Von Oracle definierte Policy-Vorlagen für allgemeine Anwendungsfälle
Mit den leicht verfügbaren Vorlagen können Sie eine Policy für eine Benutzergruppe oder dynamische Gruppe erstellen, um einen bestimmten Vorgang oder eine Sammlung von Vorgängen auszuführen.
-
Klicken Sie in der Konsole unter Identität und Sicherheit im Menü Identität auf Policys, und klicken Sie auf Policy erstellen. Die Seite "Policy erstellen" wird geöffnet.
-
Geben Sie einen Namen und eine Beschreibung für die Policy an.
-
Wählen Sie im Policy Builder im Menü Policy-Anwendungsfälle die Option Logging Analytics aus. Wählen Sie im Menü Allgemeine Policy-Vorlagen eine der folgenden Optionen aus:
- Durchsuchen von Logs, Anzeigen von Anreicherungskonfigurationen und Anzeigen von Dashboards durch Operatoren zulassen
- Durchsuchen von Logs, Anzeigen von Anreicherungskonfigurationen und Verwalten von Dashboards durch Logging Analytics-Benutzer zulassen
- Durchsuchen von Logs, Konfigurieren von Anreicherungen, Erfassen von Logs und Verwalten von Dashboards durch Logging Analytics-Administratoren zulassen
- Kontrollieren aller Aspekte von Logging Analytics und Löschen von Logs durch Logging Analytics-Superadministratoren zulassen
- Ausführung dynamischer Lösch-Policy-Gruppen zulassen
- Kontinuierliche Logerfassung mit dynamischen Management-Agent-Gruppen zulassen
- Ausführung dynamischer Erkennungsregelgruppen zulassen
- Logerfassung aus Objektspeicher zulassen
Wählen Sie je nach Anwendungsfall die Identitätsdomain, die Gruppe oder die dynamische Gruppe und das Compartment aus, um den Geltungsbereich der Berechtigung zu definieren.
Ausführliche Schritte zum Erstellen einer Policy mit den von Oracle definierten Vorlagen im Policy Builder finden Sie unter Policy-Anweisungen mit Policy Builder schreiben.
Ein Beispiel für die Anpassung einer Policy mit dem manuellen Editor finden Sie unter Policys anpassen.
-
Klicken Sie auf Erstellen.
Durchsuchen von Logs, Anzeigen von Anreicherungskonfigurationen und Anzeigen von Dashboards durch Operatoren zulassen
Ermöglichen Sie der Benutzergruppe, die Logs abzufragen, verschiedene Konfigurationen anzuzeigen und Dashboards anzuzeigen. Die Policy-Vorlage umfasst nicht die Möglichkeit, die Logerfassung zu aktivieren oder zu deaktivieren, Konfigurationen zu ändern, Logs zu löschen oder Dashboards zu verwalten.
In der Vorlage enthaltene Policy-Anweisungen:
Allow group {group name} to read loganalytics-features-family in tenancy
Allow group {group name} to read loganalytics-resources-family in {location}
Allow group {group name} to read management-dashboard-family in {location}
Allow group {group name} to read compartments in tenancy
Allow service loganalytics to read loganalytics-features-family in tenancy- {group name}: Wählen Sie die Benutzergruppe aus, die den Zugriff erhalten soll.
- {location}: Wählen Sie das Compartment für den Geltungsbereich der Berechtigung aus.
Durchsuchen von Logs, Anzeigen von Anreicherungskonfigurationen und Verwalten von Dashboards durch Logging Analytics-Benutzer zulassen
Erlauben Sie der Benutzergruppe, die Logs abzufragen, verschiedene Konfigurationen anzuzeigen und die Dashboards zu verwalten. Die Policy-Vorlage umfasst nicht die Möglichkeit, die Logerfassung zu aktivieren oder zu deaktivieren, Konfigurationen zu ändern oder Logs zu löschen.
In der Vorlage enthaltene Policy-Anweisungen:
Allow group {group name} to read loganalytics-features-family in tenancy
Allow group {group name} to read loganalytics-resources-family in {location}
Allow group {group name} to manage management-dashboard-family in {location}
Allow group {group name} to read compartments in tenancy
Allow service loganalytics to read loganalytics-features-family in tenancy- {group name}: Wählen Sie die Benutzergruppe aus, die den Zugriff erhalten soll.
- {location}: Wählen Sie das Compartment für den Geltungsbereich der Berechtigung aus.
Durchsuchen von Logs, Konfigurieren von Anreicherungen, Erfassen von Logs und Verwalten von Dashboards durch Logging Analytics-Administratoren zulassen
Lassen Sie zu, dass die Benutzergruppe Quellen, Parser, Entitys und Loggruppen erstellt oder bearbeitet und die Dashboards verwaltet. Mit den Policy-Anweisungen kann die Benutzergruppe auch die Logerfassung aktivieren oder deaktivieren. Die Berechtigungen beinhalten jedoch nicht die Möglichkeit, Logs zu löschen.
In der Vorlage enthaltene Policy-Anweisungen:
Allow group {group name} to use loganalytics-features-family in tenancy
Allow group {group name} to use loganalytics-resources-family in {location}
Allow group {group name} to manage management-dashboard-family in {location}
Allow group {group name} to read compartments in tenancy
Allow group {group name} TO MANAGE management-agents in {location}
Allow group {group name} to MANAGE management-agent-install-keys in {location}
Allow group {group name} TO READ METRICS in {location}
Allow group {group name} TO READ USERS in tenancy
Allow group {group name} to {BUCKET_UPDATE, BUCKET_READ} in {location}
Allow service loganalytics to READ loganalytics-features-family in tenancy- {group name}: Wählen Sie die Benutzergruppe aus, die den Zugriff erhalten soll.
- {location}: Wählen Sie das Compartment für den Geltungsbereich der Berechtigung aus.
Kontrollieren aller Aspekte von Logging Analytics und Löschen von Logs durch Logging Analytics-Superadministratoren zulassen
Erlauben Sie der Benutzergruppe, die Logs abzufragen, verschiedene Konfigurationen zu verwalten, die Logerfassung zu aktivieren oder zu deaktivieren und Logs zu löschen. Die Benutzergruppe kann außerdem Lebenszyklusaktivitäten wie Offboarding und Onboarding von Oracle Logging Analytics ausführen.
In der Vorlage enthaltene Policy-Anweisungen:
Allow group {group name} to MANAGE loganalytics-features-family in tenancy
Allow group {group name} to MANAGE loganalytics-resources-family in {location}
Allow group {group name} to MANAGE management-dashboard-family in {location}
Allow group {group name} to read compartments in tenancy
Allow group {group name} TO MANAGE management-agents in {location}
Allow group {group name} to MANAGE management-agent-install-keys in {location}
Allow group {group name} TO READ METRICS in {location}
Allow group {group name} TO READ USERS in tenancy
Allow group {group name} to {BUCKET_UPDATE, BUCKET_READ} in {location}
Allow service loganalytics to READ loganalytics-features-family in tenancy
- {group name}: Wählen Sie die Benutzergruppe aus, die den Zugriff erhalten soll.
- {location}: Wählen Sie das Compartment für den Geltungsbereich der Berechtigung aus.
Ausführung dynamischer Lösch-Policy-Gruppen zulassen
Lassen Sie den Löschvorgang für Logdaten zu.
In der Vorlage enthaltene Policy-Anweisungen:
Allow dynamic-group {group name} to read compartments in tenancy
Allow dynamic-group {group name} to {LOG_ANALYTICS_STORAGE_PURGE} in tenancy
Allow dynamic-group {group name} to {LOG_ANALYTICS_STORAGE_WORK_REQUEST_CREATE} in {location}
Allow dynamic-group {group name} to {LOG_ANALYTICS_LOG_GROUP_DELETE_LOGS} in {location}
Allow dynamic-group {group name} to {LOG_ANALYTICS_QUERY_VIEW} in tenancy
Allow dynamic-group {group name} to {LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ} in {location} - {group name}: Wählen Sie die dynamische Gruppe aus, der der der Zugriff erteilt werden muss.
- {location}: Wählen Sie das Compartment für den Geltungsbereich der Berechtigung aus.
Kontinuierliche Logerfassung mit dynamischen Management-Agent-Gruppen zulassen
Zulassen, dass die Benutzergruppe Logs kontinuierlich mit Management-Agents erfasst.
In der Vorlage enthaltene Policy-Anweisungen:
Allow dynamic-group {group name} to use METRICS in {location}
Allow dynamic-group {group name} to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in {location}- {group name}: Wählen Sie die dynamische Gruppe aus, der der der Zugriff erteilt werden muss.
- {location}: Wählen Sie das Compartment für den Geltungsbereich der Berechtigung aus.
Ausführung dynamischer Erkennungsregelgruppen zulassen
Ausführung der Erkennungsregeln für geplante Aufgaben und Erkennungsregeln für die Aufnahmezeit zulassen.
In der Vorlage enthaltene Policy-Anweisungen:
Allow dynamic-group {group name} to use metrics in {location}
Allow dynamic-group {group name} to read management-saved-search in {location}
Allow dynamic-group {group name} to {LOG_ANALYTICS_QUERY_VIEW} in {location}
Allow dynamic-group {group name} to {LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ} in {location}
Allow dynamic-group {group name} to READ loganalytics-log-group in {location}
Allow dynamic-group {group name} to read compartments in tenancy
Allow service loganalytics to use metrics in {location}- {group name}: Wählen Sie die dynamische Gruppe aus, der der der Zugriff erteilt werden muss.
- {location}: Wählen Sie das Compartment für den Geltungsbereich der Berechtigung aus.
Logerfassung aus Objektspeicher zulassen
Zulassen, dass die Benutzergruppe Logs aus dem Objektspeicher erfasst.
In der Vorlage enthaltene Policy-Anweisungen:
Allow service loganalytics to read buckets in {location}
Allow service loganalytics to read objects in {location}
Allow service loganalytics to manage cloudevents-rules in {location}
Allow service loganalytics to inspect compartments in tenancy
Allow service loganalytics to use tag-namespaces in tenancy where all {target.tag-namespace.name = /oracle-tags/}- {group name}: Wählen Sie die Benutzergruppe aus, die den Zugriff erhalten soll.
- {location}: Wählen Sie das Compartment für den Geltungsbereich der Berechtigung aus.