Oracle Cloud Infrastructure-Dokumentation

Fehlerbehebung mit Cloud Guard

Mit den Informationen zur Fehlerbehebung können Sie allgemeine Probleme erkennen und beheben, die beim Arbeiten mit dem Oracle Cloud Guard-Service auftreten können.

Keine Probleme erkannt

Beheben Sie Aktivierungsprobleme, die verhindern, dass Cloud Guard Probleme erkennt.

Sie haben die Schritte unter Cloud Guard aktivieren abgeschlossen. Nach etwa 30-60 Minuten werden auf der Seite Probleme keine Probleme angezeigt.

Sicherstellen, dass ein Detektorrezept zum Ziel hinzugefügt wurde

Die Schritte unter Cloud Guard aktivieren erzwingen die Definition eines Ziels, indem Sie Zu überwachende Compartments im OCI-Mandanten angeben. Wenn Sie dabei weder ein OCI-Konfigurationsdetektorrezept noch ein OCI-Aktivitätsdetektorrezept ausgewählt haben, wurden keine Detektoren zum Ziel hinzugefügt. Probleme können nur gemeldet werden, wenn dem Ziel mindestens einen Detektor hinzugefügt wurde.

Siehe OCI-Ziel und seine angehängten Rezepte bearbeiten.

Einige Kategorien von Problemen werden nicht erkannt

Beheben Sie Aktivierungsprobleme, die verhindern, dass Cloud Guard alle Problemkategorien erkennt.

Sie haben die Schritte unter Cloud Guard aktivieren abgeschlossen, und Probleme werden auf der Seite Probleme angezeigt, aber eine ganze Problemkategorie wird immer noch nicht angezeigt.

Sicherstellen, dass ein Detektorrezept für jede Kategorie zum Ziel hinzugefügt wurde

Wenn Sie unter Cloud Guard aktivieren kein Detektorrezept für eine bestimmte Problemkategorie ausgewählt haben, wird dem Ziel kein Detektorrezept für diese Problemkategorie hinzugefügt. Wenn ein Detektor für eine bestimmte Problemkategorie nicht zum Ziel hinzugefügt wird, erkennt Cloud Guard keine Probleme für diese Kategorie.

Siehe OCI-Ziel und seine angehängten Rezepte bearbeiten.

Keine Ereignisse generiert

Beheben Sie Aktivierungsprobleme, die verhindern, dass Cloud Guard Ereignisse generiert.

Sie haben die Schritte unter Cloud Guard aktivieren abgeschlossen, und auf der Seite Probleme werden Probleme angezeigt. Es werden jedoch keine Ereignisse generiert, die der Notifications-Service abrufen kann (siehe Benachrichtigungen konfigurieren).

Hinweis

Nur neue Probleme, mit denen Cloud Guard Triggerereignisbenachrichtigungen erkennt. So lösen Sie Ereignisbenachrichtigungen für ältere Probleme aus:
  1. Suchen Sie die Zeile des Problems auf der Seite Probleme.

    Siehe Probleme auflisten und ihre Details abrufen.

  2. Aktivieren Sie das Kontrollkästchen am linken Ende der Zeile für das Problem.

    Sie können eine zusätzliche Langzeitdiagnose auswählen, die in einem Vorgang verarbeitet werden soll.

  3. Wählen Sie oben in der Langzeitdiagnoseliste die Option Als gelöst markieren aus.

    Für die Ereignisregel, die Sie als gelöst markiert haben, wird ein Trigger ausgelöst, wenn die Bedingungen erfüllt sind, um sie als neues Problem zu klassifizieren. Siehe Problemlebenszyklus.

Stellen Sie sicher, dass das OCI-Responder-Rezept dem Ziel hinzugefügt wurde

Die Schritte unter Cloud Guard aktivieren erzwingen die Definition eines Ziels, indem Sie Zu überwachende Compartments im OCI-Mandanten angeben. Wenn Sie nicht auch das OCI-Responder-Rezept ausgewählt haben, kann die Responder-Regel für Cloudereignisse im OCI-Responder-Rezept keine Ereignisse an den Notifications-Service senden.

Siehe OCI-Ziel und seine angehängten Rezepte bearbeiten.

PSM-Probleme können nicht verarbeitet werden

Sie können Probleme im Zusammenhang mit dem PaaS Service Manager-(PSM-)Compartment (ManagedCompartmentForPaaS genannt) nicht verwerfen oder lösen.

Sie haben die Schritte unter Cloud Guard aktivieren abgeschlossen, und alle Problemkategorien werden auf der Seite Probleme angezeigt. Sie können alle Probleme verwerfen oder lösen, nur nicht Probleme im Zusammenhang mit dem PSM-Compartment.

Weitere Informationen zum Compartment ManagedCompartmentForPaaS finden Sie unter Von Oracle im Mandanten erstellte Ressourcen.

Supportticket erstellen, um spezielle Berechtigungen zu erteilen

Der PSM-Service kontrolliert den Zugriff auf das PSM-Compartment in Ihrem OCI-Mandanten. Daher haben die für Cloud Guard erforderlichen Policys keinen Einfluss auf den Cloud Guard-Zugriff auf Ressourcen im PSM-Compartment. So erhalten Sie die erforderlichen Berechtigungen, um Probleme im Zusammenhang mit dem PSM-Compartment zu verwerfen oder zu lösen:

  1. Erstellen Sie ein Oracle-Supportticket.
  2. Geben Sie die folgenden Details zu diesen für Cloud Guard erforderlichen Berechtigungen an:
    • OCI-Mandanten-ID
    • OCIDs der Cloud Guard-Probleme, die Sie verwerfen möchten
  3. Das PSM- und das OCI-Identitätsteam fügen dann die folgende Policy hinzu:

    allow group administrators to use cloud-guard-problems in compartment managedcompartmentforpaas

    Hinweis

    Hierbei handelt es sich um ein spezielles Compartment, für das die Fähigkeit zum Lösen von Cloud Guard-Problemen nur einer administrativen Gruppe zugewiesen werden kann.
  4. Nachdem das Supportteam Sie darüber informiert hat, dass die Policy hinzugefügt wurde, können Sie Probleme mit dem PSM-Compartment verwerfen und lösen.

Ausnahme "Nicht autorisiert oder nicht gefunden" bei API-Aufruf

Der API-Aufruf ist mit dem Fehler NotAuthorizedOrNotFoundException nicht erfolgreich.

Hinweis

Diese Probleme betreffen die Cloud Guard-Berichtsregion.

Die Cloud Guard-Berichtsregion entspricht NICHT der OCI-Hauptregion.

Um die Berichtsregion anzuzeigen, wählen Sie im Cloud Guard-Optionsbereich links die Option Einstellungen aus.

Um die Region anzuzeigen, in der Sie sich befinden, öffnen Sie die Dropdown-Regionsliste oben auf der Seite.

Situation 1: Bei API-Aufrufen außerhalb der Berichtsregion Ihres Cloud Guard-Mandanten:

  • READ-API-Aufrufe sind erfolgreich.
  • Alle CREATE-, UPDATE- und DELETE-Aufrufe sind mit dem Fehler NotAuthorizedOrNotFoundException nicht erfolgreich.

Situation 2: Wenn API-LIST-Aufrufe ausgeführt werden, die nicht die Berichtsregion angeben, sind einige Aufrufe mit dem Fehler NotAuthorizedOrNotFoundException nicht erfolgreich.

Situation 1: CREATE-, UPDATE- und DELETE-API-Aufrufe nur in der Berichtsregion ausführen

Die API-Aufrufe CREATE, UPDATE und DELETE sind grundsätzlich nur in der Berichtsregion zulässig. Vermeiden Sie, diese API-Aufrufe außerhalb der Berichtsregion auszuführen.

Situation 2: Bei LIST-API-Aufrufen den Berichtsbereich angeben

Während bei einigen LIST-API-Aufrufen die Berichtsregion nicht als Parameter übergeben werden muss, können Sie den Fehler NotAuthorizedOrNotFoundException vermeiden, indem Sie die Berichtsregion immer in LIST-API-Aufrufen übergeben.

Wenn Sie den Fehler NotAuthorizedOrNotFoundException bei einem API-Aufruf LIST erhalten, bei dem Sie die Berichtsregion nicht bestanden haben, müssen Sie den Fehler beheben, wenn Sie den Aufruf mit der übergebenen Berichtsregion erneut ausstellen.

Von Oracle verwaltete Ressourcen nicht sichtbar

Nachdem Sie Cloud Guard über die Cloud Guard-API oder -CLI aktiviert haben, werden in der Cloud Guard-Konsole keine von Oracle verwalteten Ressourcen angezeigt.

Wenn der API-Aufruf oder der CLI-Befehl, der Cloud Guard aktiviert, selfManageResources als true übergibt, werden keine der von Oracle verwalteten Standarddetektorrezepte, Responder-Rezepte oder verwalteten Listen in der Cloud Guard-Konsolen-UI angezeigt.

Sie können die Auswirkung der Aktivierung von Cloud Guard mit selfManageResources als true nicht rückgängig machen. Daher stehen Ihnen nur zwei Optionen zur Verfügung, um dieses Problem zu beheben:

  • Cloud Guard deaktivieren und erneut aktivieren.
    1. Deaktivieren Sie Cloud Guard über die Konsole. Siehe Cloud Guard-Einstellungen verwalten.
    2. Aktivieren Sie Cloud Guard über die Konsole erneut. Siehe Schritte zum Aktivieren von Cloud Guard.

      Sie können Cloud Guard auch über die API oder CLI erneut aktivieren.

    Dieser Ansatz ist in der Regel am besten, insbesondere wenn Sie das Problem kurz nach der Aktivierung von Cloud Guard und vor der Aufnahme vieler Daten erkennen.

  • Erstellen Sie benutzerverwaltete Versionen von von Oracle verwalteten Ressourcen mit Cloud Guard-API-Aufrufen oder CLI-Befehlen. Siehe Schritte im nächsten Abschnitt.

    Dieser Ansatz ist am besten geeignet, wenn Sie Cloud Guard absichtlich mit selfManageResources als true aktiviert haben.

Benutzerverwaltete Ressourcen mit der Cloud Guard-API oder -CLI erstellen

Die Details in den folgenden Schritten sind spezifisch für die Verwendung der Cloud Guard-API.

  1. Verwenden Sie UpdateConfiguration, um Cloud Guard zu aktivieren, indem Sie selfManageResources explizit auf true setzen.

  2. Rufen Sie die folgenden Vorgänge auf, um Ressourcen aufzulisten, indem Sie den Abfrageparameter resourceMetadataOnly als true aufnehmen:
  3. Verwenden Sie den Wert des Feldes id aus der vorherigen API-Antwort, wenn Sie die folgenden Erstellungsvorgänge aufrufen:

    Das Feld id als Antwort auf den Erstellungsvorgang ist die OCID der von Oracle verwalteten Ressource: Detektorrezept, verwaltete Liste oder Responder-Rezept.

    Die in den vorherigen Schritten generierten OCIDs können bei der Konfiguration des Ziels verwendet werden. Siehe CreateTarget.