseinformationen von benutzerdefinierten Anwendungen, anderen Cloud-Providern oder einer On-Premise-Umgebung enthalten. Benutzerdefinierte Logs können über die API oder durch Konfiguration des Unified Monitoring Agent aufgenommen werden. Sie können eine OCI-Compute-Instanz/-Ressource konfigurieren, um benutzerdefinierte Logs direkt über den Unified Monitoring Agent hochzuladen. Benutzerdefinierte Logs werden in Virtual-Machine- und in Bare-Metal-Szenarios unterstützt.

Ein Log ist eine erstklassige Oracle Cloud Infrastructure-Ressource, die in einem bestimmten Kontext gesammelte Logereignisse speichert und erfasst. Beispiel: Wenn Sie Flowlogs in einem Subnetz aktivieren, verfügt dieses über ein eigenes dediziertes Log. Jedes Log verfügt über eine OCID und wird in einer Loggruppe gespeichert. Eine Loggruppe ist eine Sammlung von Logs, die in einem Compartment gespeichert sind. Logs und Loggruppen sind durchsuchbar, verwertbar und transportierbar.

Aktivieren Sie zu Beginn ein Log für eine Ressource. Services bieten Logkategorien für die verschiedenen Logtypen, die für Ressourcen verfügbar sind. Beispiel: Der Object Storage-Service unterstützt die folgenden Logkategorien für Speicher-Buckets: Lese- und Schreibzugriffsereignisse. Lesezugriffsereignisse erfassen Downloadereignisse, während Schreibzugriffsereignisse Schreibereignisse erfassen. Jeder Service kann verschiedene Logkategorien für Ressourcen haben. Die Logkategorien eines Service stehen in keiner Beziehung zu den Logkategorien eines anderen Service. Daher verwendet der Functions-Service andere Logkategorien als der Object Storage-Service.

Wenn Sie ein Log aktivieren, müssen Sie es einer von Ihnen erstellten Loggruppe hinzufügen. Loggruppen sind logische Container für Logs. Mit Loggruppen können Sie die Verwaltung von Logs organisieren und optimieren, indem Sie IAM-Policys anwenden oder Logs zu Analysezwecken gruppieren. Weitere Informationen finden Sie unter Logs und Loggruppen.

Logs werden im System indexiert und können über die Konsole, die API und die CLI durchsucht werden. Sie können Logs auf der Seite Suchen von Logging anzeigen und durchsuchen. Beim Durchsuchen von Logs können Sie mehrere Logs gleichzeitig miteinander in Beziehung setzen. Beispiel: Sie können Ergebnisse aus mehreren Logs, mehreren Loggruppen oder sogar einem gesamten Compartment mit einer Abfrage anzeigen. Sie können Logs filtern, aggregieren und visualisieren. Weitere Informationen finden Sie unter Logging-Suche.

Hinweis

Nur die UTF-8-Textkodierung wird unterstützt.

Nachdem Sie ein Log aktiviert haben, werden Logeinträge für das Log auf der Detailseite angezeigt (weitere Informationen finden Sie unter Logging für eine Ressource aktivieren).

Hinweis

Sie können die Details des Nutzungsberichts für Logging anzeigen, indem Sie auf Kosten- und Nutzungsberichte zugreifen.

Connector-Hub-Integration

Oracle Cloud Infrastructure Logging kann in Connector Hub integriert werden. Wenn Sie weitere Unterstützung für die Archivierung benötigen, können Sie Connector Hub für die Archivierung im Objektspeicher, das Schreiben im Stream usw. verwenden. Weitere Informationen finden Sie unter Connectors und Szenario: Logs in Object Storage archivieren.

Logging-Workshop

Im OCI Logging-Workshop finden Sie übungsbasierte Schritt-für-Schritt-Anweisungen zum Einrichten Ihrer Umgebung, Aktivieren von Servicelogs, Erstellen von benutzerdefinierten Anwendungslogs, Durchsuchen von Logs und Exportieren von Loginhalten in Object Storage.

Logging-APIs

In Oracle Cloud Infrastructure Logging sind die folgenden APIs verfügbar:

Weitere Informationen zu Logging-Vorgängen, die für jede API spezifisch sind, finden Sie unter den API-Themen unter Logmanagement, API (für Logging-Suche) verwenden und API (für Logging-Suche) verwenden.

Logging-Konzepte

Die folgenden Konzepte sind für die Arbeit mit Logging unerlässlich.

Servicelogs
Wichtige Diagnoseinformationen von unterstützten Oracle Cloud Infrastructure-Services. Siehe Unterstützte Services.
Benutzerdefinierte Logs
Diagnoseinformationen von benutzerdefinierten Anwendungen, anderen Cloud-Providern oder einer On-Premise-Umgebung. Um benutzerdefinierte Logs aufzunehmen, rufen Sie die API direkt auf, oder konfigurieren Sie den Unified Monitoring Agent.
Auditlogs
Schreibgeschützte Logs aus dem Audit-Service, die Sie analysieren und durchsuchen können. Auditlogs erfassen Informationen zu API-Aufrufen, die an öffentlichen Endpunkten in Ihrem Mandanten getätigt wurden. Dazu gehören API-Aufrufe, die von der Konsole, der Befehlszeilenschnittstelle (CLI), Software Development Kits (SDK), Ihren eigenen benutzerdefinierten Clients oder anderen Oracle Cloud Infrastructure-Services getätigt werden.
Loggruppen
Loggruppen sind logische Container für Logs. Verwenden Sie Loggruppen, um das Logmanagement zu optimieren. Dazu gehört auch das Anwenden von IAM-Policys oder das Durchsuchen von Logsets. Sie können Loggruppen von einem Compartment in ein anderes verschieben. Es werden dann alle Logs in der Loggruppe mit verschoben.
Servicelogkategorie
Services bieten Logkategorien für die verschiedenen Logtypen, die für Ressourcen verfügbar sind. Beispiel: Der Object Storage-Service unterstützt die folgenden Logkategorien für Speicher-Buckets: Lese- und Schreibzugriffsereignisse. Lesezugriffsereignisse erfassen Downloadereignisse, während Schreibzugriffsereignisse Schreibereignisse erfassen. Jeder Service kann verschiedene Logkategorien für Ressourcen haben. Die Logkategorien eines Service stehen in keiner Beziehung zu den Logkategorien eines anderen Service.
Connector-Hub

Connector Hub verschiebt Loggingdaten in andere Services in Oracle Cloud Infrastructure. Beispiel: Mit Connector Hub können Sie Alarme für Logdaten erstellen, Logdaten an Datenbanken senden und Logdaten in Object Storage archivieren. Weitere Informationen finden Sie unter Connector-Hub.

Unified Monitoring Agent
Der Fluentd-basierte Agent, der auf Kundenrechnern (OCI-Instanzen) ausgeführt wird, um Kunden bei der Aufnahme benutzerdefinierter Logs zu unterstützen.
Agent-Konfiguration
Eine Konfiguration des Unified Monitoring Agent, die angibt, wie benutzerdefinierte Logs aufgenommen werden.

Logverschlüsselung

OCI-Logs werden wie folgt verschlüsselt:
  • Logs werden während des aktiven Prozesses verschlüsselt, d.h., während sie gerade in Oracle Cloud Infrastructure Logging aufgenommen werden;
  • Nachdem sich die Logs im System befinden, werden sie mit Verschlüsselung auf Datenträgerebene für kommerzielle Umgebungen verschlüsselt;
  • Logs werden auch beim Archivieren und beim Speichern verschlüsselt.

Ressourcen-IDs

Die meisten Oracle Cloud Infrastructure-Ressourcentypen verfügen über eine eindeutige, von Oracle zugewiesene ID, die als Oracle Cloud-ID (OCID) bezeichnet wird. Informationen zum OCID-Format und zu weiteren Möglichkeiten zur Identifizierung Ihrer Ressourcen finden Sie unter Ressourcen-IDs.

Möglichkeiten für den Zugriff auf Oracle Cloud Infrastructure

Auf Oracle Cloud Infrastructure (OCI) können Sie über die Konsole (eine browserbasierte Schnittstelle), die REST-API oder die OCI-CLI zugreifen. Anweisungen zur Verwendung der Konsole, API und CLI sind in verschiedenen Themen in dieser Dokumentation enthalten. Eine Liste der verfügbaren SDKs finden Sie unter Softwareentwicklungs-Kits und Befehlszeilenschnittstelle.

Um auf die Konsole zuzugreifen, müssen Sie einen unterstützten Browser verwenden. Um zur Anmeldeseite der Konsole zu wechseln, öffnen Sie das Navigationsmenü oben auf dieser Seite, und wählen Sie Infrastrukturkonsole aus. Dort werden Sie aufgefordert, Ihren Cloud-Mandanten, Benutzernamen und Ihr Kennwort einzugeben.

Authentifizierung und Autorisierung

Jeder Service in Oracle Cloud Infrastructure kann zur Authentifizierung und Autorisierung für alle Schnittstellen (Konsole, SDK oder CLI und REST-API) in IAM eingebunden werden.

Ein Administrator in einer Organisation muss Gruppen , Compartments und Policys einrichten, die steuern, welche Benutzer auf Services, Ressourcen und den Zugriffstyp zugreifen können. Beispiel: Die Policys steuern, wer neue Benutzer erstellen, das Cloud-Netzwerk erstellen und verwalten, Instanzen erstellen, Buckets erstellen, Objekte herunterladen und so weiter. Weitere Informationen finden Sie unter Identitätsdomains verwalten. Einzelheiten zum Schreiben von Policys für die einzelnen Services finden Sie in der Policy-Referenz.

Wenn Sie ein regulärer Benutzer sind (nicht ein Administrator), der die Oracle Cloud Infrastructure-Ressourcen verwenden muss, für die das Unternehmen verantwortlich ist, bitten Sie einen Administrator, eine Benutzer-ID für Sie einzurichten. Der Administrator kann festlegen, welche Compartments Sie verwenden können.

Für Administratoren: Unter den folgenden Themen finden Sie Beispiele zu IAM-Policys für Logging: