Logs von anderen OCI-Services mit Service-Connector aufnehmen
Sie können die Logs analysieren, um Probleme zu beheben, Zustand und Performance zu überwachen sowie die Betriebsaufgaben in Oracle Cloud Infrastructure-Services durch Aufnahme der Logs in Oracle Log Analytics zu überwachen.
Verwenden Sie den Service-Connector, um Ihren Oracle Cloud Infrastructure-Service als Quelle der Logs und Oracle Log Analytics als Ziel anzugeben. Informationen zur Funktionsweise von Service Connector Hub finden Sie unter Service Connector Hub - Überblick in der Oracle Cloud Infrastructure-Dokumentation.
Nachdem der Service-Connector erstellt wurde, wird automatisch eine Entity zur Verarbeitung der Logs erstellt. Um eine ordnungsgemäße Logerfassung sicherzustellen, darf die Entity nicht gelöscht werden.
Bei Oracle Operator Access Control-Logs wird die Entity nicht automatisch erstellt. Informationen zum Erstellen einer Entity finden Sie unter Entity erstellen, die Ihre logausgebende Ressource darstellt.
Themen
Wichtig: Oracle empfiehlt, den in der Log Analytics-Konsole verfügbaren Datenaufnahme-Workflow zu verwenden, um schnell Logs aus anderen OCI-Services aufzunehmen. Gehen Sie zu Home von Log Analytics oder Log Explorer, klicken Sie auf Compass, und klicken Sie auf Daten hinzufügen.
- Blenden Sie für alle Logtypen von OCI-Services mit Ausnahme von OCI-Auditlogs und IDCS-Auditlogs den Abschnitt OCI-Ressourcen überwachen ein, und klicken Sie auf Logerfassung für OCI-Ressourcen konfigurieren.
- Blenden Sie im Fall von OCI-Auditlogs oder IDCS-Auditlogs den Abschnitt Sicherheit und Compliance ein, und klicken Sie auf die Logs Ihrer Wahl. In diesem Workflow werden alle erforderlichen Ressourcen wie Policys, Loggruppe und Service-Connector automatisch erstellt.
Befolgen Sie die intuitiven Schritte im Workflow, um mit der Aufnahme von Logs zu beginnen. Stellen Sie als Voraussetzung sicher, dass Sie über die erforderlichen Berechtigungen zum Durchführen der Schritte verfügen. Einen kurzen Überblick über die Schritte finden Sie im Video: So nehmen Sie schnell Logs aus anderen OCI-Services in Log Analytics auf in der Oracle Cloud Observability and Management Platform.
Alternativ können Sie die Logerfassung manuell einrichten, indem Sie die folgenden Schritte ausführen:
Weitere Informationen
-
Liste der von Oracle definierten Quellen zum Erfassen der Logs: Eine Liste der von Oracle definierten Quellen zum Erfassen der Logs aus Oracle Cloud Infrastructure-Services finden Sie unter Von Oracle definierte Herkunftsarten. Suchen Sie danach Quellen mit der Überschrift OCI...
-
Typen von Servicelogs, die Sie erfassen können: Informationen zu den Logtypen, die Sie aus den Oracle Cloud Infrastructure-Services, den Parsern, dem Beispielloginhalt, Feldern und dem JSON-Pfad erfassen können, finden Sie unter OCI-Parserdetails.
-
Über Service-Connector erfasste Logs filtern: Die OCID des Service-Connectors wird dem Feld
Logursprungzugeordnet. Um die Logs anzuzeigen, die von diesem Service-Connector zu Oracle Log Analytics fließen, filtern Sie die Logs nach dem FeldLog Origin. Siehe Logs nach gepinnten Attributen und Feldern filtern.
Erfassung von Logs aus OCI Logging Service zulassen
Basierend auf dem Typ der Servicelogs, die Sie aufnehmen möchten, müssen Sie Policys erstellen, damit Oracle Log Analytics die Informationen zu den Ressourcen abrufen und für jede Ressource eine Entity erstellen kann.
Nachdem Sie die Policy erstellt haben, wird die erstellte Entity automatisch mit allen Logs verknüpft, die aus dieser Ressource erfasst werden. Wenn die Policy nicht erstellt wird, werden die Logs weiterhin aufgenommen, die Entity wird jedoch nicht erstellt.
Die folgenden Berechtigungen dienen zum Hochladen von Logs aus dem Service-Connector in Oracle Log Analytics. Sie werden aufgefordert, diese Policy-Anweisungen hinzuzufügen, wenn Sie den Service-Connector über die OCI-Konsole erstellen. Alternativ können Sie die Policy, die folgende Policy-Anweisungen enthält, manuell erstellen:
allow any-user to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in compartment id <Log_Group_Compartment_OCID> where all {request.principal.type = 'serviceconnector', target.loganalytics-log-group.id = '<Log_Group_OCID>', request.principal.compartment.id = '<Service_Connector_Compartment_OCID>'}
allow group <userGroup> to MANAGE serviceconnectors in tenancy
allow group <userGroup> to READ logging-family in tenancyIn den oben genannten Policy-Anweisungen
-
Log_Group_Compartment_OCID: Die Compartment-OCID der Loggruppe in Oracle Log Analytics, in der die Logs gespeichert werden müssen. -
Log_Group_OCID: Die OCID der Loggruppe in Oracle Log Analytics, in der die Logs gespeichert werden müssen. -
Service_Connector_Compartment_OCID: Die Compartment-OCID des Service-Connector-Hubs.
Wenn Sie Oracle Log Analytics mit der Onboarding-UI aktiviert haben, die verfügbar ist, wenn Sie zum ersten Mal zum Service navigieren, werden bereits einige Policys erstellt. Siehe Policys, die beim Onboarding von Log Analytics erstellt wurden.
Policy für jeden Servicelogtyp
Oracle Log Analytics erstellt eine Entity, die die zugrunde liegende OCI-Ressource darstellt, wenn neue Logs über den Service-Connector empfangen werden. Um die erforderlichen Informationen von der OCI-Ressource zu erhalten, müssen Sie Oracle Log Analytics mindestens read Zugriff auf die OCI-Ressource erteilen. Beispiel: Um Informationen zu einem Bucket in Object Storage zu lesen, können Sie eine der folgenden Policys schreiben:
Policy-Anweisung mit der READ PRIVILEGE der OCI-Ressource:
allow resource loganalyticsvrp LogAnalyticsVirtualResource to {BUCKET_READ} in compartment <specify_compartment>Oder
Policy-Anweisung mit dem Leseverb für OCI RESOURCE:
allow resource loganalyticsvrp LogAnalyticsVirtualResource to read buckets in compartment <specify_compartment>Die oben genannten Policy-Anweisungen schränken den read-Zugriff auf ein Compartment ein. Um den Zugriff auf den gesamten Mandanten zu erweitern, können Sie die Policy-Anweisung entsprechend ändern.
Die folgenden OCI-Ressourcen werden in Oracle Log Analytics für die Logerfassung über den Service-Connector unterstützt. Sie können die Policy entweder mit dem Leseverb für die OCI-Ressource erstellen oder die Leseberechtigung für die Ressource wie oben dargestellt verwenden.
| OCI-Ressourcenbeschreibung | OCI-Ressourcen | Leseberechtigung |
|---|---|---|
| Analytics Cloud-Instanz | analytics-instances |
ANALYTICS_INSTANCE_READ |
| API-Gateway | api-gateways |
API_GATEWAY_READ |
| APM-Domain | apm-domains |
APM_DOMAIN_READ |
| Container Engine für Kubernetes | clusters |
CLUSTER_READ |
| Datenfluss (Anwendung) | dataflow-application |
DATAFLOW_APPLICATION_READ |
| Data Integration-Workspace | dis-workspaces |
DIS_WORKSPACE_READ |
| Data Science-Jobs | data-science-jobs |
DATA_SCIENCE_JOB_READ |
| Data Science-Modell-Deployments | data-science-model-deployments |
DATA_SCIENCE_MODEL_DEPLOYMENT_READ |
| DevOps-Build-Pipeline | devops-build-pipeline |
DEVOPS_BUILD_PIPELINE_READ |
| DevOps Build-Pipelinephase | devops-build-pipeline-stage |
DEVOPS_BUILD_PIPELINE_STAGE_READ |
| DevOps-Build-Ausführung | devops-build-run |
DEVOPS_BUILD_RUN_READ |
| DevOps-Deployment | devops-deployment |
DEVOPS_DEPLOY_DEPLOYMENT_READ |
| DevOps Deployment-Pipeline | devops-deploy-pipeline |
DEVOPS_DEPLOY_PIPELINE_READ |
| DevOps Deployment-Phase | devops-deploy-stage |
DEVOPS_DEPLOY_STAGE_READ |
| E-Mail-Delivery-Service | approved-senders |
APPROVED_SENDER_READ |
| Events-Service | cloudevents-rules |
EVENTRULE_READ |
| Funktionen (FN-App) | fn-app |
FN_APP_READ |
| Funktionen (Funktion FN) | fn-function |
FN_FUNCTION_READ |
| GoldenGate-Deployment | goldengate-deployments |
GOLDENGATE_DEPLOYMENT_READ |
| Instanz | instances |
INSTANCE_READ |
| IPsec-Tunnel | ipsec-connections |
IPSEC_CONNECTION_READ |
| Load Balancer | load-balancers |
LOAD_BALANCER_READ |
| Medienworkflow | media-workflow |
MEDIA_WORKFLOW_READ |
| Medienworkflowjob | media-workflow-job |
MEDIA_WORKFLOW_JOB_READ |
| Netzwerkfirewall | network-firewall |
NETWORK_FIREWALL_READ |
| Objektspeicher (Bucket) | buckets |
BUCKET_READ |
| OCI Database with PostgreSQL | postgres-db-systems |
POSTGRES_DB_SYSTEM_READ |
| OIC-Instanz | integration-instance |
INTEGRATION_INSTANCE_READ |
| Operatorkontrolle | operator-control-family |
- |
| Service-Connector | serviceconnectors |
SERVICE_CONNECTOR_READ |
| VCN - VNIC | vnics, vcns, subnets |
VNIC_READ, VCN_READ, SUBNET_READ |
| Web Application Firewall | web-app-firewall |
WEB_APP_FIREWALL_READ |
Wenn Sie Oracle Log Analytics mit der Onboarding-UI aktiviert haben, die verfügbar ist, wenn Sie zum ersten Mal zum Service navigieren, werden bereits einige Policys erstellt. Siehe Policys, die beim Onboarding von Log Analytics erstellt wurden.
Service-Connector zum Aufnehmen von Logs einrichten
Bevor Sie den Service-Connector so einrichten, dass er Logs aufnimmt, stellen Sie sicher, dass das Compartment und die Loggruppe für die Logs identifiziert werden, die Sie aufnehmen möchten.
Im folgenden Beispiel zeigen die Schritte, wie Sie VCN-Servicelogs aus dem Oracle Cloud Infrastructure Logging-Service erfassen:
-
In diesem Schritt wird beschrieben, wie Sie Logs im Oracle Cloud Infrastructure Logging-Service aktivieren.
Gehen Sie zu Oracle Cloud Infrastructure Logging-Service, und gehen Sie zu Logs.
Klicken Sie auf Ressourcenlog aktivieren, um VCN-Servicelogs zu aktivieren. Das Dialogfeld wird geöffnet.
- Wählen Sie das Ressourcen-Compartment aus.
- Wählen Sie den Service aus. Beispiel:
Virtuelles Cloud-Netzwerk (Subnetze). - Wählen Sie die Ressource aus, z.B. die VCN-Ressource.
- Wählen Sie unter Log konfigurieren die Logkategorie, z.B.
Flowlogs, und den Lognamen aus. - Wählen Sie unter Logspeicherort das Compartment und eine Loggruppe aus, von denen Oracle Log Analytics die Logs referenziert.
Klicken Sie auf Log aktivieren.
-
Legen Sie den Service-Connector fest, indem Sie den Quellservice der Logs und das Ziel als Oracle Log Analytics angeben. Sie können ihn entweder über den Quellservice einrichten, der in Oracle Cloud Infrastructure Service Connector Hub integriert ist, z.B. Oracle Cloud Infrastructure Logging-Service, oder direkt über Oracle Cloud Infrastructure Service Connector Hub.
Gehen Sie zu Oracle Cloud Infrastructure Logging-Service, gehen Sie zu Service-Connectors, und klicken Sie auf Connector erstellen.
Alternativ können Sie zum Oracle Cloud Infrastructure Service Connector Hub-Service gehen und auf Service Connector erstellen klicken.
Die Seite "Service-Connector erstellen" wird geöffnet.
- Geben Sie einen Namen für den Connector und eine Beschreibung ein.
- Wählen Sie das Ressourcen-Compartment aus, in dem die Connector-Ressource erstellt werden soll.
- Geben Sie unter Service-Connector konfigurieren
Loggingals Quellservice undLogging Analyticsals Zielservice an. - Geben Sie unter Quellverbindung konfigurieren die Details der Logs an, die aus dem Service erfasst werden sollen, z.B. die VCN-Servicelogs.
Wählen Sie den Compartment-Namen, die Loggruppe, zu der die Logs gehören, und den Namen der Logs aus, die Sie in Schritt 1 konfiguriert haben.
Sie können denselben Service-Connector für die Erfassung mehrerer Logs konfigurieren. Klicken Sie auf Weiteres Log, und wiederholen Sie Schritt 2-d.
Optional können Sie Filter unter Aufgabe konfigurieren erstellen.
Klicken Sie auf Connector erstellen.
Nachdem der Service-Connector erstellt wurde, können Sie prüfen, ob die ausgewählten Logs in Oracle Log Analytics verfügbar sind.
Mandantenübergreifende Logerfassung aus OCI Logging Service zulassen
Source_Tenant ist der Mandant des Quellservice, wie Oracle Cloud Infrastructure Logging, aus dem Logs erfasst werden. Target_Tenant ist der Mandant, in dem der Service-Connector erstellt wird. Der Service-Connector ist mit Oracle Log Analytics als Ziel für die Logs konfiguriert, die aus dem Quellservice erfasst werden. Es wird davon ausgegangen, dass der Service-Connector-Hub und Oracle Log Analytics in demselben Zielmandanten verfügbar sind.
Richten Sie die folgenden Policys ein, um die Logerfassung aus einem Mandanten zu konfigurieren, der sich von dem Mandanten unterscheidet, in dem der Service-Connector erstellt wird.
Im Quellmandanten hinzuzufügende Policys
Beispiel für Policy-Anweisungen, mit denen jeder Benutzer des Service-Connector-Hubmandanten READ-Zugriff auf den Logging-Service erhält:
define tenancy <Target_Tenant> as <Target_Tenant_OCID>
define group <Common_User_Group> as <Common_User_Group_OCID>
admit any-user of tenancy <Target_Tenant> to read logging-family IN TENANCY WHERE ALL {request.principal.type = 'serviceconnector'}
admit group <Common_User_Group> of tenancy <Target_Tenant> to read logging-family IN TENANCYDarüber hinaus sind die folgenden Berechtigungen zum Lesen der Auditereignislogs erforderlich:
admit group <Common_User_Group> of tenancy <Target_Tenant> to read audit-events in TENANCY
admit any-user of tenancy <Target_Tenant> to read audit-events IN tenancy WHERE ALL {request.principal.type = 'serviceconnector'}Stellen Sie sicher, dass Sie die Policy für den Typ der Servicelogs festlegen, die aus dem Quellservice erfasst werden sollen. Siehe Erfassung von Logs aus OCI Logging Service zulassen.
Im Zielmandanten hinzuzufügende Policys
Hier finden Sie ein Beispiel für Policy-Anweisungen, mit denen jeder Benutzer über den Service-Connector-Hub und die IAM-Zielgruppe Common_User_Group MANAGE-Zugriff auf den Service-Connector-Hub erhalten kann:
define tenancy <Source_Tenant> as <Source_Tenant_OCID>
endorse any-user to read logging-family IN tenancy <Source_Tenant> WHERE ALL {request.principal.type = 'serviceconnector'}
endorse group <Common_User_Group> to read logging-family IN tenancy <Source_Tenant>Darüber hinaus sind die folgenden Berechtigungen erforderlich, um die Auditereignislogs der Quelle zu lesen:
endorse group <Common_User_Group> to read audit-events in tenancy <Source_Tenant>
endorse any-user to read audit-events in tenancy <Source_Tenant> WHERE ALL {request.principal.type = 'serviceconnector'}Die folgenden Berechtigungen dienen zum Hochladen von Logs aus dem Service-Connector in Oracle Log Analytics. Stellen Sie sicher, dass Sie die Policy manuell erstellen, die folgende Policy-Anweisungen enthält:
allow any-user to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in compartment id <Log_Group_Compartment_OCID> where all {request.principal.type = 'serviceconnector', target.loganalytics-log-group.id = '<Log_Group_OCID>', request.principal.compartment.id = '<Service_Connector_Compartment_OCID>'}
allow group <Common_User_Group> to MANAGE serviceconnectors in tenancyIn den oben genannten Policy-Anweisungen
-
Log_Group_OCID: Die OCID der Oracle Log Analytics-Loggruppe. -
Log_Group_Compartment_OCID: Die OCID des Compartments, in dem sich die Oracle Log Analytics-Loggruppe befindet. -
Service_Connector_Compartment_OCID: Die Compartment-OCID des Service-Connector. -
Common_User_Group: Die Benutzergruppe, die den Service-Connector erstellt.
Connector zwischen Quell- und Zielmandant erstellen
Nachdem die erforderlichen Policys für die Quell- und Zielmandanten erstellt wurden, erstellen Sie einen Service-Connector mit der CLI. Der folgende CLI-Beispielbefehl gibt Logging als Quelle und Oracle Log Analytics als Ziel für die Erstellung des mandantenübergreifenden Service-Connectors an:
oci --profile <Target_Profile> sch service-connector create
--display-name XTenancyConnector
--compartment-id <Connector_Compartment_OCID>
--source '{ "kind": "logging", "logSources":
[ { "compartmentId": "<Logging_LogGroup_Compartment_OCID>",
"logGroupId": "<Logging_LogGroup_OCID>" } ] }'
--target '{ "kind": "loggingAnalytics", "logGroupId": "<LogAnalytics_LogGroup_OCID>" }'Der obige Befehl ist für eine bessere Lesbarkeit formatiert. Entfernen Sie Zeichen wie neue Zeile, Tabelle und zusätzliche Leerzeichen, bevor Sie sie ausführen.
Im oben stehenden CLI-Befehl:
-
Target_Profile: Das Profil in der Datei .oci/config, das dem Zielmandanten zugeordnet ist. -
Connector_Compartment_OCID: Die OCID des Compartments, in dem die Service-Connector-Ressource erstellt wird. -
Logging_LogGroup_Compartment_OCID: Die OCID des Compartments, zu dem die Oracle Cloud-Loggruppe gehört. Dies befindet sich im Quellmandanten. -
Logging_LogGroup_OCID: Die OCID der Oracle Cloud-Loggruppe. Dies befindet sich im Quellmandanten. -
LogAnalytics_LogGroup_OCID: Die OCID der Oracle Log Analytics-Loggruppe. Dies ist im Zielmandanten.
Weitere Einzelheiten zum CLI-Befehl finden Sie in CLI-Befehlsreferenz - Erstellen.
Nachdem der Service-Connector erstellt wurde, können Sie prüfen, ob die ausgewählten Logs in Oracle Log Analytics verfügbar sind.
Erfassung von Logs aus Service-Connector stoppen
Wenn Sie einen Service-Connector für die kontinuierliche Erfassung von Logs aus OCI Logging in Oracle Log Analytics eingerichtet haben, können Sie die Logerfassung stoppen, indem Sie den Connector deaktivieren oder löschen.
Wenn Sie die Logerfassung vorübergehend stoppen, aber die Connector-Konfiguration beibehalten möchten, sodass Sie die Logerfassung zu einem späteren Zeitpunkt neu starten können, deaktivieren Sie den Connector.
Wenn Sie die Logerfassung aus dem Service-Connector dauerhaft stoppen möchten, löschen Sie den Connector.
-
Service-Connector identifizieren, der für die Logerfassung eingerichtet ist: Navigieren Sie zum Connector Hub-Service, und listen Sie die Connectors in Ihrem Compartment auf. Siehe Connectors auflisten.
Klicken Sie auf den Namen des Connectors, um die Connector-Details und -Konfiguration anzuzeigen. Identifizieren Sie den richtigen Service-Connector, der für Ihre Logerfassung eingerichtet ist.
-
Logerfassung stoppen: Klicken Sie je nach Anforderung auf Deaktivieren oder Löschen. Siehe Connector deaktivieren und Connector löschen.
Dadurch wird der Datenfluss vom spezifischen OCI-Service zu Oracle Log Analytics gestoppt.
Wenn Sie den Connector deaktiviert haben und die Logerfassung neu starten möchten, aktivieren Sie diesen Connector erneut. Siehe Connector aktivieren.