Oracle Cloud Infrastructure-Dokumentation

Zugriff auf Log Analytics und zugehörige Ressourcen aktivieren

Richten Sie den Oracle Cloud Infrastructure-Mandanten für die Nutzung von Oracle Log Analytics ein, indem Sie diese erforderlichen Konfigurationsaufgaben ausführen.

Oracle Log Analytics ist ein regionaler Service. Wählen Sie vor dem Start eine Region aus, die Sie verwenden möchten. Sie können diese Schritte für jede Region ausführen, die Sie einrichten möchten. Jede Region ist jedoch eine andere Instanz. Wählen Sie die Region mit dem Regionsselektor in der oberen rechten Ecke der Konsole aus.

Themen:

Policys zum Ausführen bestimmter Aufgaben und eine vollständige Referenz der Policy-Anforderungen in Log Analytics finden Sie unter Katalog für IAM-Policys für Log Analytics.

Mit den verfügbaren Vorlagen können Sie eine Policy für eine Benutzergruppe oder dynamische Gruppe erstellen, um einen bestimmten Vorgang oder eine Zusammenstellung von Vorgängen auszuführen. Siehe Von Oracle definierte Policy-Vorlagen für allgemeine Anwendungsfälle.

Hinweis

Wenn Sie Oracle Log Analytics mit der Onboarding-UI aktiviert haben, die verfügbar ist, wenn Sie zum ersten Mal zum Service navigieren, werden bereits einige Policys erstellt. Siehe Policys, die beim Onboarding von Log Analytics erstellt wurden.

Zugriff von Log Analytics auf die Featurefamilie aktivieren

Damit der Oracle Log Analytics-Service ausgeführt werden kann, muss eine Service-IAM-Policy auf Serviceebene erstellt werden. Erstellen Sie Policys mit Standard-IAM-Policys von Oracle Cloud Infrastructure, und fügen Sie die folgende Policy-Anweisung hinzu.

Policy-Anweisung Beschreibung
allow service loganalytics to READ loganalytics-features-family in tenancy

Erteilen Sie dem Oracle Log Analytics-Service READ-Zugriffsrechte der Familie loganalytics-features-family im gesamten Mandanten.

Einige der oben genannten Policy-Anweisungen sind in den verfügbaren, von Oracle definierten Policy Templates enthalten. Sie können die Vorlage für Ihren Anwendungsfall verwenden. Siehe Von Oracle definierte Policy-Vorlagen für allgemeine Anwendungsfälle.

Policys zum Ausführen bestimmter Aufgaben und eine vollständige Referenz der Policy-Anforderungen in Log Analytics finden Sie unter Katalog für IAM-Policys für Log Analytics.

Hinweis

Wenn Sie Oracle Log Analytics mit der Onboarding-UI aktiviert haben, die verfügbar ist, wenn Sie zum ersten Mal zum Service navigieren, werden bereits einige Policys erstellt. Siehe Policys, die beim Onboarding von Log Analytics erstellt wurden.

OCI-Compartments zum Platzieren der Log Analytics-Ressourcen angeben

Mit Compartments lassen sich Ressourcen von Oracle Log Analytics wie Entitys und Loggruppen erstellen. Optimieren Sie den Zugriff auf die Compartments für eine bessere Benutzerzugriffskontrolle.

Sie können vorhandene Compartments verwenden oder neue, speziell für forOracle Log Analytics, erstellen. Sie können mehrere Compartments erstellen, um verschiedenen Benutzergruppen Zugriff auf verschiedene Teile des Produkts oder der Logdaten zu erteilen. Weitere Informationen zur Funktionsweise von Compartments finden Sie unter Compartments verwalten in der Oracle Cloud Infrastructure-Dokumentation.

Ressourcen in Oracle Log Analytics müssen sich in den Compartments befinden. Wenn Sie eine der folgenden Ressourcen erstellen, müssen Sie das Compartment dafür auswählen:

Ressource Zugriffskontrolle mit Oracle IAM-Policys

Entitys

Sie können kontrollieren, wer die Logerfassung für eine bestimmte Entity aktivieren oder deaktivieren kann.

Loggruppen

Sie können kontrollieren, wer die Logs durchsuchen kann, nachdem diese erfasst, angereichert und indexiert wurden.

Lösch-Policys

Sie können kontrollieren, wer die Definition der Lösch-Policy stoppen oder ändern kann.

Objektspeicher-Erfassungsregeln

Sie können kontrollieren, wer die Erfassungsregel stoppen oder ändern kann.

Policys zum Ausführen bestimmter Aufgaben und eine vollständige Referenz der Policy-Anforderungen in Log Analytics finden Sie unter Katalog für IAM-Policys für Log Analytics.

Hinweis

Wenn Sie Oracle Log Analytics mit der Onboarding-UI aktiviert haben, die verfügbar ist, wenn Sie zum ersten Mal zum Service navigieren, werden bereits einige Policys erstellt. Siehe Policys, die beim Onboarding von Log Analytics erstellt wurden.

Benutzergruppen zur Implementierung der Zugriffskontrolle erstellen

Erstellen Sie mindestens eine Benutzergruppe, um den Benutzern je nach der gewünschten Verwendung von Oracle Log Analytics unterschiedliche Zugriffsebenen zu erteilen.

Themen:

Ein Benutzer, der Mitglied der Gruppe Administratoren ist, verfügt über vollständigen Zugriff auf alle Features von Oracle Log Analytics. Informationen hierzu finden Sie unter Administratorengruppe, Policy und Administratorrollen.

Empfohlene Benutzergruppen

Es wird empfohlen, die Benutzergruppen zunächst ähnlich wie in den folgenden Beispielen zu erstellen:

  • Log-Analytics-Users: Die Benutzer, die Sie dieser Gruppe hinzufügen, können die Logs abfragen und verschiedene Konfigurationen anzeigen. Sie können jedoch nicht die Logerfassung aktivieren oder deaktivieren, Konfigurationen ändern oder Logs löschen.
  • Logging-Analytics-Admins: Die Benutzer, die Sie dieser Gruppe hinzufügen, verfügen über Logging-Analytics-Users-Berechtigungen und können zusätzlich Quellen, Parser, Entitys und Loggruppen erstellen oder bearbeiten. Diese Benutzer können die Logerfassung auch aktivieren oder deaktivieren. Sie können jedoch keine Logs löschen.
  • Log-Analytics-SuperAdmins: Die Benutzer in dieser Gruppe haben die Berechtigungen Log-Analytics-Admins und können zusätzlich Lebenszyklusaktivitäten wie Onboarding und Offboarding von Oracle Log Analytics und das Löschen von Logs ausführen.

Beachten Sie, dass die obigen Gruppen als Beispiele dargestellt sind und zum Erstellen von IAM-Policys in dieser Dokumentation verwendet werden. Sie können die Benutzergruppen jedoch entsprechend Ihren Anforderungen erstellen.

Ressourcentypen in Log Analytics aggregieren

Mit der folgenden beiden Familien können Sie Bulkzugriff erteilen, ohne dass Sie jeder Benutzergruppe individuelle Berechtigungen zuweisen muss. In den meisten Fällen können Sie diese verwenden, um die Verwaltung Ihrer Oracle Log Analytics-Policys zu vereinfachen.

  • loganalytics-features-family zum Steuern der Features, auf die ein Benutzer Zugriff hat, sowie der Aktionen, die der Benutzer mit der Konsole, der REST-API, der CLI oder dem SDK ausführen kann.

    loganalytics-features-family und die darin enthaltenen Ressourcen können nur auf Mandantenebene und nicht pro Compartment festgelegt werden.

  • loganalytics-resources-family zum Steuern des Zugriffs eines Benutzers zum Erstellen, Lesen, Aktualisieren und Löschen der Ressourcen, wie Entitys, Loggruppen, Lösch-Policys und Objektspeicher-Erfassungsregeln.

    Diese Familie und die darin enthaltenen Ressourcen können Zugriff für den gesamten Mandanten oder ein bestimmtes Compartment erhalten.

Policys zum Ausführen bestimmter Aufgaben und eine vollständige Referenz der Policy-Anforderungen in Log Analytics finden Sie unter Katalog für IAM-Policys für Log Analytics.

Hinweis

Wenn Sie Oracle Log Analytics mit der Onboarding-UI aktiviert haben, die verfügbar ist, wenn Sie zum ersten Mal zum Service navigieren, werden bereits einige Policys erstellt. Siehe Policys, die beim Onboarding von Log Analytics erstellt wurden.

Zugriff für Benutzergruppen erteilen

Erstellen Sie Policys mit Standard-IAM-Policys von Oracle Cloud Infrastructure, um zu definieren, wie Ihre Benutzergruppen Oracle Log Analytics verwenden können.

Hinweis

Wenn Sie Oracle Log Analytics schnell ausprobieren möchten, ohne Gruppen und Policys zu verwalten, hat ein Benutzer, der Mitglied der Gruppe Administratoren ist, vollständigen Zugriff auf alle Features. Informationen hierzu finden Sie unter Administratorengruppe, Policy und Administratorrollen.

Um die Policy gemäß den Beispielgruppen in Benutzergruppen zur Implementierung von Zugriffskontrolle erstellen einzurichten, wenden sie die folgenden Policys an.

Für die Benutzergruppe Log-Analytics-SuperAdmins:

Policy Beschreibung

allow group Log-Analytics-SuperAdmins to MANAGE loganalytics-features-family in tenancy

Erteilen Sie der Gruppe Log-Analytics-SuperAdmins die MANAGE-Zugriffsberechtigungen der Familie loganalytics-features-family im gesamten Mandanten.

Mit dieser Policy kann jede Aufgabe im Service ausgeführt werden, einschließlich Offboarding, Löschen von Logs, Einrichten der Archivierung usw.

allow group Log-Analytics-SuperAdmins to MANAGE loganalytics-resources-familY in tenancy

Oder

allow group Log-Analytics-SuperAdmins to MANAGE loganalytics-resources-family in compartment myCompartment1

Erteilen Sie der Gruppe Log-Analytics-SuperAdmins MANAGE-Zugriffsrechte der Familie loganalytics-resources-family im gesamten Mandanten oder in einem bestimmten Compartment.

Diese Policy ermöglicht die Ausführung jeder Aufgabe im Service für jeden Ressourcentyp, der zur Familie loganalytics-resources-family gehört.

allow group Log-Analytics-SuperAdmins to MANAGE management-dashboard-family in tenancy

Erteilen Sie der Gruppe Logging-Analytics-SuperAdmins alle Zugriffsrechte für die Management-Dashboard-Ressourcenfamilie im Mandanten. Sie können vom Mandanten zu bestimmten Compartments wechseln.

allow group Log-Analytics-SuperAdmins to read compartments in tenancy

Lassen Sie zu, dass die Gruppe Log-Analytics-SuperAdmins die Liste der verfügbaren Compartments für die Loggruppen abrufen kann, auf die die Gruppe möglicherweise Zugriff hat. Dies ist für die Verwendung des Log-Explorers erforderlich.

Für die Benutzergruppe Log-Analytics-Admins:

Policy Beschreibung

allow group Log-Analytics-Admins to use loganalytics-features-family in tenancy

Erteilen Sie der Gruppe Log-Analytics-Admins die USE-Zugriffsberechtigungen der Familie loganalytics-features-family im gesamten Mandanten.

allow group Log-Analytics-Admins to use loganalytics-resources-family in tenancy

Oder

allow group Log-Analytics-Admins to use loganalytics-resources-family in compartment myCompartment1

Erteilen Sie der Gruppe Log-Analytics-Admins USE-Zugriffsrechte der Familie loganalytics-resources-family im gesamten Mandanten oder in einem bestimmten Compartment.

Lassen Sie zu, dass diese Gruppe die Ressourcen in der Familie loganalytics-resources-family anzeigen, erstellen, bearbeiten oder löschen kann.

allow group Log-Analytics-Admins to manage management-dashboard-family in tenancy

Oder

allow group Log-Analytics-Admins to manage management-dashboard-family in compartment myCompartment2

Erteilen Sie der Gruppe Logging-Analytics-Admins alle Zugriffsrechte für die Management-Dashboard-Ressourcenfamilie im Mandanten. Sie können vom Mandanten zu bestimmten Compartments wechseln.

allow group Log-Analytics-Admins to read compartments in tenancy

Lassen Sie zu, dass die Gruppe Log-Analytics-Admins die Liste der verfügbaren Compartments für die Loggruppen abrufen kann, auf die die Gruppe möglicherweise Zugriff hat. Dies ist für die Verwendung des Log-Explorers erforderlich.

Für die Benutzergruppe Log-Analytics-Users:

Policy Beschreibung

allow group Log-Analytics-Users to read loganalytics-features-family in tenancy

Erteilen Sie der Gruppe Log-Analytics-Users die READ-Zugriffsrechte der Familie loganalytics-features-family im gesamten Mandanten.

allow group Log-Analytics-Users to read loganalytics-resources-family in tenancy

Oder

allow group Log-Analytics-Users to read loganalytics-resources-family in compartment myCompartment1

Erteilen Sie der Gruppe Log-Analytics-Users READ-Zugriffsrechte der Familie loganalytics-resources-family im gesamten Mandanten. Sie können vom Mandanten zu bestimmten Compartments wechseln.

Lassen Sie zu, dass diese Gruppe Details der Ressourcen in der Familie loganalytics-resources-family anzeigt. Benutzer können diese Elemente nicht erstellen, bearbeiten oder löschen.

allow group Log-Analytics-Users to use management-dashboard-family in tenancy

Oder

allow group Log-Analytics-Users to use management-dashboard-family in compartment myCompartment2

Erteilen Sie der Gruppe Logging-Analytics-Users die USE-Zugriffsrechte für die Management-Dashboard-Ressourcenfamilie im Mandanten. Sie können vom Mandanten zu bestimmten Compartments wechseln.

allow group Log-Analytics-Users to read compartments in tenancy

Lassen Sie zu, dass die Gruppe Log-Analytics-Users die Liste der verfügbaren Compartments für die Loggruppen abrufen kann, auf die die Gruppe möglicherweise Zugriff hat. Dies ist für die Verwendung des Log-Explorers erforderlich.

Sie können compartment-spezifische Policy-Anweisungen für eine beliebige Anzahl von Compartments hinzufügen, die Sie zum Organisieren der Ressourcen wie Entitys und Loggruppen erstellen möchten. Diese Ressourcen können sich auch in ganz anderen Compartments befinden. Es ist nicht erforderlich, dass sich alle Ressourceninstanzen unterschiedlicher Typen in demselben Compartment befinden. Möglicherweise ist die Verwaltung jedoch einfacher, wenn Sie die Anzahl der verwendeten Compartments minimieren können.

Anstatt die Ressourcenfamilie zu verwenden, können Sie auch eine Policy auf der Ebene der einzelnen Ressourcen angeben. Beispiel:

Policy Beschreibung

allow group DBA to use loganalytics-entity in compartment Databases

Benutzer in der Gruppe DBA können Entitys erstellen, bearbeiten oder löschen und die Logerfassung für Entitys im Compartment Databases aktivieren oder deaktivieren.

allow group DBA to use loganalytics-log-group in compartment Databases

Benutzer in der Gruppe DBA können Loggruppen erstellen, bearbeiten oder löschen und die Logs abfragen, die im Compartment Databases gespeichert sind.

Einige der oben genannten Policy-Anweisungen sind in den verfügbaren, von Oracle definierten Policy Templates enthalten. Sie können die Vorlage für Ihren Anwendungsfall verwenden. Siehe Von Oracle definierte Policy-Vorlagen für allgemeine Anwendungsfälle.

Policys zum Ausführen bestimmter Aufgaben und eine vollständige Referenz der Policy-Anforderungen in Log Analytics finden Sie unter Katalog für IAM-Policys für Log Analytics.

Hinweis

Wenn Sie Oracle Log Analytics mit der Onboarding-UI aktiviert haben, die verfügbar ist, wenn Sie zum ersten Mal zum Service navigieren, werden bereits einige Policys erstellt. Siehe Policys, die beim Onboarding von Log Analytics erstellt wurden.

Log Analytics aktivieren

Nachdem sie die erforderlichen Aufgaben wie die Erstellung von Benutzergruppen und die Erstellung von Compartments und die Definition von Zugriffs-Policys für die Benutzergruppen abgeschlossen haben, können Sie auf Oracle Log Analytics zugreifen und es zur Verwendung aktivieren.

Um Oracle Log Analytics zu aktivieren, müssen Sie Mitglied der Gruppe Administratoren sein. Siehe Administratorengruppe, Policy und Administratorrollen.

  1. Öffnen sie das Navigationsmenü, klicken Sie auf Observability und Management, und klicken Sie dann auf Log Analytics.

  2. Wenn Sie diesen Service zum ersten Mal in dieser Region verwenden, gelangen Sie auf eine Onboardingseite. Dort werden allgemeine Details zum Service und können Sie mit der Verwendung des Oracle Log Analytics-Service beginnen. Klicken Sie auf Mit Log Analytics starten.

    Das Dialogfeld Log Analytics aktivieren wird angezeigt. Hier werden die mindestens erforderlichen Policys und Loggruppen erstellt, wenn sie noch nicht vorhanden sind.

  3. Klicken Sie auf Weiter. Die OCI-Auditlogerfassung ist konfiguriert.

    Das Kontrollkästchen _Audit in Sub-Compartments einbeziehen ist standardmäßig aktiviert. Sie können es bei Bedarf deaktivieren. Je nach Ihrer Voreinstellung werden die Policys erstellt und geeignete Aktionen ausgeführt.

    Klicken Sie auf Weiter.

  4. Nachdem das Onboarding abgeschlossen ist, klicken Sie auf Log Explorer aufrufen.

Jetzt können Sie Oracle Log Analytics kennenlernen.

Hinweis

Eine Liste der Policys, die im obigen Prozess erstellt wurden, finden Sie unter Policys, die beim Onboarding von Log Analytics erstellt wurden.