Zugriff auf Logging Analytics und zugehörige Ressourcen aktivieren
Konfigurieren Sie den Oracle Cloud Infrastructure-Mandanten für die Verwendung von Oracle Logging Analytics, indem Sie diese erforderlichen Konfigurationsaufgaben ausführen.
Oracle Logging Analytics ist ein regionaler Service. Wählen Sie vor dem Start eine Region aus, die Sie verwenden möchten. Sie können diese Schritte für jede Region ausführen, die Sie einrichten möchten. Jede Region ist jedoch eine andere Instanz. Wählen Sie die Region mit dem Regionsselektor in der oberen rechten Ecke der Konsole aus.
Themen:
-
Zugriff von Logging Analytics auf die Featurefamilie aktivieren
-
OCI-Compartments zum Platzieren der Logging Analytics-Ressourcen identifizieren
-
Benutzergruppen zur Implementierung der Zugriffskontrolle erstellen
Policys zum Ausführen bestimmter Aufgaben und eine vollständige Referenz der Policy-Anforderungen in Logging Analytics finden Sie unter IAM-Policy-Katalog für Logging Analytics.
Mit den leicht verfügbaren Vorlagen können Sie eine Policy für eine Benutzergruppe oder dynamische Gruppe erstellen, um einen bestimmten Vorgang oder eine Sammlung von Vorgängen auszuführen. Siehe Von Oracle definierte Policy-Vorlagen für allgemeine Anwendungsfälle.
Wenn Sie Oracle Logging Analytics mit der Onboarding-UI aktiviert haben, die verfügbar ist, wenn Sie zum ersten Mal zum Service navigieren, werden bereits einige Policys erstellt. Siehe Beim Onboarding von Logging Analytics erstellte Policys.
Zugriff von Logging Analytics auf die Featurefamilie aktivieren
Sie müssen eine IAM-Policy auf Serviceebene erstellen, damit der Oracle Logging Analytics-Service funktioniert. Erstellen Sie Policys mit Standard-IAM-Policys von Oracle Cloud Infrastructure, und fügen Sie die folgende Policy-Anweisung hinzu.
Policy-Anweisung | Beschreibung |
---|---|
allow service loganalytics to READ loganalytics-features-family in tenancy |
Erteilen Sie dem Oracle Logging Analytics-Service READ-Zugriffsrechte der Familie loganalytics-features-family im gesamten Mandanten. |
Einige der oben genannten Policy-Anweisungen sind in den sofort verfügbaren von Oracle definierten Policy-Vorlagen enthalten. Möglicherweise möchten Sie die Vorlage für Ihren Anwendungsfall verwenden. Siehe Von Oracle definierte Policy-Vorlagen für allgemeine Anwendungsfälle.
Policys zum Ausführen bestimmter Aufgaben und eine vollständige Referenz der Policy-Anforderungen in Logging Analytics finden Sie unter IAM-Policy-Katalog für Logging Analytics.
Wenn Sie Oracle Logging Analytics mit der Onboarding-UI aktiviert haben, die verfügbar ist, wenn Sie zum ersten Mal zum Service navigieren, werden bereits einige Policys erstellt. Siehe Beim Onboarding von Logging Analytics erstellte Policys.
OCI-Compartments zum Platzieren der Logging Analytics-Ressourcen identifizieren
Mit Compartments können Sie Ressourcen von Oracle Logging Analytics wie Entitys und Loggruppen erstellen. Optimieren Sie den Zugriff auf die Compartments für eine bessere Benutzerzugriffskontrolle.
Sie können vorhandene Compartments verwenden oder neue erstellen, insbesondere forOracle Logging Analytics. Sie können mehrere Compartments erstellen, um verschiedenen Benutzergruppen Zugriff auf verschiedene Teile des Produkts oder der Logdaten zu erteilen. Weitere Informationen zur Funktionsweise von Compartments finden Sie unter Compartments verwalten in der Oracle Cloud Infrastructure-Dokumentation.
Ressourcen in Oracle Logging Analytics müssen sich in den Compartments befinden. Wenn Sie eine der folgenden Ressourcen erstellen, müssen Sie das Compartment dafür auswählen:
Ressource | Zugriffskontrolle mit Oracle IAM-Policys |
---|---|
Entitys |
Sie können kontrollieren, wer die Logerfassung für eine bestimmte Entity aktivieren oder deaktivieren kann. |
Loggruppen |
Sie können kontrollieren, wer die Logs durchsuchen kann, nachdem diese erfasst, angereichert und indexiert wurden. |
Lösch-Policys |
Sie können kontrollieren, wer die Definition der Lösch-Policy stoppen oder ändern kann. |
Objektspeicher-Erfassungsregeln |
Sie können kontrollieren, wer die Erfassungsregel stoppen oder ändern kann. |
Policys zum Ausführen bestimmter Aufgaben und eine vollständige Referenz der Policy-Anforderungen in Logging Analytics finden Sie unter IAM-Policy-Katalog für Logging Analytics.
Wenn Sie Oracle Logging Analytics mit der Onboarding-UI aktiviert haben, die verfügbar ist, wenn Sie zum ersten Mal zum Service navigieren, werden bereits einige Policys erstellt. Siehe Beim Onboarding von Logging Analytics erstellte Policys.
Benutzergruppen zur Implementierung der Zugriffskontrolle erstellen
Erstellen Sie mindestens eine Benutzergruppe, um den Benutzern je nach der gewünschten Verwendung von Oracle Logging Analytics verschiedene Zugriffsebenen zu erteilen.
Ein Benutzer, der zu der Gruppe Administratoren gehört, hat vollständigen Zugriff auf alle Features von Oracle Logging Analytics. Siehe Administratorengruppe, Policy und Administratorrollen.
Empfohlene Benutzergruppen
Es wird empfohlen, die Benutzergruppen zunächst ähnlich wie in den folgenden Beispielen zu erstellen:
- Logging-Analytics-Users: Die Benutzer, die Sie dieser Gruppe hinzufügen, können die Logs abfragen und verschiedene Konfigurationen anzeigen. Sie können jedoch nicht die Logerfassung aktivieren oder deaktivieren, Konfigurationen ändern oder Logs löschen.
- Logging-Analytics-Admins: Die Benutzer, die Sie dieser Gruppe hinzufügen, verfügen über die Berechtigungen von Logging-Analytics-Users und können außerdem Quellen, Parser, Entitys und Loggruppen erstellen oder bearbeiten. Diese Benutzer können die Logerfassung auch aktivieren oder deaktivieren. Sie können jedoch keine Logs löschen.
- Logging-Analytics-SuperAdmins: Die Benutzer in dieser Gruppe haben die Berechtigungen von Logging-Analytics-Admins und können außerdem Lebenszyklusaktivitäten wie Onboarding und Offboarding von Oracle Logging Analytics ausführen sowie Logs löschen.
Beachten Sie, dass die obigen Gruppen als Beispiele dargestellt sind und zum Erstellen von IAM-Policys in dieser Dokumentation verwendet werden. Sie können die Benutzergruppen jedoch entsprechend Ihren Anforderungen erstellen.
Ressourcentypen in Logging Analytics aggregieren
Mit den folgenden beiden Familien können Sie Bulkzugriff erteilen, ohne dass Sie jeder Benutzergruppe individuelle Berechtigungen zuweisen müssen. In den meisten Fällen können Sie diese verwenden, um die Verwaltung Ihrer Oracle Logging Analytics-Policys zu vereinfachen.
- loganalytics-features-family zum Steuern der Features, auf die ein Benutzer Zugriff hat, sowie der Aktionen, die der Benutzer mit der Konsole, der REST-API, der CLI oder dem SDK ausführen kann.
loganalytics-features-family und die darin enthaltenen Ressourcen können nur auf Mandantenebene und nicht pro Compartment festgelegt werden.
- loganalytics-resources-family zum Steuern des Zugriffs eines Benutzers zum Erstellen, Lesen, Aktualisieren und Löschen der Ressourcen, wie Entitys, Loggruppen, Lösch-Policys und Objektspeicher-Erfassungsregeln.
Diese Familie und die darin enthaltenen Ressourcen können Zugriff für den gesamten Mandanten oder ein bestimmtes Compartment erhalten.
Policys zum Ausführen bestimmter Aufgaben und eine vollständige Referenz der Policy-Anforderungen in Logging Analytics finden Sie unter IAM-Policy-Katalog für Logging Analytics.
Wenn Sie Oracle Logging Analytics mit der Onboarding-UI aktiviert haben, die verfügbar ist, wenn Sie zum ersten Mal zum Service navigieren, werden bereits einige Policys erstellt. Siehe Beim Onboarding von Logging Analytics erstellte Policys.
Zugriff für Benutzergruppen erteilen
Erstellen Sie Policys mit Standard-IAM-Policys von Oracle Cloud Infrastructure, um zu definieren, wie Benutzergruppen Oracle Logging Analytics verwenden können.
Wenn Sie Oracle Logging Analytics schnell ausprobieren möchten, ohne Gruppen und Policys zu verwalten, hat ein Benutzer, der Mitglied der Gruppe Administratoren ist, vollständigen Zugriff auf alle Features. Siehe Administratorengruppe, Policy und Administratorrollen.
Um die Policy gemäß den Beispielgruppen unter Benutzergruppen zur Implementierung der Zugriffskontrolle erstellen einzurichten, wenden Sie die folgenden Policy-Sets an.
Für die Benutzergruppe Logging-Analytics-SuperAdmins:
Policy | Beschreibung |
---|---|
|
Erteilen Sie der Gruppe Logging-Analytics-SuperAdmins die MANAGE-Zugriffsrechte der Familie loganalytics-features-family im gesamten Mandanten. Mit dieser Policy kann jede Aufgabe im Service ausgeführt werden, einschließlich Offboarding, Löschen von Logs, Einrichten der Archivierung usw. |
Oder
|
Erteilen Sie der Gruppe Logging-Analytics-SuperAdmins MANAGE-Zugriffsrechte der Familie loganalytics-resources-family im gesamten Mandanten oder in einem bestimmten Compartment. Diese Policy ermöglicht die Ausführung jeder Aufgabe im Service für jeden Ressourcentyp, der zur Familie loganalytics-resources-family gehört. |
|
Erteilen Sie der Gruppe Logging-Analytics-SuperAdmins alle Zugriffsrechte für die Management-Dashboard-Ressourcenfamilie im Mandanten. Sie können vom Mandanten zu bestimmten Compartments wechseln. |
|
Erlauben Sie der Gruppe Logging-Analytics-SuperAdmins, die Liste der verfügbaren Compartments für die Loggruppen abzurufen, auf die die Gruppe möglicherweise Zugriff hat. Dies ist für die Verwendung des Log Explorer erforderlich. |
Für die Benutzergruppe Logging-Analytics-Admins:
Policy | Beschreibung |
---|---|
|
Erteilen Sie der Gruppe Logging-Analytics-Admins die USE-Zugriffsrechte der Familie loganalytics-features-family im gesamten Mandanten. |
Oder
|
Erteilen Sie der Gruppe Logging-Analytics-Admins USE-Zugriffsrechte der Familie loganalytics-resources-family im gesamten Mandanten oder in einem bestimmten Compartment. Dieser Gruppe erlauben, die Ressourcen in der Familie loganalytics-resources-family anzuzeigen, zu erstellen, zu bearbeiten oder zu löschen. |
Oder
|
Erteilen Sie der Gruppe Logging-Analytics-Admins alle Zugriffsrechte für die Management-Dashboard-Ressourcenfamilie im Mandanten. Sie können vom Mandanten zu bestimmten Compartments wechseln. |
|
Erlauben Sie der Gruppe Logging-Analytics-Admins, die Liste der verfügbaren Compartments für die Loggruppen abzurufen, auf die die Gruppe möglicherweise Zugriff hat. Dies ist für die Verwendung des Log Explorer erforderlich. |
Für die Benutzergruppe Logging-Analytics-Users:
Policy | Beschreibung |
---|---|
|
Erteilen Sie der Gruppe Logging-Analytics-Users die READ-Zugriffsrechte der Familie loganalytics-features-family im gesamten Mandanten. |
Oder
|
Erteilen Sie der Gruppe Logging-Analytics-Users READ-Zugriffsrechte der Familie loganalytics-resources-family im gesamten Mandanten. Sie können vom Mandanten zu bestimmten Compartments wechseln. Dieser Gruppe erlauben, Details der Ressourcen in der Familie loganalytics-resources-family anzuzeigen. Benutzer können diese Elemente nicht erstellen, bearbeiten oder löschen. |
Oder
|
Erteilen Sie der Gruppe Logging-Analytics-Users die USE-Zugriffsrechte für die Management-Dashboard-Ressourcenfamilie im Mandanten. Sie können vom Mandanten zu bestimmten Compartments wechseln. |
|
Erlauben Sie der Gruppe Logging-Analytics-Users, die Liste der verfügbaren Compartments für die Loggruppen abzurufen, auf die die Gruppe möglicherweise Zugriff hat. Dies ist für die Verwendung des Log Explorer erforderlich. |
Sie können Compartment-spezifische Policy-Anweisungen für eine beliebige Anzahl von Compartments hinzufügen, die Sie zum Organisieren der Ressourcen wie Entitys und Loggruppen erstellen möchten. Diese Ressourcen können sich auch in ganz anderen Compartments befinden. Es ist nicht erforderlich, dass sich alle Ressourceninstanzen unterschiedlicher Typen in demselben Compartment befinden. Möglicherweise ist die Verwaltung jedoch einfacher, wenn Sie die Anzahl der verwendeten Compartments minimieren können.
Anstatt die Ressourcenfamilie zu verwenden, können Sie auch eine Policy auf der Ebene der einzelnen Ressourcen angeben. Beispiel:
Policy | Beschreibung |
---|---|
|
Benutzer in der Gruppe DBA können Entitys erstellen, bearbeiten oder löschen und die Logerfassung für Entitys im Compartment Databases aktivieren oder deaktivieren. |
|
Benutzer in der Gruppe DBA können Loggruppen erstellen, bearbeiten oder löschen und die Logs abfragen, die im Compartment Databases gespeichert sind. |
Einige der oben genannten Policy-Anweisungen sind in den sofort verfügbaren von Oracle definierten Policy-Vorlagen enthalten. Möglicherweise möchten Sie die Vorlage für Ihren Anwendungsfall verwenden. Siehe Von Oracle definierte Policy-Vorlagen für allgemeine Anwendungsfälle.
Policys zum Ausführen bestimmter Aufgaben und eine vollständige Referenz der Policy-Anforderungen in Logging Analytics finden Sie unter IAM-Policy-Katalog für Logging Analytics.
Wenn Sie Oracle Logging Analytics mit der Onboarding-UI aktiviert haben, die verfügbar ist, wenn Sie zum ersten Mal zum Service navigieren, werden bereits einige Policys erstellt. Siehe Beim Onboarding von Logging Analytics erstellte Policys.
Logging Analytics aktivieren
Nachdem Sie die erforderlichen Aufgaben wie das Erstellen von Benutzergruppen, das Erstellen von Compartments und das Definieren von Zugriffs-Policys für die Benutzergruppen abgeschlossen haben, können Sie auf Oracle Logging Analytics zugreifen und es zur Verwendung aktivieren.
Um Oracle Logging Analytics zu aktivieren, müssen Sie Mitglied der Gruppe Administratoren sein. Siehe Administratorengruppe, Policy und Administratorrollen.
-
Öffnen Sie das Navigationsmenü, klicken Sie auf Observability and Management, und klicken Sie dann auf Logging Analytics.
-
Wenn Sie diesen Service zum ersten Mal in dieser Region verwenden, gelangen Sie auf eine Onboardingseite. Dort finden Sie allgemeine Details zum Service und können mit der Verwendung des Oracle Logging Analytics-Service beginnen. Klicken Sie auf Logging Analytics verwenden.
Das Dialogfeld Logging Analytics aktivieren wird angezeigt. Hier werden die mindestens erforderlichen Policys und Loggruppen erstellt, wenn sie noch nicht vorhanden sind.
-
Klicken Sie auf Weiter. Die OCI Audit Log-Collection ist konfiguriert.
Das Kontrollkästchen Audit in Sub-Compartments einbeziehen ist standardmäßig aktiviert. Sie können es bei Bedarf deaktivieren. Je nach Ihrer Voreinstellung werden die Policys erstellt und geeignete Aktionen ausgeführt.
Klicken Sie auf Weiter.
-
Nachdem das Onboarding abgeschlossen ist, klicken Sie auf Log Explorer aufrufen.
Jetzt können Sie Oracle Logging Analytics kennenlernen.
Eine Liste der Policys, die im obigen Prozess erstellt wurden, finden Sie unter Policys, die beim Onboarding von Logging Analytics erstellt wurden.