Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zum Registrieren eines kostenlosen Accounts finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Wenn Sie Ihre Übung abgeschlossen haben, ersetzen Sie diese Werte durch spezifische Werte für Ihre Cloud-Umgebung.

Oracle Database-Auditlogs von Oracle Data Safe in OCI Logging exportieren

Einführung

Oracle Data Safe ist ein vollständig integrierter Cloud-Service, der auf die Sicherheit Ihrer Daten abzielt. Er bietet ein vollständiges und integriertes Featureset zum Schutz sensibler und regulierter Daten in Oracle Database. Zu den Features gehören Sicherheitsbewertung, Benutzerbeurteilung, Daten-Discovery, Data Masking und Aktivitätsauditing.

Der Oracle Cloud Infrastructure (OCI) Logging-Service bietet eine hoch skalierbare und vollständig verwaltete zentrale Schnittstelle für alle Logs in Ihrem Mandanten. Verwenden Sie Logging, um aus allen OCI-Ressourcen auf Logs zuzugreifen und diese zu aktivieren, zu verwalten und zu durchsuchen.

OCI Functions ist eine vollständig verwaltete, mehrmandantenfähige, hochskalierbare, On-Demand-Funktionen-as-a-Service-Plattform. Sie basiert auf OCI für Unternehmen und wird von der Fn-Projekt-Open-Source-Engine unterstützt.

Zielsetzung

• Exportieren Sie einheitliche Oracle Database-Auditlogs mit einer skalierbaren und automatisierten Architektur von Oracle Data Safe in OCI Logging.

  Die Architektur, die bereitgestellt werden soll, wird unten gezeigt.

  

Voraussetzungen

Die folgenden Anforderungen sind vor dem Deployment der Umgebung erforderlich.

• Konfigurieren Sie Oracle Data Safe, um Datenbankauditereignisse aus Oracle Database abzurufen.

• Konfigurieren Sie den OCI Registry-Benutzer (OCI-Benutzername) und das OCI Registry-Benutzerkennwort (OCI-Benutzerauthentifizierungstoken).

• Erstellen und prüfen Sie Oracle Cloud Infrastructure Identity and Access Management-(OCI IAM-)Policys, damit der OCI-Registry-Benutzer das Image der verwendeten Python-Funktion per Push übertragen kann.

• Berechtigung zum Verwalten der folgenden Ressourcentypen in Ihrem OCI-Mandanten: IAM-Policys, dynamische Gruppen, VCNs, Servicegateways, Routentabellen, Sicherheitslisten, Subnetze, Funktionen, Monitoringalarme und Benachrichtigungen.

Hinweis: Um das Deployment zu vereinfachen, wird empfohlen, das Deployment über OCI Resource Manager mit den Terraform-Skripten durchzuführen, die hier verfügbar sind.

Voraussetzung 1: Datenbank in Oracle Data Safe registrieren und konfigurieren

Bevor Sie die Referenzarchitektur erstellen, müssen Sie Oracle Data Safe so konfigurieren, dass Auditereignisse von den zu überwachenden Oracle-Datenbanken empfangen werden.

In diesem Tutorial konfigurieren wir Oracle Data Safe in einer Oracle Autonomous Database in einem zuvor erstellten OCI-Mandanten. Es ist jedoch möglich, das Audit von Oracle-Datenbanken in verschiedenen Umgebungen (On Premise, in Instanzen usw.) zu konfigurieren. Weitere Informationen zu möglichen Szenarios für die Konfiguration von Oracle Data Safe finden Sie unter Data Safe.

Sie können das Oracle Autonomous Database-Audit direkt auf der Seite "Datenbankservices" oder über die OCI-Konsole konfigurieren. Dies erfolgt über die OCI-Konsole.

1. Gehen Sie zur OCI-Konsole, klicken Sie auf Oracle Database und dann auf Data Safe - Datenbanksicherheit.

   

2. Um die Datenbank zu registrieren, klicken Sie auf Zieldatenbanken, wählen das Compartment aus, in dem die Datenbank registriert werden soll, und klicken Sie auf Datenbank registrieren.

   

3. Geben Sie auf der Data Safe-Konfigurationsseite die folgenden Details ein, und klicken Sie auf Registrieren. Warten Sie dann, bis die Konfiguration abgeschlossen ist.

   • Datenbanktyp: Wählen Sie den Typ der zu konfigurierenden Datenbank aus. In diesem Tutorial lautet der Typ Autonomous Database. Weitere Informationen zu unterstützten Oracle Database-Typen finden Sie unter Unterstützte Zieldatenbanken.

   • Datenbank auswählen in < Compartment >: Wählen Sie die Datenbank aus, die von Oracle Data Safe überwacht wird.

   • Beschreibung: Optional können Sie eine Beschreibung für die Registrierung der Datenbank in Oracle Data Safe eingeben.

   • Compartment: Wählen Sie das Compartment aus, in dem die Oracle Data Safe-Registrierung vorgenommen wird.

   

   Weitere Informationen zum Konfigurieren von Oracle Data Safe finden Sie in den Schritt-für-Schritt-Anweisungen unter Erste Schritte mit den Grundlagen von Oracle Data Safe im Oracle Live Labs-Portal.

Voraussetzung 2: OCI Registry-Benutzer konfigurieren

Damit die Umgebung nach Bedarf erstellt werden kann, muss ein OCI-IAM-Benutzer autorisiert sein, Images in der OCI-Registry zu übertragen. Dieser Benutzer stellt das Image der Funktion bereit, die zum Automatisieren der Erfassung von Data Safe-Logs verwendet werden soll, und benötigt daher die richtigen Berechtigungen für die OCI-Registry. Konfigurieren Sie die Zugangsdaten des OCI-IAM-Benutzers für den Zugriff auf die OCI-Registry entsprechend den Anforderungen für die Erstellung der Umgebung.

1. Melden Sie sich bei der OCI-Konsole mit dem Benutzer an, der auf die OCI-Registry zugreift, und klicken Sie auf Mein Profil.

   

2. Klicken Sie im Fenster mit den Benutzerdetails auf Authentifizierungstoken und dann auf Token generieren.

   

3. Geben Sie die Beschreibung für das erstellte Token ein, und klicken Sie auf Token generieren.

   

   Ihr Authentifizierungstoken wird generiert. Beachten Sie das Authentifizierungstoken, da es als Parameter für die Konfiguration des Stacks in OCI Resource Manager verwendet wird.

Hinweis: Der Benutzer, der zum Erstellen und Konsumieren der OCI-Registry verwendet wird, muss nicht unbedingt derselbe Benutzer sein, der die Infrastruktur über OCI Resource Manager bereitstellt. Während des Deployments werden die Benutzernamen- und Authentifizierungstokeninformationen des Benutzers angefordert, der auf die Registry zugreift.

Voraussetzung 3: OCI-IAM-Policys für den Zugriff auf die OCI-Registry erstellen

Damit der OCI-IAM-Benutzer Zugriff auf den OCI Registry-Service hat, muss der Benutzer Repositorys in dem Compartment verwalten können, in dem die Umgebung erstellt wird, oder die Policy mit den geringsten Berechtigungen verwenden, muss der Benutzer die Repositorys des Compartments aktualisieren können. Wenden Sie daher eine der beiden folgenden Optionen an, um den Zugriff auf die OCI-Registry zu konfigurieren.

• Policy für Repositorys verwalten

  Allow group <group_name> to manage repos in compartment <compartment_name>
  

• Policy für Repositorys aktualisieren

  Allow group <group_name> to manage repos in compartment <compartment_name> where ANY {request.permission = 'REPOSITORY_READ', request.permission = 'REPOSITORY_UPDATE', request.permission = 'REPOSITORY_CREATE'}
  

  • REPOSITORY_READ: Benutzerberechtigung zum Lesen des Repositorys, d.h. zum Abrufen von Images.

  • REPOSITORY_UPDATE: Benutzerberechtigung zum Senden von Images an das Repository, d.h. zum Übertragen von Images.

Voraussetzung 4: OCI-IAM-Policys für das Architektur-Deployment

Gemäß der verfügbaren Dokumentation muss der Benutzer, der diese Infrastruktur bereitstellen wird, über Verwaltungsberechtigungen für die folgenden OCI-Services verfügen: IAM-Policys, dynamische Gruppen, VCNs, Servicegateways, Routentabellen, Sicherheitslisten, Subnetze, Funktionen, Monitoringalarme und Benachrichtigungen.

Ansatz 1: Deployment über Terraform mit OCI Resource Manager

Um die Referenzarchitektur für die skalierbare Erfassung von Datenbankauditlogs über Oracle Data Safe zu implementieren, führen Sie das im Repository fn-datasafe-dbaudit-to-OCI-logging GitHub verfügbare Terraform mit einem OCI-IAM-Benutzer mit Zugriff auf die OCI-Konsole aus und dessen Gruppe die erforderlichen Berechtigungen wie zuvor informiert hat. Entsprechend der im Repository verfügbaren Dokumentation kann die Lösung über OCI Resource Manager oder die Terraform-CLI installiert werden.

Hinweis: Um das Deployment der Umgebung zu vereinfachen, wird empfohlen, das Deployment über OCI Resource Manager auszuführen.

1. Um die Referenzarchitektur für die Logerfassung automatisch zu installieren und zu konfigurieren, melden Sie sich bei der OCI-Konsole des Mandanten mit dem Benutzer an, der für das Deployment verwendet wird, und wählen Sie die Region aus, in der Sie die Umgebung installieren.

   

   Rufen Sie in einer anderen Registerkarte die Repository-Seite unter GitHub auf, die hier verfügbar ist: fn-datasafe-dbaudit-to-oci-logging.

   

2. Wenn die OCI-Konsole des Mandanten und die Repository-Seite GitHub geöffnet sind, scrollen Sie auf der Repository-Seite nach unten zum Abschnitt Mit OCI Resource Manager bereitstellen. Um mit der Installation zu beginnen, klicken Sie auf In Oracle Cloud bereitstellen.

   

3. Eine OCI Resource Manager-Seite wird in der OCI-Konsole geöffnet. Geben Sie die folgenden Informationen ein, und klicken Sie auf Weiter.

   • Oracle-Nutzungsbedingungen: Lesen und aktivieren Sie das Kontrollkästchen Ich habe die Oracle-Nutzungsbedingungen.
   • Name: Optional Geben Sie einen Namen für die Umgebungsinstallation an.
   • Erstellen in Compartment: Wählen Sie das Compartment aus, in dem die Umgebung erstellt wird.

   

4. Geben Sie im nächsten Fenster die folgenden Informationen ein, und klicken Sie auf Weiter.

   • OCIR-Benutzername: Geben Sie den Benutzernamen des Benutzers ein, der für das Deployment der Infrastruktur verwendet wird (Benutzer muss über die Berechtigung zum Erstellen und Hochladen eines Images in das Repository verfügen).
   • OCIR-Benutzerkennwort: Geben Sie das zuvor in den Voraussetzungen erstellte Authentifizierungstoken ein.
   • Deployment-Modus: Geben Sie an, wie die Umgebung erstellt wird. In diesem Fall verwenden wir test.
   • VCN-CIDR: Geben Sie das CIDR des VCN ein, das für das Deployment der Umgebung erstellt werden soll. Dieses Element ist optional und kann bei Bedarf geändert werden.

   

5. Klicken Sie auf der nächsten Seite auf Erstellen, um die Architektur zu erstellen, und warten Sie, bis OCI Resource Manager die Umgebung erstellt hat.

   

Ansatz 2: Deployment über Terraform mit der OCI-Konsole

Um ein manuelles Deployment über die OCI-Konsole auszuführen, müssen Sie eine bestimmte und geordnete Schritt-für-Schritt-Anleitung befolgen. Wählen Sie zunächst ein Compartment aus, in dem die Umgebung erstellt wird. Erstellen Sie in diesem Compartment ein neues VCN (oder verwenden Sie ein vorhandenes VCN).

Aufgabe 1: VCN und Subnetze erstellen

1. Um das VCN der Umgebung zu erstellen, navigieren Sie zur OCI-Konsole, und navigieren Sie zu Networking und Virtuelle Cloud-Netzwerke.

   

2. Wählen Sie das Compartment aus, in dem das VCN erstellt wird, und klicken Sie dann auf VCN-Assistenten starten.

   

3. Wählen Sie auf der Seite des Assistenten die Option VCN mit Internetverbindung erstellen aus, und klicken Sie auf VCN-Assistenten starten.

   

4. Geben Sie auf der Seite VCN mit Internetverbindung erstellen die folgenden Informationen ein, um das VCN zu erstellen.

   • VCN-Name: Geben Sie den Namen des zu erstellenden VCN ein.
   • Compartment: Wählen Sie das Compartment aus, in dem das VCN erstellt wird.
   • VCN-IPv4 CIDR-Block: Geben Sie das gewünschte CIDR für das VCN ein, oder verwenden Sie das CIDR, das bereits vom Tool ausgefüllt wurde.
   • IPv4 CIDR-Block für öffentliches Subnetz: Geben Sie das gewünschte CIDR für das öffentliche Subnetz ein, oder verwenden Sie das bereits automatisch ausgefüllte CIDR.
   • IPv4 CIDR-Block für privates Subnetz: Geben Sie das gewünschte CIDR für das private Subnetz ein, oder verwenden Sie das bereits automatisch ausgefüllte CIDR.

   

   

5. Klicken Sie auf Weiter, und warten Sie, bis das VCN erstellt wird.

   

Aufgabe 2: OCI Registry Repository erstellen

Dieser Service hostet das Image der Python-Funktion, die Data Safe-Auditlogs erfasst.

1. Navigieren Sie zur OCI-Konsole, und navigieren Sie zu Entwicklerservices und Container Registry.

   

2. Wählen Sie auf der Seite "Container Registry-Services" das Compartment aus, in dem die Container Registry erstellt wird, und klicken Sie auf Repository erstellen.

   

3. Geben Sie die erforderlichen Informationen zum Erstellen des Repositorys ein, und klicken Sie auf Erstellen.

   • Erstellen in Compartment: Wählen Sie das Compartment aus, in dem das Repository erstellt wird.
   • Zugriff: Wählen Sie private aus, sodass es sich um ein privates Repository handelt (auf das über das Internet nicht zugegriffen werden kann).
   • Repository-Name: Geben Sie den Namen ein, der dem Repository zugewiesen werden soll.

   

   Nach Abschluss der Erstellung ist das Repository verfügbar, um die zugehörigen Details anzuzeigen.

   

   Hinweis: Notieren Sie sich den für das Repository erstellten Namespace. Dieser Namespace wird in einer späteren Aufgabe verwendet.

Aufgabe 3: OCI-Bucket zur Steuerung der Signalisierung erstellen

Wie in der Topologie der vorgeschlagenen Umgebung dargestellt, muss ein OCI-Bucket erstellt werden, um eine Textdatei zu empfangen, mit der die Ausführung des Funktionscodes gesteuert wird. Der Name dieses Buckets wird in der Konfiguration der OCI-Funktionen sowie in den Policys verwendet, die für die Umgebung konfiguriert werden sollen.

1. Um den Bucket zu erstellen, gehen Sie zur OCI-Konsole, und klicken Sie auf Speicher, Bucket.

   

2. Wählen Sie das Compartment aus, und klicken Sie auf Bucket erstellen.

   

3. Geben Sie den Zeitraumnamen ein, und klicken Sie auf Erstellen.

   

   Hinweis: Notieren Sie sich den Namen des Buckets. Dieser wird beim Erstellen von Policys und Konfigurieren der OCI-Funktionen verwendet.

Aufgabe 4: Benutzerdefiniertes Log erstellen

Das Ziel der von Oracle Data Safe erfassten Logs muss eine OCI Logging-Gruppe sein, die ein benutzerdefiniertes Log enthält, das speziell für den Empfang der Auditdatensätze erstellt wurde, die aus den überwachten Datenbanken erfasst wurden.

1. Gehen Sie zur OCI-Konsole, navigieren Sie zu Observability and Management, und klicken Sie auf Loggruppen.

   

2. Eine Loggruppe wird erstellt, um das benutzerdefinierte Log zu speichern, das von OCI Functions verwendet wird. Wählen Sie das Compartment aus, in dem die Loggruppe erstellt wird, und klicken Sie auf Loggruppe erstellen.

   

3. Geben Sie die folgenden Informationen ein, und klicken Sie auf Erstellen, um die Loggruppe zu erstellen.

   • Name: Geben Sie einen Namen für die Loggruppe ein.
   • Beschreibung: Geben Sie eine Beschreibung für die Loggruppe ein.

   

4. Klicken Sie auf Logs und dann auf Benutzerdefiniertes Log erstellen.

   

5. Geben Sie die folgenden Informationen ein, um das benutzerdefinierte Log zu erstellen, das die Auditlogs von den von Oracle Data Safe überwachten Datenbanken empfängt, und klicken Sie auf Benutzerdefiniertes Log erstellen.

   • Name benutzerdefiniertes Log: Geben Sie einen Namen für das benutzerdefinierte Log ein.
   • Compartment: Wählen Sie das Compartment aus, in dem das benutzerdefinierte Log erstellt wird.
   • Loggruppe: Wählen Sie die gerade im obigen Schritt erstellte Loggruppe aus.

   

   Hinweis: Die Agent-Konfiguration wird nicht erstellt.

6. Die Erstellungsseite für benutzerdefinierte Logs ist ein Workflow, mit dem auch die Agent-Konfiguration erstellt werden kann. In diesem Fall wird die Agent-Konfiguration nicht erstellt. Klicken Sie also auf Abbrechen

   

   Die Loggruppenseite wird erneut geladen und enthält das erstellte benutzerdefinierte Log.

   Hinweis: Beachten Sie die Oracle Cloud-ID (OCID) des benutzerdefinierten Logs, das bei der Konfiguration der OCI-Funktionen erstellt wird.

   

Aufgabe 5: OCI-Funktionen erstellen

Nach der Erstellung des Repositorys, in dem das OCI Functions-Image gespeichert werden soll, müssen die OCI Functions erstellt werden, um die Data Safe-Auditlogs zu erfassen.

1. Gehen Sie zur OCI-Konsole, navigieren Sie zu Entwicklerservices und Anwendungen.

   

2. Wählen Sie das Compartment aus, in dem die Anwendung erstellt wird, und klicken Sie auf Anwendung erstellen.

   

3. Geben Sie die folgenden Informationen ein, um die Anwendung zu erstellen, und klicken Sie auf Erstellen.

   • Name: Geben Sie einen Namen für die Anwendung ein.
   • VCN in < Compartment >: Wählen Sie das VCN aus, in dem die Anwendung erstellt wird.
   • Subnetze in < Compartment >: Wählen Sie das Subnetz aus, in dem die Anwendung erstellt wird.
   • Ausprägung: Wählen Sie die Architektur aus, in der die Anwendung erstellt wird. In diesem Beispiel verwenden Sie GENERIC_X86.

   

Aufgabe 6: OCI-Funktionen konfigurieren

Nachdem die Anwendung erstellt wurde, wird die Seite automatisch geladen. Auf dieser Seite wird eine Schritt-für-Schritt-Anleitung über OCI Cloud Shell oder ein lokales Setup empfohlen, damit OCI Functions erstellt werden kann. In diesem Tutorial werden die vorgeschlagenen Schritt-für-Schritt-Anweisungen über OCI Cloud Shell verwendet.

1. Wählen Sie das Cloud Shell-Setup aus.

   

   Hinweis: Das im Cloud Shell-Setup angegebene Beispiel bezieht sich auf einfachen Java-Code. Da wir in dieser Übung Python-Code verwenden werden, ist unten eine Referenz für das Hochfahren von OCI Functions in Python.

2. Klicken Sie auf Cloud Shell, und geben Sie die Details entsprechend der gewünschten Konfiguration für Ihre OCI-Funktionen ein.

   

   fn list context
   
   fn use context <REGION>
   
   fn update context oracle.compartment-id <OCID_Compartment>
   
   fn update context registry <REPO_URL>/<namespace>/[repo-name-prefix]
   

   • < REGION >: Geben Sie die Region ein, in der die OCI-Funktionen erstellt werden. In diesem Fall verwenden wir sa-saopaulo-1. Die Liste der OCI-Regionen finden Sie hier: Regionen und Availability-Domains.
   • < OCID-Compartment >: Geben Sie die OCID des Compartments ein, in dem die Funktion erstellt wird.
   • < REPO_URL >/< Namespace >/[ repo-name-prefix]: Die Repository-URL besteht aus dem Schlüssel der Region, in der das Repository erstellt wurde, und dem Namen dieses erstellten Repositorys. Daher lautet die vollständige URL für dieses Tutorial:
     • REPO_URL: Zeichenfolge aus < region-key >.ocir.io. Wir verwenden die Region sa-saopaulo-1. Daher lautet die URL: gru.ocir.io (der Regionsschlüssel für Ihre Region finden Sie hier: Regionen und Availability-Domains).
     • Namespace: axyxxqi24xxx (Abschnitt in Aufgabe 2.4).
     • repo-name-prefix: Name des erstellten Repositorys.

Aufgabe 7: Authentifizierungstoken für die Anmeldung bei OCI Registry erstellen

Sie müssen ein Authentifizierungstoken erstellen, damit sich der Benutzer, der diese Prozedur ausgeführt hat, bei der erstellten OCI Registry anmelden kann. Weitere Informationen finden Sie unter Authentifizierungstoken abrufen.

Aufgabe 8: OCI-Funktionen erstellen und bereitstellen

1. Nachdem das Authentifizierungstoken erstellt wurde, müssen Sie sich über den Docker-Befehl beim Repository anmelden. Weitere Informationen zur Anmeldung finden Sie unter Bei Oracle Cloud Infrastructure Registry anmelden.

   docker login -u '<namespace>/<username>' <repo-domain-url>
   

2. Nachdem Sie sich beim Repository angemeldet haben, können Sie die Funktion initialisieren und den Python-Code für das Deployment bearbeiten. Führen Sie die folgenden Befehle aus.

   fn list apps
   
   fn init --runtime python fndatasafelogs
   
   cd fndatasafelogs
   
      >> Edit function.py to insert the function code
      >> Edit requirements.txt to insert requirements as needed for the role
      >> Edit function.yaml to make it as needed
   
   fn -v deploy --app <app_name>
   

   Hinweis: In einigen Schritten müssen Sie die Dateien bearbeiten. Die Inhalte der Dateien function.py, requirements.txt und function.yaml finden Sie hier.

Aufgabe 9: OCI Functions-Betriebsparameter konfigurieren

Nachdem die OCI-Funktionen erstellt wurden, müssen sie so konfiguriert werden, dass sie Data Safe-Logs korrekt erfassen.

1. Navigieren Sie zur OCI-Konsole, und navigieren Sie zu Entwicklerservices und Anwendungen.

   

2. Wählen Sie das Compartment aus, in dem die Anwendung für dieses Projekt erstellt wurde, und klicken Sie auf die Anwendung.

   

3. Klicken Sie in der Funktion auf die Funktion, die zur Konfiguration erstellt wurde.

   

4. Klicken Sie auf Konfiguration, und geben Sie die folgenden Informationen ein, damit die Funktion funktioniert.

   • ociOSTrackerBucketName: Geben Sie den Namen des Kontroll-Buckets ein, der in Aufgabe 3.3 erstellt wurde.
   • ociDataSafeCompartmentOCID: Geben Sie die OCID des verwendeten OCI-Mandanten (Root-Mandanten) ein.
   • ociLoggingLogOCID: Geben Sie die OCID des benutzerdefinierten Logs ein, das in Aufgabe 4.6 erstellt wurde.

   

   Schließen Sie jetzt die Policys ab, um die Oracle Data Safe-Logerfassungsfunktion zu konfigurieren.

Aufgabe 10: Dynamische Gruppe erstellen

Erstellen Sie eine dynamische Gruppe, um OCI Functions Zugriff auf die Services zu erteilen, die zum Erfassen von Data Safe-Logs erforderlich sind.

1. Gehen Sie in der OCI-Konsole zu Identität, Domains, <Your_Domain>, Dynamische Gruppen, und klicken Sie auf Dynamische Gruppe erstellen.

   

   Hinweis: In diesem Beispiel wird der Standard der Identitätsdomain verwendet. Prüfen Sie die in Ihrer Umgebung verwendete Identitätsdomain, und greifen Sie ordnungsgemäß darauf zu.

2. Geben Sie die folgenden Informationen ein, und klicken Sie auf Neue dynamische Gruppe.

   • Name: Geben Sie den Namen der dynamischen Gruppe ein.

   • Beschreibung: Geben Sie eine Beschreibung für die dynamische Gruppe ein.

   • Regel 1: Geben Sie die Regel für den dynamischen Gruppenabgleich ein, mit der die erstellten OCI-Funktionen identifiziert werden.

     Die verwendete Vergleichsregel lautet wie folgt: ALL {resource.type = 'fnfunc', resource.compartment.id = '<Compartment_ID>'}

     • Compartment_ID: Geben Sie die OCID des Compartments ein, in dem die Funktion erstellt wurde.

   

   Hinweis: Notieren Sie sich den Namen der erstellten dynamischen Gruppe. Er wird beim Erstellen von OCI-IAM-Policys verwendet.

Aufgabe 11: OCI-IAM-Policys für den Betrieb der OCI-Funktionen erstellen

Damit die Funktion, die Data Safe-Logs erfasst, ordnungsgemäß funktioniert, müssen alle erforderlichen Zugriffsberechtigungen erstellt werden.

1. Gehen Sie in der OCI-Konsole zu Identität und Sicherheit und Policys.

   

   Die Erstellung von Policys muss sowohl auf Compartment-Ebene, auf der die Umgebung erstellt wird, als auch auf Mandantenebene erfolgen. Auf Mandantenebene muss eine einzelne Policy erstellt werden. Mit dieser Policy kann die erstellte Funktion alle Oracle Data Safe-Ereignisse überall lesen.

2. Um Policys im Compartment zu erstellen, klicken Sie auf Policy erstellen.

   

3. Geben Sie die folgenden Informationen ein, und klicken Sie auf Erstellen.

   

   • Name: Geben Sie den Namen der Policy ein.

   • Beschreibung: Geben Sie die Beschreibung der Policy ein.

   • Compartment: Wählen Sie das Compartment aus, in dem die Policy erstellt wird. Diese erste Policy kann in dem Compartment erstellt werden, in dem die Umgebung erstellt wurde.

   • Policy Builder: Klicken Sie auf den Schlüssel, um den erweiterten Policy-Füllmodus zu aktivieren.

   • Policys: Geben Sie die Policys im Textformat ein.

     Für die Funktion der Umgebung sind folgende Richtlinien erforderlich:

     Allow dynamic-group 'Default'/'<Dynamic_Group_Name>' to manage buckets in compartment <Compartment_Name> where target.bucket.name='<Bucket_Name>'
     
     Allow dynamic-group 'Default'/'<Dynamic_Group_Name>' to manage objects in compartment <Compartment_Name> where target.bucket.name='<Bucket_Name>'
     
     Allow dynamic-group 'Default'/'<Dynamic_Group_Name>' to use log-content in compartment <Compartment_Name>
     
     Allow dynamic-group 'Default'/'<Dynamic_Group_Name>' to manage objects in compartment <Compartment_Name>
     
     Allow dynamic-group 'Default'/'<Dynamic_Group_Name>' to read objectstorage-namespaces in compartment <Compartment_Name>
     
     Allow dynamic-group 'Default'/'<Dynamic_Group_Name>' to read buckets in compartment <Compartment_Name>
     

   • Auf Mandantenebene muss nur die Policy erstellt werden, mit der die Funktion Data Safe-Ereignisse lesen kann.

     Allow dynamic-group 'Default'/'<Dynamic_Group_Name>' to read data-safe-audit-events in tenancy
     

     • Dynamic_Group_Name: Geben Sie den Namen der dynamischen Gruppe ein, die für die OCI-Funktionen erstellt wurde.
     • Compartment_Name: Geben Sie den Namen des Compartments ein, in dem die Umgebung für diese Prozedur erstellt wurde.
     • Bucket_Name: Geben Sie den Namen des erstellten OCI-Buckets ein.

   Hinweis: Diese Policys und die gesamte Umgebung für diese Prozedur wurden in der Standardidentitätsdomain der Umgebung erstellt. Weitere Informationen zu Identity Domains finden Sie unter Identitätsdomain.

   Nachdem die Policys erstellt wurden, kann die Funktion ausgeführt werden, sodass ihr Namespace identifiziert wird. Dieser Namespace wird zum Erstellen eines Alarms in OCI Monitoring verwendet.

4. Um die Funktion auszuführen, öffnen Sie die Cloud Shell, und führen Sie die folgenden Befehle aus.

   fn list apps
   

   Kopieren Sie den Namen der App, die für diese Übung erstellt wurde, und führen Sie den folgenden Befehl aus.

   fn invoke <app_name> <function_name>
   

   

   Hinweis: Prüfen Sie, ob der Ausführungsstatus OK lautet. Dies zeigt, dass die Funktion in der Umgebung perfekt ausgeführt werden kann.

Nachdem die Funktion betriebsbereit ist, erstellen Sie das OCI Notifications-Thema und den OCI Monitoring-Alarm, um die Konfiguration abzuschließen.

Aufgabe 12: OCI-Benachrichtigungs-Thema erstellen

Nachdem OCI Functions bereitgestellt wurde, kann der OCI Notifications-Service so konfiguriert werden, dass er die Ausführung des Python-Codes aufruft, der wiederkehrende Data Safe-Logs erfasst.

1. Gehen Sie in der OCI-Konsole zu Entwicklerservices und Benachrichtigungen.

   

2. Klicken Sie auf Thema erstellen, um das Benachrichtigungsthema zu erstellen.

   

3. Geben Sie die folgenden Informationen ein, um das Benachrichtigungsthema zu erstellen, und klicken Sie auf Erstellen.

   • Name: Geben Sie einen Namen für das zu erstellende Thema ein.
   • Beschreibung: Optional Geben Sie eine Beschreibung für das Thema ein.

   

4. Sie können die Funktion zum Thema abonnieren. Wenn das Thema durch den zeitlichen Alarm ausgelöst wird, führt das Thema den Python-Code aus, um die Data Safe-Logs zu erfassen. Um das OCI Functions-Abonnement für das Thema zu konfigurieren, klicken Sie auf den Namen des neu erstellten Themas.

   

5. Klicken Sie auf der Seite "Thema" auf Abonnement erstellen, um die Konfiguration auszuführen.

   

6. Geben Sie auf der Konfigurationsseite die folgenden Informationen ein, und klicken Sie auf Erstellen.

   • Protokoll: Wählen Sie Funktion aus.
   • Funktions-Compartment: Wählen Sie das Compartment aus, in dem die OCI Functions erstellt wurde.
   • Oracle Functions-Anwendung: Wählen Sie die in Aufgabe 5 erstellte Anwendung aus.
   • Funktion: Wählen Sie die Funktion aus, die in Aufgabe 6 erstellt wurde.

   

   Das Thema wird mit dem erfolgreichen Funktionsabonnement aktualisiert.

   

Aufgabe 13: Alarm mit OCI Monitoring erstellen

Nachdem das Thema konfiguriert und die Funktion hinzugefügt wurde, muss der Alarm erstellt werden, der für die Auslösung der Benachrichtigung und damit der Funktion verantwortlich ist.

1. Gehen Sie in der OCI-Konsole zu Observability and Management und Alarmdefinitionen.

   

2. Um einen Alarm zu erstellen, klicken Sie auf Alarm erstellen.

   

3. Geben Sie die folgenden Informationen ein, um einen Alarm zu erstellen.

   1. Geben Sie im Feld Alarm definieren die folgenden Informationen ein.

      • Alarmname: Geben Sie den Namen für den Alarm ein.
      • Alarmdringlichkeit: Wählen Sie "Info" für den Alarmdringlichkeit aus.

      

   2. Geben Sie im Feld Metrikbeschreibung die folgenden Informationen ein.

      • Compartment: Wählen Sie das Compartment aus, in dem der Alarm erstellt wird.
      • Metrik-Namespace: oci_faas.
      • Metrikname: FunctionInvocationCount.
      • Intervall: 1 day.
      • Statistik: Count.

      

   3. Geben Sie im Feld Triggerregel die folgenden Informationen ein.

      • Operator: greater then.
      • Wert: 0.
      • Triggerverzögerung in Minuten: 1.

      

   4. Geben Sie im Feld Alarmbenachrichtigungen definieren die folgenden Informationen ein.

      • Zielservice: Notifications.
      • Compartment: Wählen Sie das Compartment aus, in dem das OCI-Benachrichtigungsthema erstellt wurde.
      • Thema: Wählen Sie den Namen des erstellten Themas aus.
      • Wiederholungsbenachrichtigung?: Aktivieren Sie dieses Kontrollkästchen, damit OCI-Benachrichtigungen mehrmals ausgelöst werden können.
      • Benachrichtigungshäufigkeit: 1.
      • Benachrichtigungshäufigkeit: minutes.

      

   5. Wählen Sie Diesen Alarm aktivieren? aus, und klicken Sie auf Alarm speichern.

      

Anschließend kann die Umgebung Data Safe-Logs erfassen. Warten Sie einige Augenblicke, bis die Data Safe-Logs im erstellten benutzerdefinierten Log angezeigt werden.

Verwandte Links

• Erste Schritte mit den Grundlagen von Oracle Data Safe

• Authentifizierungstoken abrufen

• Bei Oracle Cloud Infrastructure Registry anmelden

• Unterstützte Zieldatenbanken

Danksagungen

• Autor - Rodrigo Pace de Barros
• Mitwirkender - Fabrizio Zarri

Weitere Lernressourcen

Lernen Sie andere Übungen auf docs.oracle.com/learn kennen, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube Channel zu. Außerdem können Sie education.oracle.com/learning-explorer besuchen, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Export Oracle Database Audit Logs from Oracle Data Safe to OCI Logging

F92077-01

February 2024

Copyright © 2024, Oracle and/or its affiliates.