Objekt-Collection-Workflow von Service-Principal zu Resource Principal migrieren

Themen:

Voraussetzungen für die Migration der Object Collection

Rufen Sie die Liste aller LIVE- und HISTORIC_LIVE-Objekterfassungsregeln in Ihrem Mandanten oder Compartment ab, einschließlich der folgenden Details:

Objekt-Collection-Regel-OCID
Compartment-OCID
Object Storage-Namespace

Siehe API-Dokumentation auflisten.

Für Migrationsschritte:

Wenn der Objektspeicher-Namespace mit dem Namespace des Mandanten identisch ist, in dem die Objekterfassungsregel vorhanden ist, finden Sie weitere Informationen unter Migrationsschritte für die Objekterfassung desselben Mandanten.
Wenn sich der Objektspeicher-Namespace vom Namespace des Mandanten unterscheidet, lesen Sie Migrationsschritte für mandantenübergreifende Objekterfassung.

Migrationsschritte für die Objekterfassung für denselben Mandanten

Erstellen Sie eine dynamische Gruppe mit dem Namen <Dynamic_Group> mit der folgenden Vergleichsregel. Siehe Dynamische Gruppe erstellen.
```
ALL {resource.type='loganalyticsobjectcollectionrule'}
```

Fügen Sie die folgenden Policy-Anweisungen hinzu:

allow DYNAMIC-GROUP <Dynamic_Group> to read buckets in compartment/tenancy
allow DYNAMIC-GROUP <Dynamic_Group> to read objects in compartment/tenancy
allow DYNAMIC-GROUP <Dynamic_Group> to manage cloudevents-rules in compartment/tenancy
allow DYNAMIC-GROUP <Dynamic_Group> to inspect compartments in tenancy
allow DYNAMIC-GROUP <Dynamic_Group> to use tag-namespaces in tenancy where all {target.tag-namespace.name = /oracle-tags/}
allow resource loganalyticsvrp LogAnalyticsVirtualResource to {BUCKET_READ} in tenancy

Nachdem Sie die dynamische Gruppe erfolgreich erstellt und Policys geändert haben, führen Sie die Schritte unter Migration der Objekterfassung validieren aus. Das Entfernen vorhandener Service-Principal-basierter Policys ohne erfolgreiche Validierung kann zu Datenverlust führen.

Hinweis

Mit den oben genannten Schritten können Sie nur die Policys ändern, die mit dem Service-Principal verknüpft sind, um sie zum Resource Principal zu migrieren. Die Policys, die für Benutzergruppen zur Verwaltung der Objekt-Collection-Regeln erstellt wurden, bleiben unverändert.

Migrationsschritte für mandantenübergreifende Objekterfassung

Lassen Sie Guest_Tenant den Mandanten referenzieren, aus dem Logs erfasst werden müssen, und Bucket_Compartment das Compartment von Guest_Tenant mit dem Objektspeicher-Bucket sein. Host_Tenant soll sich auf den Mandanten beziehen, der Oracle Log Analytics abonniert hat, in dem die Objektsammlung vorhanden ist.

Erstellen Sie eine dynamische Gruppe namens <Dynamic_Group> in Host_Tenant mit der folgenden Vergleichsregel. Notieren Sie die OCID. Siehe Dynamische Gruppe erstellen.
```
ALL {resource.type='loganalyticsobjectcollectionrule'}
```

Fügen Sie die folgenden Policy-Anweisungen in Host_Tenant hinzu:

endorse group <Host_User_Group> to {OBJECT_INSPECT, OBJECT_READ} in compartment <Bucket_Compartment>
 endorse DYNAMIC-GROUP <Dynamic_Group> to read buckets in compartment <Bucket_Compartment>
 endorse DYNAMIC-GROUP <Dynamic_Group> to read objects in compartment <Bucket_Compartment>
 endorse DYNAMIC-GROUP <Dynamic_Group> to manage cloudevents-rules in compartment <Bucket_Compartment>
 endorse DYNAMIC-GROUP <Dynamic_Group> to inspect compartments in tenancy <Guest_Tenant>
 endorse DYNAMIC-GROUP <Dynamic_Group> to use tag-namespaces in tenancy <Guest_Tenant> where all {target.tag-namespace.name = /oracle-tags /}

Fügen Sie die folgenden Policy-Anweisungen in Guest_Tenant hinzu:

define DYNAMIC-GROUP <Dynamic_Group> as <Dynamic_Group_OCID>
admit group <Host_User_Group> of tenancy <Host_Tenant> to {OBJECT_INSPECT, OBJECT_READ} in compartment <Bucket_Compartment>
admit DYNAMIC-GROUP <Dynamic_Group> of tenancy <Host_Tenant> to read buckets in compartment <Bucket_Compartment>
admit DYNAMIC-GROUP <Dynamic_Group> of tenancy <Host_Tenant> to read objects in compartment <Bucket_Compartment>
admit DYNAMIC-GROUP <Dynamic_Group> of tenancy <Host_Tenant> to manage cloudevents-rules in compartment <Bucket_Compartment>
admit DYNAMIC-GROUP <Dynamic_Group> of tenancy <Host_Tenant> to inspect compartments in compartment <Bucket_Compartment>
admit DYNAMIC-GROUP <Dynamic_Group> of tenancy <Host_Tenant> to use tag-namespaces in tenancy where all {target.tag-namespace.name = /oracle-tags /}

Nachdem Sie die dynamische Gruppe erfolgreich erstellt und Policys geändert haben, führen Sie die Schritte unter Migration der Object Collection validieren aus. Das Entfernen vorhandener Service-Principal-basierter Policys ohne erfolgreiche Validierung kann zu Datenverlust führen.

Hinweis

Migration der Objektsammlung validieren

Warten Sie etwa 1 Stunden, bis die Policy-Änderungen wirksam werden, bevor Sie diese Validierung ausführen.

Mit dem Feature Verarbeitungsfehler von Oracle Log Analytics kann die Migration des Objektsammlungsflusses von Service-Principal-basierten Policys zu Resource-Principal-basierten Policys validiert werden.

Navigieren Sie zu Metrik-Explorer: Gehen Sie zur OCI-Konsole. Klicken Sie auf das Symbol "Navigationsmenü", klicken Sie auf Observability and Management, und klicken Sie unter Monitoring auf Metrik-Explorer.
Metriken anzeigen:
1. Wählen Sie den Zeitraum Last 24 hours aus.
2. Wählen Sie das Compartment aus, in dem die Objekterfassungsregel vorhanden ist.
3. Wählen Sie den Metrik-Namespace oci_logging_analytics aus.
4. Wählen Sie den Metriknamen ProcessingErrors aus.
  Standardmäßig ist das Intervall 1 minute.
5. Wählen Sie die Statistik Sum aus.
6. Wählen Sie den Dimensionsnamen collectionType und den Dimensionswert ObjectCollection aus.
7. Klicken Sie auf die Schaltfläche Weitere Dimension.
8. Wählen Sie den Dimensionsnamen errorType und den Dimensionswert NotAuthorizedOrNotFound_RP_ObjectStorage_Read aus.
9. Klicken Sie auf Diagramm aktualisieren.
Metriken validieren:
- Zunächst sind einige Datenpunkte für diese Metrik vorhanden (Abschnitt A in der Abbildung unten), die angeben, dass Objekte mit Service-Principal-basierten Policys verarbeitet werden.
- Sobald die Policy-Änderungen widergespiegelt wurden, sollte die Metrik über diesen bestimmten Zeitpunkt hinaus keine Datenpunkte enthalten (Abschnitt B in der Abbildung unten). Das Diagramm sollte auf 0 fallen, was angibt, dass die auf dem Resource Principal basierenden Policys ordnungsgemäß funktionieren und die Validierung erfolgreich ist.
- Wenn nach 1 Stunde Policy-Änderung Datenpunkte verfügbar sind, fehlen möglicherweise Policys, und die Validierung war nicht erfolgreich.
- Beispiel:
  
  Um 08:39 Uhr UTC werden die Richtlinienänderungen widergespiegelt, und danach stehen keine Datenpunkte mehr zur Verfügung. Dieses Muster muss für eine erfolgreiche Validierung beachtet werden.
- Wenn die Validierung nicht erfolgreich verläuft, warten Sie weitere 1 Stunde, und führen Sie die Validierungsschritte erneut aus. Wenn die Validierung weiterhin nicht erfolgreich verläuft, prüfen Sie die Policys und die dynamische Gruppe. Wenden Sie sich an Oracle Support, um weitere Hilfe zu erhalten.
- Nachdem die Validierung erfolgreich war, führen Sie die Schritte unter Bereinigung nach der Migration für die Objekterfassung aus.

Bereinigung nach Migration für Object Collection

Hinweis

Das Entfernen der vorhandenen Service-Principal-basierten Policys ohne erfolgreiche Validierung führt zu Datenverlust.

Sie können Policys wie die folgenden Service-Principal-basierten Policys aus dem Mandanten entfernen, in dem der Objektspeicher-Bucket vorhanden ist:

allow service loganalytics to read buckets in compartment/tenancy
allow service loganalytics to read objects in compartment/tenancy
allow service loganalytics to manage cloudevents-rules in compartment/tenancy
allow service loganalytics to inspect compartments in tenancy
allow service loganalytics to use tag-namespaces in tenancy where all {target.tag-namespace.name = /oracle-tags/}

Oracle Cloud Infrastructure-Dokumentation

Objekt-Collection-Workflow von Service-Principal zu Resource Principal migrieren