Oracle Cloud Infrastructure-Dokumentation

Erkennungsregel mit einer Vorlage erstellen

Verwenden Sie eine von oracle definierte Vorlage, und erstellen Sie eine Erkennungsregel, die eine Metrik jedes Mal posten kann, wenn die Logerfassung der definierten Regel entspricht.

Stellen Sie sicher, dass die erforderlichen IAM-Policys erstellt werden, um Berechtigungen bereitzustellen. Siehe Benutzer können alle Vorgänge mit Erkennungsregelvorlagen ausführen.

Eine Liste der von Oracle definierten Vorlagen finden Sie unter Von Oracle definierte Erkennungsregelvorlagen.

Die folgenden Schritte werden mit dem Monitoring-Service als Ziel für die Überwachung der geplanten Aufgabe erläutert. Die von Oracle Log Analytics ausgegebenen Metriken werden vom Monitoring-Service gespeichert.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Log Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

    Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Erkennungsregeln.

    Die Seite Erkennungsregeln wird geöffnet. Wählen Sie das Compartment unter Detektionsregelgeltungsbereich aus, und klicken Sie auf Regel erstellen.

    Das Dialogfeld Erkennungsregel erstellen wird geöffnet.

  2. Klicken Sie auf Empfohlene Erkennungsregel.

  3. Geben Sie einen Regelnamen für die Erkennungsregel an.

  4. Wählen Sie unter Vorlage auswählen Folgendes aus:

    1. Um die verfügbaren Vorlagen zu filtern, wählen Sie den Regeltyp aus. Derzeit sind nur gespeicherte Sucharten von von von Oracle definierten Erkennungsregelvorlagen verfügbar. Dieses Feld kann nicht ausgewählt werden.

    2. Wählen Sie eine von Oracle definierte Vorlage aus dem Menü. Um weitere Details zu den einzelnen Vorlagen anzuzeigen und diese auszuwählen, klicken Sie auf Erweiterte Suche. Das Dialogfeld Vorlage suchen und auswählen wird geöffnet. Die Vorlagen und ihre Details werden in einer Tabelle aufgeführt. Klicken Sie auf die Zeile mit der Vorlage, die Sie auswählen möchten, und klicken Sie auf Auswählen.

      Die Standardabfrage, die zur Implementierung der Vorlage verwendet wird, wird angezeigt. Sie können diese Abfrage kopieren und im Log Explorer ausführen, um das Ergebnis anzuzeigen.

      Eine Liste der von Oracle definierten Vorlagen finden Sie unter Von Oracle definierte Erkennungsregelvorlagen.

    3. Blenden Sie optional Anpassbare Optionen anzeigen ein. In diesem Abschnitt werden die Felder in der Abfrage angezeigt, die geändert werden können.

      Beispiel: In der Abfrage der Vorlage Loggruppengröße können folgende Felder geändert werden:

      • Compartment der Loggruppe: Das Compartment, in dem die Loggruppen abgefragt werden müssen. Sie können auch das Kontrollkästchen Sub-Compartments aktivieren, um die Sub-Compartments des ausgewählten Compartments abzufragen.

      • Größenschwellenwert (Byte): Dies ist die Größe der Loggruppe, mit der die Metriken gepostet werden müssen. Standardmäßig ist dies 0. Beispiel: Wenn der angegebene Größenschwellenwert 1000 Byte beträgt, wird die Metrik nur veröffentlicht, wenn die Loggruppengröße größer als 1000 Byte ist.

      Details zur von Oracle definierten Loggruppengröße für Vorlagen finden Sie unter Von Oracle definierte Erkennungsregelvorlagen.

  5. Gehen Sie unter Setuphäufigkeit wie folgt vor:

    Geben Sie Intervall an (das Aggregationsfenster). Sie können den Zeitplan für die Ausführung in den ausgewählten Werten für Minuten, Stunden, Tage oder Wochen optimieren. Wenn Sie größere Aggregationen auswählen, z.B. Tage, können Sie außerdem die feinere Aggregation innerhalb des Bereichs angeben, z.B. die Uhrzeit, zu der die Abfrage ausgeführt werden muss.

    Sie können die Häufigkeit der Ausführung der Abfrage angeben, wie Run indefinitely, Run once oder Custom.

    Sie können auch Wiederholungsanzahl in die Häufigkeitsspezifikation aufnehmen, wie oft die Abfrage ausgeführt werden muss.

  6. Wählen Sie unter Zu konfigurierenden Zielservice auswählen:

    1. Wählen Sie den Zielservice aus, in dem die Ergebnisse der ausgeführten Abfrage gepostet werden, z.B. Monitoring.

      Der Monitoring-Service speichert die Metriken für das Ergebnis der nach einem Zeitplan ausgeführten Abfrage.

    2. Wählen Sie Metrik-Compartment aus (das Compartment, in dem die Metrik erstellt wird). Standardmäßig wird ein Compartment von Oracle Log Analytics ausgewählt.

    3. Wählen Sie Metrik-Namespace aus (den Metrik-Namespace, in dem Sie die neue Metrik ablegen möchten). Welche Optionen zur Auswahl des Namespace verfügbar sind, hängt vom ausgewählten Metrik-Compartment im vorherigen Schritt ab. Wenn keine Optionen verfügbar sind, können Sie auch einen neuen Wert für den Namespace eingeben.

      Hinweis

      Wenn Sie einen neuen Wert für den Namespace angeben, wählen Sie einen Namen aus, der nicht mit oracle_ und oci_ beginnt. Sie sind reservierte Präfixe. Siehe Benutzerdefinierte Metriken veröffentlichen.

    4. Wählen Sie optional Ressourcengruppe aus (die Gruppe, zu der die Metrik gehört). Eine Ressourcengruppe ist eine benutzerdefinierte Zeichenfolge, die mit einer benutzerdefinierten Metrik angegeben wird.

    5. Geben Sie Metrikname ein (den Namen der Metrik, der im Explorer des Monitoring-Service zur Anzeige der Metriken verwendet wird). Nur eine Metrik kann angegeben werden.

  7. Blenden Sie optional den Abschnitt Erweiterte Optionen anzeigen ein, und fügen Sie Ihrer Erkennungsregel Tags hinzu.

  8. Wenn die erforderlichen IAM-Policys noch nicht definiert sind, wird eine Benachrichtigung mit den Policys für folgende Aktionen angezeigt:

    • Dynamische Gruppe erstellen
    • Policys auf die dynamische Gruppe anwenden, damit die geplanten Aufgaben ausgeführt werden können

    Notieren Sie sich die aufgeführten Policys, und erstellen Sie sie.

  9. Klicken Sie auf Erkennungsregel erstellen.

Die Abfrage wird nun in regelmäßigen Abständen ausgeführt, und die resultierenden Metriken werden an den Monitoring-Service ausgegeben.

Benutzer können alle Vorgänge mit Erkennungsregelvorlagen ausführen

Um Erkennungsregeln mit den Vorlagen zu erstellen, die Metriken im Zielservice zu posten und die Metriken anzuzeigen, richten Sie zuerst die richtigen Berechtigungen ein, indem Sie die folgenden IAM-Policys erstellen:

  1. Erstellen Sie eine dynamische Gruppe, damit geplante Aufgaben Metriken aus einem bestimmten Compartment an den Monitoring-Service posten können:

    ALL {resource.type='loganalyticsscheduledtask', resource.compartment.id='<compartment ocid>'}

    Alternativ können Sie zulassen, dass Metriken aus allen Compartments gepostet werden:

    ALL {resource.type='loganalyticsscheduledtask'}

  2. Fügen Sie Policy-Anweisungen hinzu, damit die dynamische Gruppe Vorgänge für geplante Aufgaben im Mandanten ausführen kann:

    allow group <group_name> to use loganalytics-scheduled-task in tenancy
allow dynamic-group <dynamic_group_name> to use metrics in tenancy
allow dynamic-group <dynamic_group_name> to read management-saved-search in tenancy
allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_QUERY_VIEW} in tenancy
allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ} in tenancy
allow dynamic-group <dynamic_group_name> to READ loganalytics-log-group in tenancy
allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_LOOKUP_READ} in tenancy
allow dynamic-group <dynamic_group_name> to read compartments in tenancy

  3. Fügen Sie eine Policy-Anweisung hinzu, damit die dynamische Gruppe auf die Vorlage in einem bestimmten Compartment zugreifen kann: 

    allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_TEMPLATE_READ} in tenancy

    Von Oracle definierte Vorlagen befinden sich im Root Compartment. Geben Sie bei einer vom Benutzer erstellten Vorlage das genaue Compartment an, in dem sich die Vorlage befindet.