Zugriff auf Logging Analytics und zugehörige Ressourcen aktivieren

Konfigurieren Sie den Oracle Cloud Infrastructure-Mandanten für die Verwendung von Oracle Logging Analytics, indem Sie diese erforderlichen Konfigurationsaufgaben ausführen.

Oracle Logging Analytics ist ein regionaler Service. Wählen Sie vor dem Start eine Region aus, die Sie verwenden möchten. Sie können diese Schritte für jede Region ausführen, die Sie einrichten möchten. Jede Region ist jedoch eine andere Instanz. Wählen Sie die Region mit dem Regionsselektor in der oberen rechten Ecke der Konsole aus.

Themen:

Policys zum Ausführen bestimmter Aufgaben und eine vollständige Referenz der Policy-Anforderungen in Logging Analytics finden Sie unter IAM-Policy-Katalog für Logging Analytics.

Mit den leicht verfügbaren Vorlagen können Sie eine Policy für eine Benutzergruppe oder dynamische Gruppe erstellen, um einen bestimmten Vorgang oder eine Sammlung von Vorgängen auszuführen. Siehe Von Oracle definierte Policy-Vorlagen für allgemeine Anwendungsfälle.

Hinweis

Wenn Sie Oracle Logging Analytics mit der Onboarding-UI aktiviert haben, die verfügbar ist, wenn Sie zum ersten Mal zum Service navigieren, werden bereits einige Policys erstellt. Siehe Beim Onboarding von Logging Analytics erstellte Policys.

Zugriff von Logging Analytics auf die Featurefamilie aktivieren

Sie müssen eine IAM-Policy auf Serviceebene erstellen, damit der Oracle Logging Analytics-Service funktioniert. Erstellen Sie Policys mit Standard-IAM-Policys von Oracle Cloud Infrastructure, und fügen Sie die folgende Policy-Anweisung hinzu.

Policy-Anweisung Beschreibung
allow service loganalytics to READ loganalytics-features-family in tenancy

Erteilen Sie dem Oracle Logging Analytics-Service READ-Zugriffsrechte der Familie loganalytics-features-family im gesamten Mandanten.

Einige der oben genannten Policy-Anweisungen sind in den sofort verfügbaren von Oracle definierten Policy-Vorlagen enthalten. Möglicherweise möchten Sie die Vorlage für Ihren Anwendungsfall verwenden. Siehe Von Oracle definierte Policy-Vorlagen für allgemeine Anwendungsfälle.

Policys zum Ausführen bestimmter Aufgaben und eine vollständige Referenz der Policy-Anforderungen in Logging Analytics finden Sie unter IAM-Policy-Katalog für Logging Analytics.

Hinweis

Wenn Sie Oracle Logging Analytics mit der Onboarding-UI aktiviert haben, die verfügbar ist, wenn Sie zum ersten Mal zum Service navigieren, werden bereits einige Policys erstellt. Siehe Beim Onboarding von Logging Analytics erstellte Policys.

OCI-Compartments zum Platzieren der Logging Analytics-Ressourcen identifizieren

Mit Compartments können Sie Ressourcen von Oracle Logging Analytics wie Entitys und Loggruppen erstellen. Optimieren Sie den Zugriff auf die Compartments für eine bessere Benutzerzugriffskontrolle.

Sie können vorhandene Compartments verwenden oder neue erstellen, insbesondere forOracle Logging Analytics. Sie können mehrere Compartments erstellen, um verschiedenen Benutzergruppen Zugriff auf verschiedene Teile des Produkts oder der Logdaten zu erteilen. Weitere Informationen zur Funktionsweise von Compartments finden Sie unter Compartments verwalten in der Oracle Cloud Infrastructure-Dokumentation.

Ressourcen in Oracle Logging Analytics müssen sich in den Compartments befinden. Wenn Sie eine der folgenden Ressourcen erstellen, müssen Sie das Compartment dafür auswählen:

Ressource Zugriffskontrolle mit Oracle IAM-Policys

Entitys

Sie können kontrollieren, wer die Logerfassung für eine bestimmte Entity aktivieren oder deaktivieren kann.

Loggruppen

Sie können kontrollieren, wer die Logs durchsuchen kann, nachdem diese erfasst, angereichert und indexiert wurden.

Lösch-Policys

Sie können kontrollieren, wer die Definition der Lösch-Policy stoppen oder ändern kann.

Objektspeicher-Erfassungsregeln

Sie können kontrollieren, wer die Erfassungsregel stoppen oder ändern kann.

Policys zum Ausführen bestimmter Aufgaben und eine vollständige Referenz der Policy-Anforderungen in Logging Analytics finden Sie unter IAM-Policy-Katalog für Logging Analytics.

Hinweis

Wenn Sie Oracle Logging Analytics mit der Onboarding-UI aktiviert haben, die verfügbar ist, wenn Sie zum ersten Mal zum Service navigieren, werden bereits einige Policys erstellt. Siehe Beim Onboarding von Logging Analytics erstellte Policys.

Benutzergruppen zur Implementierung der Zugriffskontrolle erstellen

Erstellen Sie mindestens eine Benutzergruppe, um den Benutzern je nach der gewünschten Verwendung von Oracle Logging Analytics verschiedene Zugriffsebenen zu erteilen.

Ein Benutzer, der zu der Gruppe Administratoren gehört, hat vollständigen Zugriff auf alle Features von Oracle Logging Analytics. Siehe Administratorengruppe, Policy und Administratorrollen.

Empfohlene Benutzergruppen

Es wird empfohlen, die Benutzergruppen zunächst ähnlich wie in den folgenden Beispielen zu erstellen:

  • Logging-Analytics-Users: Die Benutzer, die Sie dieser Gruppe hinzufügen, können die Logs abfragen und verschiedene Konfigurationen anzeigen. Sie können jedoch nicht die Logerfassung aktivieren oder deaktivieren, Konfigurationen ändern oder Logs löschen.
  • Logging-Analytics-Admins: Die Benutzer, die Sie dieser Gruppe hinzufügen, verfügen über die Berechtigungen von Logging-Analytics-Users und können außerdem Quellen, Parser, Entitys und Loggruppen erstellen oder bearbeiten. Diese Benutzer können die Logerfassung auch aktivieren oder deaktivieren. Sie können jedoch keine Logs löschen.
  • Logging-Analytics-SuperAdmins: Die Benutzer in dieser Gruppe haben die Berechtigungen von Logging-Analytics-Admins und können außerdem Lebenszyklusaktivitäten wie Onboarding und Offboarding von Oracle Logging Analytics ausführen sowie Logs löschen.

Beachten Sie, dass die obigen Gruppen als Beispiele dargestellt sind und zum Erstellen von IAM-Policys in dieser Dokumentation verwendet werden. Sie können die Benutzergruppen jedoch entsprechend Ihren Anforderungen erstellen.

Ressourcentypen in Logging Analytics aggregieren

Mit den folgenden beiden Familien können Sie Bulkzugriff erteilen, ohne dass Sie jeder Benutzergruppe individuelle Berechtigungen zuweisen müssen. In den meisten Fällen können Sie diese verwenden, um die Verwaltung Ihrer Oracle Logging Analytics-Policys zu vereinfachen.

  • loganalytics-features-family zum Steuern der Features, auf die ein Benutzer Zugriff hat, sowie der Aktionen, die der Benutzer mit der Konsole, der REST-API, der CLI oder dem SDK ausführen kann.

    loganalytics-features-family und die darin enthaltenen Ressourcen können nur auf Mandantenebene und nicht pro Compartment festgelegt werden.

  • loganalytics-resources-family zum Steuern des Zugriffs eines Benutzers zum Erstellen, Lesen, Aktualisieren und Löschen der Ressourcen, wie Entitys, Loggruppen, Lösch-Policys und Objektspeicher-Erfassungsregeln.

    Diese Familie und die darin enthaltenen Ressourcen können Zugriff für den gesamten Mandanten oder ein bestimmtes Compartment erhalten.

Policys zum Ausführen bestimmter Aufgaben und eine vollständige Referenz der Policy-Anforderungen in Logging Analytics finden Sie unter IAM-Policy-Katalog für Logging Analytics.

Hinweis

Wenn Sie Oracle Logging Analytics mit der Onboarding-UI aktiviert haben, die verfügbar ist, wenn Sie zum ersten Mal zum Service navigieren, werden bereits einige Policys erstellt. Siehe Beim Onboarding von Logging Analytics erstellte Policys.

Zugriff für Benutzergruppen erteilen

Erstellen Sie Policys mit Standard-IAM-Policys von Oracle Cloud Infrastructure, um zu definieren, wie Benutzergruppen Oracle Logging Analytics verwenden können.

Hinweis

Wenn Sie Oracle Logging Analytics schnell ausprobieren möchten, ohne Gruppen und Policys zu verwalten, hat ein Benutzer, der Mitglied der Gruppe Administratoren ist, vollständigen Zugriff auf alle Features. Siehe Administratorengruppe, Policy und Administratorrollen.

Um die Policy gemäß den Beispielgruppen unter Benutzergruppen zur Implementierung der Zugriffskontrolle erstellen einzurichten, wenden Sie die folgenden Policy-Sets an.

Für die Benutzergruppe Logging-Analytics-SuperAdmins:

Policy Beschreibung

allow group Logging-Analytics-SuperAdmins to MANAGE loganalytics-features-family in tenancy

Erteilen Sie der Gruppe Logging-Analytics-SuperAdmins die MANAGE-Zugriffsrechte der Familie loganalytics-features-family im gesamten Mandanten.

Mit dieser Policy kann jede Aufgabe im Service ausgeführt werden, einschließlich Offboarding, Löschen von Logs, Einrichten der Archivierung usw.

allow group Logging-Analytics-SuperAdmins to MANAGE loganalytics-resources-familY in tenancy

Oder

allow group Logging-Analytics-SuperAdmins to MANAGE loganalytics-resources-family in compartment myCompartment1

Erteilen Sie der Gruppe Logging-Analytics-SuperAdmins MANAGE-Zugriffsrechte der Familie loganalytics-resources-family im gesamten Mandanten oder in einem bestimmten Compartment.

Diese Policy ermöglicht die Ausführung jeder Aufgabe im Service für jeden Ressourcentyp, der zur Familie loganalytics-resources-family gehört.

allow group Logging-Analytics-SuperAdmins to MANAGE management-dashboard-family in tenancy

Erteilen Sie der Gruppe Logging-Analytics-SuperAdmins alle Zugriffsrechte für die Management-Dashboard-Ressourcenfamilie im Mandanten. Sie können vom Mandanten zu bestimmten Compartments wechseln.

allow group Logging-Analytics-SuperAdmins to read compartments in tenancy

Erlauben Sie der Gruppe Logging-Analytics-SuperAdmins, die Liste der verfügbaren Compartments für die Loggruppen abzurufen, auf die die Gruppe möglicherweise Zugriff hat. Dies ist für die Verwendung des Log Explorer erforderlich.

Für die Benutzergruppe Logging-Analytics-Admins:

Policy Beschreibung

allow group Logging-Analytics-Admins to use loganalytics-features-family in tenancy

Erteilen Sie der Gruppe Logging-Analytics-Admins die USE-Zugriffsrechte der Familie loganalytics-features-family im gesamten Mandanten.

allow group Logging-Analytics-Admins to use loganalytics-resources-family in tenancy

Oder

allow group Logging-Analytics-Admins to use loganalytics-resources-family in compartment myCompartment1

Erteilen Sie der Gruppe Logging-Analytics-Admins USE-Zugriffsrechte der Familie loganalytics-resources-family im gesamten Mandanten oder in einem bestimmten Compartment.

Dieser Gruppe erlauben, die Ressourcen in der Familie loganalytics-resources-family anzuzeigen, zu erstellen, zu bearbeiten oder zu löschen.

allow group Logging-Analytics-Admins to manage management-dashboard-family in tenancy

Oder

allow group Logging-Analytics-Admins to manage management-dashboard-family in compartment myCompartment2

Erteilen Sie der Gruppe Logging-Analytics-Admins alle Zugriffsrechte für die Management-Dashboard-Ressourcenfamilie im Mandanten. Sie können vom Mandanten zu bestimmten Compartments wechseln.

allow group Logging-Analytics-Admins to read compartments in tenancy

Erlauben Sie der Gruppe Logging-Analytics-Admins, die Liste der verfügbaren Compartments für die Loggruppen abzurufen, auf die die Gruppe möglicherweise Zugriff hat. Dies ist für die Verwendung des Log Explorer erforderlich.

Für die Benutzergruppe Logging-Analytics-Users:

Policy Beschreibung

allow group Logging-Analytics-Users to read loganalytics-features-family in tenancy

Erteilen Sie der Gruppe Logging-Analytics-Users die READ-Zugriffsrechte der Familie loganalytics-features-family im gesamten Mandanten.

allow group Logging-Analytics-Users to read loganalytics-resources-family in tenancy

Oder

allow group Logging-Analytics-Users to read loganalytics-resources-family in compartment myCompartment1

Erteilen Sie der Gruppe Logging-Analytics-Users READ-Zugriffsrechte der Familie loganalytics-resources-family im gesamten Mandanten. Sie können vom Mandanten zu bestimmten Compartments wechseln.

Dieser Gruppe erlauben, Details der Ressourcen in der Familie loganalytics-resources-family anzuzeigen. Benutzer können diese Elemente nicht erstellen, bearbeiten oder löschen.

allow group Logging-Analytics-Users to use management-dashboard-family in tenancy

Oder

allow group Logging-Analytics-Users to use management-dashboard-family in compartment myCompartment2

Erteilen Sie der Gruppe Logging-Analytics-Users die USE-Zugriffsrechte für die Management-Dashboard-Ressourcenfamilie im Mandanten. Sie können vom Mandanten zu bestimmten Compartments wechseln.

allow group Logging-Analytics-Users to read compartments in tenancy

Erlauben Sie der Gruppe Logging-Analytics-Users, die Liste der verfügbaren Compartments für die Loggruppen abzurufen, auf die die Gruppe möglicherweise Zugriff hat. Dies ist für die Verwendung des Log Explorer erforderlich.

Sie können Compartment-spezifische Policy-Anweisungen für eine beliebige Anzahl von Compartments hinzufügen, die Sie zum Organisieren der Ressourcen wie Entitys und Loggruppen erstellen möchten. Diese Ressourcen können sich auch in ganz anderen Compartments befinden. Es ist nicht erforderlich, dass sich alle Ressourceninstanzen unterschiedlicher Typen in demselben Compartment befinden. Möglicherweise ist die Verwaltung jedoch einfacher, wenn Sie die Anzahl der verwendeten Compartments minimieren können.

Anstatt die Ressourcenfamilie zu verwenden, können Sie auch eine Policy auf der Ebene der einzelnen Ressourcen angeben. Beispiel:

Policy Beschreibung

allow group DBA to use loganalytics-entity in compartment Databases

Benutzer in der Gruppe DBA können Entitys erstellen, bearbeiten oder löschen und die Logerfassung für Entitys im Compartment Databases aktivieren oder deaktivieren.

allow group DBA to use loganalytics-log-group in compartment Databases

Benutzer in der Gruppe DBA können Loggruppen erstellen, bearbeiten oder löschen und die Logs abfragen, die im Compartment Databases gespeichert sind.

Einige der oben genannten Policy-Anweisungen sind in den sofort verfügbaren von Oracle definierten Policy-Vorlagen enthalten. Möglicherweise möchten Sie die Vorlage für Ihren Anwendungsfall verwenden. Siehe Von Oracle definierte Policy-Vorlagen für allgemeine Anwendungsfälle.

Policys zum Ausführen bestimmter Aufgaben und eine vollständige Referenz der Policy-Anforderungen in Logging Analytics finden Sie unter IAM-Policy-Katalog für Logging Analytics.

Hinweis

Wenn Sie Oracle Logging Analytics mit der Onboarding-UI aktiviert haben, die verfügbar ist, wenn Sie zum ersten Mal zum Service navigieren, werden bereits einige Policys erstellt. Siehe Beim Onboarding von Logging Analytics erstellte Policys.

Logging Analytics aktivieren

Nachdem Sie die erforderlichen Aufgaben wie das Erstellen von Benutzergruppen, das Erstellen von Compartments und das Definieren von Zugriffs-Policys für die Benutzergruppen abgeschlossen haben, können Sie auf Oracle Logging Analytics zugreifen und es zur Verwendung aktivieren.

Um Oracle Logging Analytics zu aktivieren, müssen Sie Mitglied der Gruppe Administratoren sein. Siehe Administratorengruppe, Policy und Administratorrollen.

  1. Öffnen Sie das Navigationsmenü, klicken Sie auf Observability and Management, und klicken Sie dann auf Logging Analytics.

  2. Wenn Sie diesen Service zum ersten Mal in dieser Region verwenden, gelangen Sie auf eine Onboardingseite. Dort finden Sie allgemeine Details zum Service und können mit der Verwendung des Oracle Logging Analytics-Service beginnen. Klicken Sie auf Logging Analytics verwenden.

    Das Dialogfeld Logging Analytics aktivieren wird angezeigt. Hier werden die mindestens erforderlichen Policys und Loggruppen erstellt, wenn sie noch nicht vorhanden sind.

  3. Klicken Sie auf Weiter. Die OCI Audit Log-Collection ist konfiguriert.

    Das Kontrollkästchen Audit in Sub-Compartments einbeziehen ist standardmäßig aktiviert. Sie können es bei Bedarf deaktivieren. Je nach Ihrer Voreinstellung werden die Policys erstellt und geeignete Aktionen ausgeführt.

    Klicken Sie auf Weiter.

  4. Nachdem das Onboarding abgeschlossen ist, klicken Sie auf Log Explorer aufrufen.

Jetzt können Sie Oracle Logging Analytics kennenlernen.

Hinweis

Eine Liste der Policys, die im obigen Prozess erstellt wurden, finden Sie unter Policys, die beim Onboarding von Logging Analytics erstellt wurden.