Documentación de Oracle Cloud Infrastructure

Exportación masiva de eventos de log de auditoría

Describe cómo exportar de forma masiva eventos de log de auditoría.

Si realiza su solicitud después del 30 de junio de 2023, utilice el servicio Logging y Service Connector Hub para solicitar una exportación masiva de logs de auditoría. Para obtener más información, consulte Escenario: archivado de logs en Object Storage.

En esta página se describe el proceso anterior de cómo solicitar una exportación masiva de logs de auditoría.

Aspectos destacados

  • Los administradores tienen control total sobre los cubos y pueden proporcionar acceso a otros usuarios con sentencias de política de IAM.

  • Los logs exportados permanecen disponibles indefinidamente.

    Consejo

    Puede gestionar automáticamente el archivado y la supresión de logs con Almacenamiento de objetos. Consulte Uso de gestión de ciclo de vida de objetos.
  • Especifique todas las regiones que desea exportar en la solicitud. Si solo solicita algunas regiones, decida más adelante si desea agregar otras regiones; para ello, deberá realizar otra solicitud.
  • Para desactivar la exportación masiva, póngase en contacto con los Servicios de Soporte Oracle. Los nuevos logs dejarán de agregarse al cubo y los logs de auditoría solo estarán disponibles a través de la consola, según el período de retención que haya definido.

Política de IAM necesaria

Para acceder al cubo al que Oracle exporta los logs de auditoría, debe ser miembro del grupo Administradores. Consulte Política y grupo Administradores

Solicitud de exportación de logs de auditoría

Nota

Si realiza su solicitud después del 30 de junio de 2023, utilice el servicio Logging y Service Connector Hub para solicitar una exportación masiva de logs de auditoría. Para obtener más información, consulte Escenario: archivado de logs en Object Storage.

Para los clientes que hayan utilizado anteriormente este flujo de trabajo, un miembro del grupo Administradores de su arrendamiento debe crear un ticket en My Oracle Support y proporcionar la siguiente información: 

  • Nombre de ticket: Exportar logs de auditoría- <nombre_su_compañía>
  • OCID de arrendamiento
  • Regiones

Por ejemplo:

  • Nombre de ticket: Exportar logs de auditoría- ACME
  • OCID de arrendamiento: ocid1.tenancy.oc1.<ID_único>
  • Regiones: Este de EE. UU. (Ashburn), identificador de región = us-ashburn-1; (Oeste de EE. UU. (Phoenix)), identificador de región = us-phoenix-1
Nota

El ticket de My Oracle Support puede tardar entre 5 y 10 días laborables en completarse y que los logs estén disponibles.

Detalles de cubo y objeto

En esta sección se especifican las convenciones de nomenclatura del cubo y los objetos recibidos.

Formato de nombre de cubo

Los Servicios de Soporte Oracle crean cubos para las exportaciones del log de auditoría utilizando el siguiente formato de nomenclatura: 

oci-logs._audit.<OCID_compartimento>

  • oci-logs identifica que Oracle ha creado este cubo.
  • _audit identifica que el cubo contiene eventos de auditoría.
  • <OCID_compartimento> identifica el compartimento en el que se han generado los eventos de auditoría.

Por ejemplo: 

oci-logs._audit.ocid1compartment.oc1..<unique_ID>
Importante

Si el OCID del compartimento que ha generado el log de auditoría contiene dos puntos, el nombre de su cubo no coincidirá con el OCID. Para crear un cubo, Oracle debe sustituir los dos puntos (:) del OCID por caracteres de punto (.) en el nombre del cubo.

Formato de nombre de objeto

En los objetos se utiliza el siguiente formato de nomenclatura: 

<región>/<dd>/<AAAA-MM-DDTHH:MMZ>[_<Númsec>].log.gz

  • <región> identifica la región en la que se han generado los eventos de auditoría.
  • <dd> identifica el dominio de disponibilidad en el que se han generado los eventos de auditoría.
  • <AAAA-MM-DDTHH:MMZ> identifica la hora de inicio del primer evento de auditoría que se muestra en el objeto.
  • [_<Númsec>] identifica un número de secuencia condicional. Si está, este número significa que el evento se ha producido tarde o que el objeto es demasiado grande para permitir su escritura. Los números de secuencia comienzan en dos. Aplique varios números de secuencia al objeto original en el orden mostrado.

Por ejemplo: 

us-phoenix-1/ad1/2019-03-21T00:00Z.log.gz
us-phoenix-1/ad1/2019-03-21T00:00Z_2.log.gz

Formato de archivo

En los archivos se muestra un único evento de auditoría por línea. Para obtener más información, consulte Contenido de un evento de log de auditoría.

Nota

La auditoría ha introducido un esquema de la versión 2 de los logs de auditoría pero la exportación en bloque solo está disponible para los logs de esquema de la versión 1.