Von Oracle definierte Policy-Vorlagen für allgemeine Anwendungsfälle
Mit den verfügbaren Vorlagen können Sie eine Policy für eine Benutzergruppe oder dynamische Gruppe erstellen, um einen bestimmten Vorgang oder eine Zusammenstellung von Vorgängen auszuführen.
-
Klicken Sie in der Konsole unter Identität und Sicherheit im Menü Identität auf Policys, und klicken Sie auf Policy erstellen. Die Seite "Policy erstellen" wird geöffnet.
-
Geben Sie einen Namen und die Beschreibung für die Policy an.
-
Wählen Sie im Policy Builder im Menü Policy-Anwendungsfälle die Option Log Analytics aus. Wählen Sie im Menü Allgemeine Policy-Vorlagen eine der folgenden Optionen:
- Durchsuchen von Logs, Anzeigen von Anreicherungskonfigurationen und Anzeigen von Dashboards durch Operatoren zulassen
- Log Analytics-Benutzer können Logs durchsuchen, Anreicherungskonfigurationen anzeigen und Dashboards verwalten
- Durchsuchen von Log Analytics-Administratoren zulassen, Logs durchsuchen, Anreicherungen konfigurieren, Logs erfassen und Dashboards verwalten
- Kontrollieren aller Aspekte von Log Analytics und Löschen von Logs durch Log Analytics-Superadministratoren
- Ausführung dynamischer Lösch-Policy-Gruppen zulassen
- Kontinuierliche Logerfassung mit dynamischen Management-Agent-Gruppen zulassen
- Ausführung dynamischer Erkennungsregelgruppen zulassen
- Logerfassung aus Objektspeicher zulassen
Wählen Sie je nach Anwendungsfall die Identitätsdomain, die Gruppe oder die dynamische Gruppe und das Compartment aus, um den Geltungsbereich der Berechtigung zu definieren.
Ausführliche Schritte zum Erstellen einer Policy mit den von Oracle definierten Vorlagen im Policy Builder finden Sie unter Policy-Anweisungen mit Policy Builder schreiben.
Ein Beispiel für das Anpassen einer Policy mit dem manuellen Editor finden Sie unter Policys anpassen.
-
Klicken Sie auf Erstellen.
Durchsuchen von Logs, Anzeigen von Anreicherungskonfigurationen und Anzeigen von Dashboards durch Operatoren zulassen
Erlauben Sie der Benutzergruppe, die Logs abzufragen, verschiedene Konfigurationen anzuzeigen und Dashboards anzuzeigen. Die Policy-Vorlage umfasst nicht die Fähigkeit, die Logerfassung zu aktivieren oder zum Deaktivieren, Ändern von Konfigurationen, Löschen von Logs oder Verwalten von Dashboards.
In der Vorlage enthaltene Policy-Anweisungen:
Allow group {group name} to read loganalytics-features-family in tenancy
Allow group {group name} to read loganalytics-resources-family in {location}
Allow group {group name} to read management-dashboard-family in {location}
Allow group {group name} to read compartments in tenancy
Allow service loganalytics to read loganalytics-features-family in tenancy- {group name}: Wählen Sie die Benutzergruppe aus, die den Zugriff erhalten muss.
- {location}: Wählen Sie das Compartment für den Geltungsbereich der Berechtigung aus.
Log Analytics-Benutzer können Logs durchsuchen, Anreicherungskonfigurationen anzeigen und Dashboards verwalten
Erlauben Sie der Benutzergruppe, die Logs abzufragen, verschiedene Konfigurationen anzuzeigen und die Dashboards zu verwalten. Die Policy-Vorlage umfasst nicht die Möglichkeit, die Logerfassung zu aktivieren oder zu deaktivieren, Konfigurationen zu ändern oder Logs zu löschen.
In der Vorlage enthaltene Policy-Anweisungen:
Allow group {group name} to read loganalytics-features-family in tenancy
Allow group {group name} to read loganalytics-resources-family in {location}
Allow group {group name} to manage management-dashboard-family in {location}
Allow group {group name} to read compartments in tenancy
Allow service loganalytics to read loganalytics-features-family in tenancy- {group name}: Wählen Sie die Benutzergruppe aus, die den Zugriff erhalten muss.
- {location}: Wählen Sie das Compartment für den Geltungsbereich der Berechtigung aus.
Durchsuchen von Log Analytics-Administratoren zulassen, Logs durchsuchen, Anreicherungen konfigurieren, Logs erfassen und Dashboards verwalten
Erlauben Sie der Benutzergruppe, Quellen, Parser, Entitys, Loggruppen zu erstellen oder zu bearbeiten und die Dashboards zu verwalten. Mit den Policy-Anweisungen kann die Benutzergruppe auch die Logerfassung aktivieren oder deaktivieren. Die Berechtigungen umfassen jedoch nicht die Möglichkeit, Logs zu löschen.
In der Vorlage enthaltene Policy-Anweisungen:
Allow group {group name} to use loganalytics-features-family in tenancy
Allow group {group name} to use loganalytics-resources-family in {location}
Allow group {group name} to manage management-dashboard-family in {location}
Allow group {group name} to read compartments in tenancy
Allow group {group name} TO MANAGE management-agents in {location}
Allow group {group name} to MANAGE management-agent-install-keys in {location}
Allow group {group name} TO READ METRICS in {location}
Allow group {group name} TO READ USERS in tenancy
Allow group {group name} to {BUCKET_UPDATE, BUCKET_READ} in {location}
Allow service loganalytics to READ loganalytics-features-family in tenancy- {group name}: Wählen Sie die Benutzergruppe aus, die den Zugriff erhalten muss.
- {location}: Wählen Sie das Compartment für den Geltungsbereich der Berechtigung aus.
Kontrollieren aller Aspekte von Log Analytics und Löschen von Logs durch Log Analytics-Superadministratoren
Lassen Sie zu, dass die Benutzergruppe die Logs abfragt, verschiedene Konfigurationen verwaltet, die Logerfassung aktiviert oder deaktiviert und Logs löscht. Die Benutzergruppe kann außerdem Lebenszyklusaktivitäten wie Offboarding und Onboarding von Oracle Log Analytics ausführen.
In der Vorlage enthaltene Policy-Anweisungen:
Allow group {group name} to MANAGE loganalytics-features-family in tenancy
Allow group {group name} to MANAGE loganalytics-resources-family in {location}
Allow group {group name} to MANAGE management-dashboard-family in {location}
Allow group {group name} to read compartments in tenancy
Allow group {group name} TO MANAGE management-agents in {location}
Allow group {group name} to MANAGE management-agent-install-keys in {location}
Allow group {group name} TO READ METRICS in {location}
Allow group {group name} TO READ USERS in tenancy
Allow group {group name} to {BUCKET_UPDATE, BUCKET_READ} in {location}
Allow service loganalytics to READ loganalytics-features-family in tenancy
- {group name}: Wählen Sie die Benutzergruppe aus, die den Zugriff erhalten muss.
- {location}: Wählen Sie das Compartment für den Geltungsbereich der Berechtigung aus.
Ausführung dynamischer Lösch-Policy-Gruppen zulassen
Löschen von Logdaten zulassen.
In der Vorlage enthaltene Policy-Anweisungen:
Allow dynamic-group {group name} to read compartments in tenancy
Allow dynamic-group {group name} to {LOG_ANALYTICS_STORAGE_PURGE} in tenancy
Allow dynamic-group {group name} to {LOG_ANALYTICS_STORAGE_WORK_REQUEST_CREATE} in {location}
Allow dynamic-group {group name} to {LOG_ANALYTICS_LOG_GROUP_DELETE_LOGS} in {location}
Allow dynamic-group {group name} to {LOG_ANALYTICS_QUERY_VIEW} in tenancy
Allow dynamic-group {group name} to {LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ} in {location} - {group name}: Wählen Sie die dynamische Gruppe aus, für die der Zugriff erteilt werden muss.
- {location}: Wählen Sie das Compartment für den Geltungsbereich der Berechtigung aus.
Kontinuierliche Logerfassung mit dynamischen Management-Agent-Gruppen zulassen
Ermöglichen Sie der Benutzergruppe, Logs kontinuierlich mit Management-Agents zu erfassen.
In der Vorlage enthaltene Policy-Anweisungen:
Allow dynamic-group {group name} to use METRICS in {location}
Allow dynamic-group {group name} to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in {location}- {group name}: Wählen Sie die dynamische Gruppe aus, für die der Zugriff erteilt werden muss.
- {location}: Wählen Sie das Compartment für den Geltungsbereich der Berechtigung aus.
Ausführung dynamischer Erkennungsregelgruppen zulassen
Erkennungsregeln für geplante Aufgaben und Erfassungszeiterkennungsregeln zulassen.
In der Vorlage enthaltene Policy-Anweisungen:
Allow dynamic-group {group name} to use metrics in {location}
Allow dynamic-group {group name} to read management-saved-search in {location}
Allow dynamic-group {group name} to {LOG_ANALYTICS_QUERY_VIEW} in {location}
Allow dynamic-group {group name} to {LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ} in {location}
Allow dynamic-group {group name} to READ loganalytics-log-group in {location}
Allow dynamic-group {group name} to read compartments in tenancy
Allow service loganalytics to use metrics in {location}- {group name}: Wählen Sie die dynamische Gruppe aus, für die der Zugriff erteilt werden muss.
- {location}: Wählen Sie das Compartment für den Geltungsbereich der Berechtigung aus.
Logerfassung aus Objektspeicher zulassen
Zulassen, dass die Benutzergruppe Logs aus dem Objektspeicher erfasst.
In der Vorlage enthaltene Policy-Anweisungen:
Allow service loganalytics to read buckets in {location}
Allow service loganalytics to read objects in {location}
Allow service loganalytics to manage cloudevents-rules in {location}
Allow service loganalytics to inspect compartments in tenancy
Allow service loganalytics to use tag-namespaces in tenancy where all {target.tag-namespace.name = /oracle-tags/}- {group name}: Wählen Sie die Benutzergruppe aus, die den Zugriff erhalten muss.
- {location}: Wählen Sie das Compartment für den Geltungsbereich der Berechtigung aus.