Oracle Cloud Infrastructure-Dokumentation

Logs mit Operator Access Control verwalten und durchsuchen

Hier erfahren Sie, wie Sie Logs aktivieren, um die Liste der Operatorkontrollen anzuzeigen, die in einem Compartment erstellt wurden und verwendet werden. Sie können Operatoraktivitäten auch in einem Cage überwachen.

Mit Operator Access Control Logs aktivieren und Loggruppen erstellen

Erfahren Sie, wie Sie Oracle-Operatoraktivitäten auf Ihrem System verfolgen, Logs aktivieren und Loggruppen zum Verwalten von Logs erstellen.

Um die Aktionen zu auditieren, die ein Oracle-Operator auf Ihrem System ausführt, können Sie ein Auditlog für ein Compartment und einen bestimmten Service erstellen, mit dem Sie die Aktionen des Oracle-Operators überwachen möchten.
  1. Melden Sie sich bei Ihrem Oracle Cloud Infrastructure-Mandanten an.
  2. Öffnen Sie das Navigationsmenü. Klicken Sie unter Oracle AI Database auf Operatorzugriffskontrolle.
  3. Klicken Sie auf Operatorkontrollen.
  4. Klicken Sie auf den Namen der Operatorkontrolle, die Sie aktivieren möchten, in der Liste der Operatorkontrollen.
  5. Klicken Sie auf die Registerkarte Logs.

    Sie können Zugriffslogs und Hypervisorlogs aktivieren.

    Beispiel: Um Zugriffslogs zu aktivieren, gehen Sie wie folgt vor:

    • Klicken Sie auf das Menü "Aktionen" (drei Punkte), und wählen Sie die Option Log aktivieren aus
    • Compartment: Wählen Sie das Compartment, in dem Sie das Log erstellen möchten.
    • Loggruppe: Wählen Sie eine Loggruppe, der Sie das Log hinzufügen möchten. Eine Loggruppe ist ein logischer Container für Logs, mit dem die Logverwaltung optimiert wird, wie das Anwenden von Policys oder das Analysieren zugehöriger Logs.

      Wenn Sie eine neue Loggruppe erstellen möchten, klicken Sie auf Neue Gruppen erstellen, und geben Informationen für die folgenden Felder ein:

      • Compartment Wählen Sie das Compartment aus, in dem Sie die Loggruppe speichern möchten.
      • Name: Geben Sie einen Namen für die Loggruppe ein.
      • Beschreibung: Geben Sie eine Beschreibung des Zwecks der Loggruppe ein.
      • Tags: Fügen Sie der Loggruppe optional Tags hinzu.
    • Logname: Geben Sie einen Namen für das zu erstellende Log an.
    • Altarchivierungslogs aktivieren: Aktivieren Sie diese Option, um Archivierungslogs beizubehalten und zu verwalten.
    • (Optional) Klicken Sie auf Erweiterte Einstellungen anzeigen. Legen Sie den Logaufbewahrungszeitraum fest. Standard: 30 Tage.
    • Nachdem Sie die Auswahl abgeschlossen und geprüft haben, klicken Sie auf Log aktivieren. Das Log zu der Operatorkontrolle wird aktiviert.

Aktivierte Logs im Status "Aktiv" anzeigen

Erfahren Sie, wie Sie die aktivierten Logs im Status "Aktiv" anzeigen.

  1. Melden Sie sich bei Ihrem Oracle Cloud Infrastructure-Mandanten an.
  2. Öffnen Sie das Navigationsmenü. Klicken Sie unter Oracle AI Database auf Operatorzugriffskontrolle.
  3. Klicken Sie auf Operatorkontrollen.
  4. Klicken Sie auf den Namen der Operatorkontrolle, die Sie aktivieren möchten, in der Liste der Operatorkontrollen.
  5. Klicken Sie auf die Registerkarte Logs.

Aktivierte Logs deaktivieren

Erfahren Sie, wie Sie die aktivierten Logs deaktivieren.

  1. Melden Sie sich bei Ihrem Oracle Cloud Infrastructure-Mandanten an.
  2. Öffnen Sie das Navigationsmenü. Klicken Sie unter Oracle AI Database auf Operatorzugriffskontrolle.
  3. Klicken Sie auf Operatorkontrollen.
  4. Klicken Sie auf den Namen der Operatorkontrolle, die Sie aktivieren möchten, in der Liste der Operatorkontrollen.
  5. Klicken Sie auf die Registerkarte Logs.

    Sie können Zugriffslogs und Hypervisorlogs deaktivieren.

    Beispiel: Um Zugriffslogs zu deaktivieren, klicken Sie auf das Menü "Aktionen" (drei Punkte), und wählen Sie die Option Log deaktivieren aus.

Aktivierte Logs löschen

Erfahren Sie, wie Sie die aktivierten Logs löschen.

  1. Melden Sie sich bei Ihrem Oracle Cloud Infrastructure-Mandanten an.
  2. Öffnen Sie das Navigationsmenü. Klicken Sie unter Oracle AI Database auf Operatorzugriffskontrolle.
  3. Klicken Sie auf Operatorkontrollen.
  4. Klicken Sie auf den Namen der Operatorkontrolle, die Sie aktivieren möchten, in der Liste der Operatorkontrollen.
  5. Klicken Sie auf die Registerkarte Logs.

    Sie können Zugriffslogs und Hypervisorlogs löschen.

    Beispiel: Um Zugriffslogs zu löschen, klicken Sie auf das Menü "Aktionen" (drei Punkte), und wählen Sie die Option Löschen aus.

Logformat für Operator Access Control

Hier erfahren Sie mehr über die Felder, die ein im Loggingservice veröffentlichtes Auditlog enthält.

Tabelle 6-1: Auditlogfelder

Feld Beschreibung

data

Enthält alle Daten, die aus den Exadata-Auditlogs abgerufen wurden.

data.accessRequestId

Enthält die Oracle Cloud-ID (OCID) der Zugriffsanforderung. Diese ID wird von der Listenseite für Zugriffsanforderungen in der Konsole abgerufen.

data.message

Enthält das Auditlog im Raw-Format. Das Auditlogformat entspricht dem Format der Ausgabe des Befehls ausearch.

Weitere Informationen finden Sie auf den ausearch(8)-Manpages.

data.systemOcid

Die Oracle Cloud-ID (OCID) des Exadata-Systems, aus dem das Log erfasst wurde.

data.timestamp

Der Zeitstempel der Ausführung der Aktion, die das Log erfasst. Dieser beruht in der Regel auf der UTC-Zeitzone (Universal Time Coordinated).

source

Der Service, der das Log veröffentlicht. Die Quelle des Logs ist OperatorAccessControl für diesen Service.

Hinweis

Es gibt einige zusätzliche Felder, die dem Service in erster Linie zu Buchhaltungszwecken dienen.

Beispiel 6-1: Auditlog von Operator Access Control

{
  "logContent": {
    "data": {
      "accessRequestId": "ocid1.opctlaccessrequest.oc1.ap-chuncheon-1.aaaaaaaaqk67mpzb74nsssg4ppwk7cyg46dwoxegtvhopdp7lxbktpymk4kq",
      "message": "type=PROCTITLE msg=audit(09/08/2021 09:01:24.335:34495595) : proctitle=ps -ef \ntype=PATH msg=audit(09/08/2021 09:01:24.335:34495595) : item=1 name=/lib64/ld-linux-x86-64.so.2 inode=2546207 dev=fc:00 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 \ntype=PATH msg=audit(09/08/2021 09:01:24.335:34495595) : item=0 name=/usr/bin/ps inode=33619160 dev=fc:00 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 \ntype=CWD msg=audit(09/08/2021 09:01:24.335:34495595) : cwd=/home/b9dc42d68f6e4e26a1d843a4c5e70187 \ntype=EXECVE msg=audit(09/08/2021 09:01:24.335:34495595) : argc=2 a0=ps a1=-ef \ntype=SYSCALL msg=audit(09/08/2021 09:01:24.335:34495595) : arch=x86_64 syscall=execve success=yes exit=0 a0=0x1848d50 a1=0x184c360 a2=0x184c040 a3=0x7ffeec95b760 items=2 ppid=94699 pid=95635 auid=b9dc42d68f6e4e26a1d843a4c5e70187 uid=b9dc42d68f6e4e26a1d843a4c5e70187 gid=opctl_facc1 euid=b9dc42d68f6e4e26a1d843a4c5e70187 suid=b9dc42d68f6e4e26a1d843a4c5e70187 fsuid=b9dc42d68f6e4e26a1d843a4c5e70187 egid=opctl_facc1 sgid=opctl_facc1 fsgid=opctl_facc1 tty=pts0 ses=813000 comm=ps exe=/usr/bin/ps key=(null) \n",
      "status": "",
      "systemOcid": "ocid1.exadatainfrastructure.oc1.ap-chuncheon-1.ab4w4ljr46tyytihmindrbshch3jjhrxxpctq4eiaksakp4kqamluuwkzdga",
      "target": "",
      "timestamp": "2021-09-08T09:01:24.000Z"
    },
    "id": "b3b102aa-daee-4861-8e2c-9014faac9de2",
    "oracle": {
      "compartmentid": "ocid1.tenancy.oc1..aaaaaaaazxdmffivtoe32kvio5e2dcgz24re5rqbkis3452yi2e7tc3x2erq",
      "ingestedtime": "2021-09-08T16:02:26.182Z",
      "loggroupid": "ocid1.loggroup.oc1.ap-chuncheon-1.amaaaaaajobtc3ia3iypuri32bhvrgmosztobwi72wgdofkpfdbyfg4yxlrq",
      "logid": "ocid1.log.oc1.ap-chuncheon-1.amaaaaaajobtc3iahnkkwizgpoakdafmrttikohparjl7icmcfjzkechekfq",
      "tenantid": "ocid1.tenancy.oc1..aaaaaaaazxdmffivtoe32kvio5e2dcgz24re5rqbkis3452yi2e7tc3x2erq"
    },
    "source": "OperatorAccessControl",
    "specversion": "1.0",
    "time": "2021-09-08T16:01:52.989Z",
    "type": "com.oraclecloud.opctl.audit"
  },
  "datetime": 1631116912989
}

Logs durchsuchen

Um Logs zu durchsuchen, geben Sie wie nachfolgend beschrieben die Felder, den Zeitbereich und die Textzeichenfolgen für Logs an, die Sie durchsuchen möchten.

Das Log wird basierend auf bestimmten Operatorkontrollen aktiviert. Daher bilden diese den Filter der obersten Ebene für die Logsuche. Außerdem können Sie Logs nach den Zugriffsanforderungs-IDs, den Exadata-Systemen, in denen die Operatoraktion aufgetreten ist, oder nach dem Zeitpunkt durchsuchen, zu dem die Aktion ausgeführt wurde.

Die folgenden Beispiele verdeutlichen, wie Sie nach bestimmten Feldern suchen.

  1. Melden Sie sich bei der Konsole Observability & Management an.
  2. Wählen Sie im linken Navigationsmenü Logging und dann Logs aus.
  3. Wählen Sie das Compartment aus, in dem die Logs gespeichert werden.

    Damit erhalten Sie eine Liste der aktivierten Logs.

  4. Klicke auf das gewünschte Log.

    Die Seite mit den Logdetails wird angezeigt.

    Diese Logs beziehen sich immer auf eine einzelne Operatorzugriffskontrolle.

  5. Klicken Sie auf die Registerkarte Log durchsuchen.
  6. Klicken Sie auf Mit Logsuchung explorieren, wenn Sie nach bestimmten Logs suchen möchten.
  7. Fall 1: Suche nach Aktionen, die mit der Genehmigung einer bestimmten Zugriffsanforderung ocid.opctlaccessrequest.x während eines Zeitraums von "T-start" bis "T-end" ausgeführt wurden und die zu einer Operatorkontrolle ocid.opctl.x gehören.
    1. Wählen Sie im Feld Nach Zeit filtern die Option Benutzerdefiniert aus.
    2. Wählen Sie das Startdatum und das Enddatum aus.
    3. Klicken Sie auf Suchen.

      Nach der Auswahl wird eine Gruppe von Logs angezeigt.

    4. Fügen Sie nun beispielsweise die folgenden Suchkriterien in das Feld Benutzerdefinierte Filter ein.
      data.accessRequestId='ocid.opctlaccessrequest.x'

      Damit werden die Logs aufgelistet, die den Suchkriterien entsprechen.

  8. Fall 2: Suche nach Aktionen in einem Exadata-System ocid.exadata.x während eines Zeitraums von "T-start" bis "T-end" für eine Operatorkontrolle ocid.opctl.x.
    1. Wählen Sie im Feld Nach Zeit filtern die Option Benutzerdefiniert aus.
    2. Klicken Sie auf Suchen.

      Nach der Auswahl wird eine Gruppe von Logs angezeigt.

    3. Fügen Sie nun beispielsweise die folgenden Suchkriterien in das Feld Benutzerdefinierte Filter ein.
      data.systemOcid ='ocid.exadata.x'

      Damit werden die Logs aufgelistet, die den Suchkriterien entsprechen.

  9. Sie können die Logs auch nach dem Inhalt durchsuchen. Verwenden Sie das Feld log-content. Weitere Informationen finden Sie unter Logs durchsuchen.
  10. Um nach bestimmten ausgeführten Linux-Befehlen zu suchen, verwenden Sie den erweiterten Modus.
    1. Erstellen Sie eine Basissuche anhand der oben angegebenen Beispiele (Fall 1 oder 2), und wechseln Sie dann in den erweiterten Modus.
      Beispiel: Um nach allen Logs mit der Aktion vi zu suchen, fügen Sie die folgenden Kriterien hinzu:
      and text_contains(data.message, 'proctitle=vi ', true)
  11. Wenn Sie auf der Seite Loggingsuche eine Suche durchführen, können Sie auf Erweiterten Modus anzeigen klicken, um eigene benutzerdefinierte Logsuchabfragen einzugeben.
    Beispiel:
    search "ocid1.compartment.oc1..x/ocid1.loggroup.oc1.iad.loggroup_x/ocid1.log.oc1.iad.log_x"
 | data.systemOcid='ocid1.exadata.x' and text_contains(data.message, 'proctitle=vi ', true)
 | sort by datetime desc