Oracle Cloud Infrastructure - Dokumentation

Flowlogs aktivieren

VCN-Flowlogs für Subnetze, Instanzen, Load Balancer oder Network Load Balancer aktivieren.

    1. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie unter Netzwerk-Command Center die Option Flowlogs aus.
    2. Wählen Sie Flowlogs aktivieren aus.
    3. Geben Sie auf der Seite Basisinformationen einen Namen ein, um das Ablauflog eindeutig zu identifizieren. Sie können den Namen später bearbeiten.
    4. Wählen Sie im Abschnitt Flowlogziel die Loggruppe aus, der das Flowlog hinzugefügt werden soll, oder erstellen Sie eine neue Loggruppe, indem Sie die folgenden Schritte ausführen:
      1. Wählen Sie Neue Loggruppe erstellen aus.
      2. Geben Sie einen Namen zur eindeutigen Kennzeichnung der Loggruppe ein. Sie können den Namen später bearbeiten.
      3. Wählen Sie das Compartment aus, in dem die Loggruppe erstellt werden soll.
      4. (Optional) Geben Sie eine Beschreibung ein, mit der Sie die Loggruppe später identifizieren können.
      5. (Optional) Um Tags auf die Loggruppe anzuwenden, wählen Sie Tagging anzeigen aus.
        Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, müssen Sie über die Berechtigungen verfügen, den Tag-Namespace zu verwenden. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
    5. Wählen Sie Loggruppe erstellen aus.
    6. Wählen Sie im Abschnitt Erfassungsfilter den Erfassungsfilter aus, mit dem bestimmt werden soll, was im Log enthalten ist, oder erstellen Sie einen neuen, indem Sie die folgenden Schritte ausführen:
      1. Wählen Sie Neuen Erfassungsfilter erstellen aus.
      2. Geben Sie einen Namen zur eindeutigen Kennzeichnung des Erfassungsfilters ein. Sie können den Namen später bearbeiten.
      3. Wählen Sie das Compartment aus, in dem der Filter erstellt werden soll.
      4. Wählen Sie in der Liste Stichprobenrate den Prozentsatz des zu erfassenden Netzwerkflusses aus. Loginformationen werden nur für den angegebenen Prozentsatz des gesamten Traffics auf den Aktivierungspunkten erfasst.
      5. Erstellen Sie mindestens eine Regel.

        Erfassungsfilterregeln werden nacheinander geprüft und bei Übereinstimmung ausgeführt. Wenn die erste Übereinstimmung gefunden wird, werden die verbleibenden Regeln nicht geprüft oder ausgeführt. Wenn Sie die Regeln ändern, ändert sich das Verhalten des Erfassungsfilters. In einem Erfassungsfilter sind maximal 10 Regeln zulässig. Beispiele für das Regelverhalten finden Sie unter Erfassungsfilter und -regeln.

        Jede Regel kann angeben, ob Pakete basierend auf der Trafficrichtung (Ingress oder Egress), dem IPv4-CIDR-Quell- oder Zielpräfix oder IPv6 des Traffics oder dem für das Paket verwendeten IP-Protokoll (TCP, UDP, ICMP, ICMPv6) eingeschlossen oder ausgeschlossen werden sollen. Jeder Protokolltyp bietet weitere für dieses Protokoll geeignete Optionen.

      6. (Optional) Um Tags auf den Capture-Filter anzuwenden, wählen Sie Tagging anzeigen aus.
        Wenn Sie über Berechtigungen zum Erstellen von Ressourcen verfügen, können Sie auf die Ressource auch Freiformtags anwenden. Um ein definiertes Tag anzuwenden, benötigen Sie Die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Tags angewendet werden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
      7. Wählen Sie Erfassungsfilter erstellen aus. Wählen Sie Als Stack speichern aus, um einen Stack zu erstellen, den Sie in einer Terraform-Konfiguration verwenden können. Weitere Informationen finden Sie unter Überblick über Resource Manager.
      8. (Optional) Um Tags auf das Ablauflog anzuwenden, wählen Sie Tagging anzeigen aus.
        Wenn Sie über Berechtigungen zum Erstellen von Ressourcen verfügen, können Sie auf die Ressource auch Freiformtags anwenden. Um ein definiertes Tag anzuwenden, benötigen Sie Die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Tags angewendet werden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
    7. Wählen Sie Weiter aus.
    8. Wählen Sie auf der Seite Aktivierungspunkte die Option Aktivierungspunkte hinzufügen aus.
    9. Wählen Sie im Dialogfeld Aktivierungspunkt hinzufügen einen Aktivierungspunkttyp aus:
      • Das virtuelle Cloud-Netzwerk erfasst Flowlogs für alle VNICs in allen Subnetzen in einem VCN.
      • Subnetz erfasst Flowlogs für alle VNICs in einem Subnetz.
      • Mit Ressourcen können Sie Flowlogs für bestimmte Instanzen, Network Load Balancer oder eine oder mehrere VNICs erfassen.
    10. Wählen Sie Fortfahren.
      1. Um Flowlogs für ein virtuelles Cloud-Netzwerk zu aktivieren, wählen Sie ein VCN aus.
      2. Um Flowlogs für ein Subnetz zu aktivieren, wählen Sie ein VCN und dann ein Subnetz aus.
      3. Um Flowlogs für eine Ressource zu aktivieren, wählen Sie einen Ressourcentyp aus. Sie können Instanz-VNIC, Network Load Balancer oder VNIC-OCID auswählen.
        • Wenn Sie Instanz-VNIC oder Network Load Balancer auswählen, wählen Sie ein VCN und dann ein Subnetz aus, und wählen Sie dann eine verfügbare Ressource im Subnetz aus.
          Hinweis

          Wenn die zu aktivierende Ressource nicht angezeigt wird, müssen Sie das Compartment, das VCN und das Subnetz auswählen, das die Ressource enthält. Sie können Flowlogs auch mit jeweils einer Kategorie aktivieren.
        • Wenn Sie VNIC-OCID auswählen, geben Sie eine OCID für jede VNIC ein, für die Sie Flowlogs erfassen möchten.
      4. Wählen Sie Aktivierungspunkte hinzufügen aus.
    11. Wählen Sie Weiter aus.
    12. Prüfen Sie die Flowloginformationen, und wählen Sie Flowlogs aktivieren aus.

  • Bevor Sie ein Flowlog erstellen können, müssen Sie zunächst eine Loggruppe und einen Erfassungsfilter erstellen.

    Verwenden Sie den Befehl oci logging log create und die erforderlichen Parameter, um ein Flowlog in einer Loggruppe zu erstellen:

    oci logging log create --display-name display_name --log-group-id log_group_OCID --log-type SERVICE
--is-enabled true --profile profile_name --configuration file://create_log.json  [OPTIONS]
    In diesem Beispiel sind die Konfigurationsinformationen des Flowlogs in der angegebenen Datei create_log.json enthalten. Beispiel:
    {
    "compartment-id": "compartment_OCID",
    "source": {
        "resource": "resource_OCID",
        "service": "flowlogs",
        "source-type": "OCISERVICE",
        "category": "subnet",
        "parameters": {
            "capture_filter":"capture_filter_OCID"  
            }
    }
}

    Eine vollständige Liste der Parameter und Variablenoptionen für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Bevor Sie ein Flowlog erstellen können, müssen Sie zunächst eine Loggruppe und einen Erfassungsfilter erstellen.

    Führen Sie den Vorgang CreateLog aus, um ein Flowlog in einer Loggruppe zu erstellen. Beispiel:
    POST /api_version/logGroups/log_group_OCID/logs
<authorization and other headers>
{"displayName":"display_name",
   "logType":"SERVICE",
   "isEnabled":true,
   "configuration":   
    {"source":     
	   {"sourceType":"OCISERVICE",
	     "service":"flowlogs",
		 "resource":"resource_OCID",
		 "category":"subnet",
		 "parameters":
		   {"capture_filter":"capture_filter_OCID",
		     "enablementPointType":"Subnet"}
		}
	}
}