Mejores prácticas

Mejores prácticas para configurar Oracle Log Analytics

• Planificación de grupos de logs:

  En Oracle Log Analytics, los grupos de logs sirven como contenedores lógicos para organizar y almacenar los logs recopilados. Cada grupo de logs reside en un compartimento específico, lo que facilita el control de acceso de los usuarios. Al asignar los permisos adecuados en el nivel de compartimento, puede gestionar los usuarios que tienen acceso a los logs incluidos en los grupos de logs de ese compartimento.

  Consulte Creación de grupos de log para almacenar los logs y Gestión de grupos de log.

  Una planificación cuidadosa de los grupos de logs garantiza:

  • Control de acceso eficaz: asigne a los usuarios y grupos adecuados acceso a datos de log específicos.
  • Escalabilidad: adapta fácilmente la estructura a medida que crece tu organización.
  • Conformidad y seguridad: satisfaga las necesidades normativas mediante el aislamiento adecuado de logs confidenciales.
  • Facilidad de mantenimiento: simplifica las consultas, las alertas y la resolución de problemas.

  Enfoques para organizar grupos de logs: Considere las siguientes estrategias comunes.

  • Por tipo de log: agrupe los logs por su tipo, como logs de acceso, logs de auditoría, logs de seguridad o logs de aplicación.
  • Por entidad o entorno: organice los logs por servidores, aplicaciones, unidades de negocio o entornos (por ejemplo, Producción, Desarrollo, Prueba).
  • Por cliente (para proveedores de servicios): cree grupos de logs independientes para cada cliente a fin de garantizar el aislamiento y el control de acceso personalizado.

  Escenarios de ejemplo:

  • Ejemplo 1: un proveedor de servicios tiene dos compartimentos, Operaciones, que contiene los logs operativos básicos y Contenido protegido, que contiene los logs que necesitan tener acceso restringido porque tienen información confidencial. Cada compartimento puede tener varios grupos de logs. Por ejemplo, el compartimento Operaciones tiene logs de servidor y logs de acceso. El compartimento Contenido protegido tiene logs de auditoría y transacción. Mediante las políticas de OCI IAM, el proveedor de servicios proporciona a los grupos de usuarios Operadores acceso al compartimento Operaciones y a los grupos de usuarios Auditores acceso al compartimento Contenido protegido. Cada grupo de usuarios solo puede ver los logs de los compartimentos a los que tienen acceso.

  • Ejemplo 2: una compañía de software de seguridad tiene cuatro compartimentos, WebAccess, DBA, Autenticación y Punto final con grupos de logs que corresponden a necesidades de negocio específicas. El control de acceso se gestiona en el nivel de compartimento, alineado con los roles organizativos.

  Preguntas de planificación: antes de crear grupos de logs, tenga en cuenta lo siguiente.

  • ¿Qué tipos de logs se recopilarán?
  • ¿Qué equipos o usuarios necesitan acceso a cada grupo de logs?
  • ¿Existen factores normativos o empresariales para aislar determinados logs?
  • ¿La organización tendrá que ampliar o reorganizar el almacenamiento de logs en el futuro?

  Mejores prácticas recomendadas:

  • Interactúe con las partes interesadas: involucre a los equipos de operaciones, seguridad y conformidad al planificar estructuras de grupos de logs.
  • Alinear con políticas de IAM: asegúrese de que los grupos de logs y las estructuras de compartimentos se alineen con las políticas de OCI IAM para optimizar el control de acceso.
  • Evitar agrupación en exceso: evite agrupar todos los logs, ya que esto puede complicar la seguridad y el mantenimiento.
  • Documentar y revisar: documente su estrategia de grupo de logs y revísela con regularidad para asegurarse de que sigue satisfaciendo las necesidades de la organización.

  Consejo: invertir tiempo para planificar la organización del grupo de logs por adelantado optimiza la gestión y la seguridad de los logs, reduciendo la sobrecarga de mantenimiento a largo plazo.

• Uso de etiquetas para la eficiencia:

  Las etiquetas son textos adicionales que puede agregar a una entrada de log. El texto adicional puede proceder de una biblioteca predefinida de etiquetas que indican algunos tipos comunes de firmas en logs, como Authentication Failure, User Logged In, Application Shutdown. Estas cadenas se agregan al campo Label de varios valores.

  Una etiqueta también puede agregar un valor arbitrario en cualquier campo de la entrada de log. Por ejemplo, si una entrada de log contiene un código de estado numérico como 404, puede agregar una cadena de texto como Not Authorized a un campo Status Message.

  El campo de etiqueta o los campos de salida rellenados en una definición de etiqueta se pueden utilizar en las consultas como cualquier otro campo.

  Las etiquetas se definen en el origen de log y se evalúan a medida que se ingieren los datos de log. Las definiciones de etiqueta solo se aplicarán a los nuevos datos de log que se ingieren después de agregar la definición de etiqueta al origen de log. Los datos de log ingeridos históricos no se enriquecerán con las definiciones de etiqueta recién agregadas.

  Al enriquecer los logs en el momento de la ingestión, puede:

  • Aumente la velocidad de las consultas porque ya se han realizado evaluaciones complejas.
  • Simplifique sus consultas para que sean más legibles.

  Considere la siguiente consulta de ejemplo escrita en el explorador de logs:

   'Log Source' = 'FMW WLS Server Access Logs' and
   (URI like '%/services/loans/accountcreateservice%'
     or URI like '%/services/agreements/history%'
     or URI like '%/services/transferservice%'
     or URI like '%/services/update/adjustmentservice%' )

  Esta consulta puede ser muy costosa porque está realizando una búsqueda con comodines para cuatro cadenas. Si se realiza en un rango de tiempo largo, puede agotarse el tiempo de espera. Además, si la consulta se repite con frecuencia, por ejemplo en un cuadro de mandos o una alerta, puede generar muchos recursos de procesamiento.

  Una alternativa es crear cuatro condiciones de etiqueta en el origen de logs de acceso al servidor WLS de FMW de la siguiente manera:

  If URI contains ''services/loans/accountcreateservice' set service=loanaccountcreate
  If URI contains ''/services/agreements/history' set service=agreementhistory
  If URI contains ''/services/transferservice' set service=transferservice
  If URI contains ''/services/update/adjustmentservice' set service=adjustmentservice
  

  A continuación, la consulta se puede reescribir como:

  'Log Source' = 'FMW WLS Server Access Logs' and
  Service in (loanaccountcreate, agreementhistory, transferservice, adjustmentservice)

  Esto es mucho más fácil de leer, entender y también es una consulta de mejor rendimiento.

  También puede crear una definición de etiqueta única si el URI contiene cualquiera de los cuatro patrones anteriores, agregar una etiqueta como Watched-URI y, a continuación, la consulta podría ser:

  'Log Source' = 'FMW WLS Server Access Logs' and
  labels = Watched-URI

  También puede crear reglas de detección para detectar logs entrantes con condiciones específicas en el momento de la ingestión. Consulte Create a Label, Use Labels in Sources, Detect Predefined Events at Ingest Time, Oracle-defined Detection Labels y Filter Logs by Labels.

Mejores Prácticas para Registrar

A continuación, se muestran las mejores prácticas para configurar las aplicaciones y los sistemas o crear el software para emitir logs:

• Registro de registros de hora en UTC: esto ayuda a evitar huecos debido al cambio de horario de ahorro de energía (DST). Los registros de hora se pueden convertir a la hora local al ver los logs en el explorador de logs.