Documentación de Oracle Cloud Infrastructure

Activación del acceso a Log Analytics y sus recursos

Configure su alquiler de Oracle Cloud Infrastructure para utilizar Oracle Log Analytics realizando estas tarea de configuración necesarias.

Oracle Log Analytics es un servicio regional. Antes de empezar, seleccione la región que desea utilizar. Puede seguir estos pasos para cada región que desee configurar, pero cada región será una instancia diferente. Seleccione su región mediante el selector de región en la esquina superior derecha de la consola.

Temas:

Para conocer las políticas para realizar tareas específicas y una referencia completa de los requisitos de política en Log Analytics, consulte Catálogo de políticas de IAM para Log Analytics.

Puede utilizar las plantillas disponibles para crear una política para que un grupo de usuarios o un grupo dinámico realicen una operación específica o una recopilación de operaciones. Consulte Plantillas de políticas definidas por Oracle para casos de uso comunes.

Nota

Si ha activado Oracle Log Analytics mediante la interfaz de usuario de vinculación, que está disponible al navegar al servicio por primera vez, algunas políticas ya se han creado. Consulte Políticas creadas durante la incorporación de Log Analytics.

Activación del acceso de Log Analytics a su familia de funciones

Se debe crear la política de IAM de nivel del servicio para permitir que el servicio Oracle Log Analytics funcione. Cree políticas mediante las políticas estándar de IAM de Oracle Cloud Infrastructure y agregue la siguiente sentencia de política.

Sentencia de política Descripción
allow service loganalytics to READ loganalytics-features-family in tenancy

Permita los derechos de acceso READ del servicio Oracle Log Analytics de la familia loganalytics-features-family en todo el arrendamiento.

Algunas de las sentencias de política anteriores se incluyen en las plantillas de política definidas por Oracle disponibles. Puede que desee considerar el uso de la plantilla para su caso de uso. Consulte Plantillas de políticas definidas por Oracle para casos de uso comunes.

Para conocer las políticas para realizar tareas específicas y una referencia completa de los requisitos de política en Log Analytics, consulte Catálogo de políticas de IAM para Log Analytics.

Nota

Si ha activado Oracle Log Analytics mediante la interfaz de usuario de vinculación, que está disponible al navegar al servicio por primera vez, algunas políticas ya se han creado. Consulte Políticas creadas durante la incorporación de Log Analytics.

Identificar los compartimentos de OCI para colocar los recursos de Log Analytics

Utilice compartimentos para crear recursos de Oracle Log Analytics como entidades y grupos de logs. Ajuste el acceso a los compartimentos para mejorar el control de acceso del usuario.

Puede utilizar compartimentos existentes o puede crear otros nuevos específicamente para forOracle Log Analytics. Puede crear varios compartimentos para proporcionar a diferentes juegos de usuarios acceso a diferentes partes del producto o a los datos de log. Para obtener más información sobre cómo funcionan los compartimentos, consulte Gestión de compartimentos en la documentación de Oracle Cloud Infrastructure.

Los recursos de Oracle Log Analytics deben residir en los compartimentos. Al crear cualquiera de los siguientes recursos, debe seleccionar el compartimento en el que se encontrarán:

Recurso Control de acceso mediante políticas de Oracle IAM

Entidades

Puede controlar quién puede activar o desactivar la recopilación de logs para una entidad específica.

Grupos de log

Puede controlar quién puede buscar en los logs después de que se hayan recopilado, enriquecido e indexado.

Políticas de depuración

Puede controlar quién puede parar o cambiar la definición de la política de depuración.

Reglas de recopilación de almacenamiento de objetos

Puede controlar quién puede parar o cambiar la regla de recopilación.

Para conocer las políticas para realizar tareas específicas y una referencia completa de los requisitos de política en Log Analytics, consulte Catálogo de políticas de IAM para Log Analytics.

Nota

Si ha activado Oracle Log Analytics mediante la interfaz de usuario de vinculación, que está disponible al navegar al servicio por primera vez, algunas políticas ya se han creado. Consulte Políticas creadas durante la incorporación de Log Analytics.

Creación de grupos de usuarios para implantar el control de acceso

Cree uno o más grupos de personas para otorgar distintos niveles de acceso a los usuarios en función del modo en que desee utilizar Oracle Log Analytics.

Temas:

Un usuario que sea miembro del grupo Administradores tendrá acceso completo a todas las funciones de Oracle Log Analytics. Consulte Grupo de administradores, política y funciones de administrador.

Grupos de usuarios recomendados

Se recomienda crear grupos de usuarios similares a los siguientes ejemplos para comenzar:

  • Log-Analytics-Users: los usuarios que agregue a este grupo podrán consultar los logs y ver sus distintas configuraciones. Sin embargo, no pueden activar ni desactivar la recopilación de logs, cambiar configuraciones ni suprimir logs.
  • Log-Analytics-Admins: los usuarios que agregue a este grupo tendrán privilegios de los Log-Analytics-Users y, además, podrán crear o editar orígenes, analizadores, entidades y grupos de logs. Estos usuarios también pueden activar o desactivar la recopilación de logs. Sin embargo, no pueden depurar logs.
  • Log-Analytics-SuperAdmins: los usuarios de este grupo tienen los privilegios de Log-Analytics-Admins y también pueden realizar actividades de ciclo de vida, como la vinculación y desvinculación de Oracle Log Analytics y la depuración de logs.

Tenga en cuenta que los grupos anteriores se muestran como ejemplos y se utilizarán para crear políticas de IAM en esta documentación. Sin embargo, puede crear los grupos de usuarios en función de sus necesidades.

Tipos de recursos agregados en Log Analytics

Las dos familias siguientes le permiten otorgar acceso masivo sin tener que asignar permisos individuales a cada grupo de usuarios. En la mayoría de los casos, puede utilizarlos para simplificar la gestión de las políticas de Oracle Log Analytics.

  • loganalytics-features-family para controlar las funciones a las que tiene acceso un usuario y las acciones que puede realizar mediante la consola, la API de REST, la CLI o el SDK.

    loganalytics-features-family y los recursos que contiene solo se pueden definir en el nivel de arrendamiento, no por compartimento.

  • loganalytics-resources-family para controlar el acceso que tiene el usuario para crear, leer, actualizar y suprimir recursos como entidades, grupos de logs, políticas de depuración y reglas de recopilación de almacenamiento de objetos.

    A esta familia y a los recursos que contiene se les puede otorgar acceso para todo el arrendamiento o para un compartimento específico.

Para conocer las políticas para realizar tareas específicas y una referencia completa de los requisitos de política en Log Analytics, consulte Catálogo de políticas de IAM para Log Analytics.

Nota

Si ha activado Oracle Log Analytics mediante la interfaz de usuario de vinculación, que está disponible al navegar al servicio por primera vez, algunas políticas ya se han creado. Consulte Políticas creadas durante la incorporación de Log Analytics.

Otorgamiento de acceso a grupos de usuarios

Cree políticas mediante las directrices estándar de la política de IAM de Oracle Cloud Infrastructure para definir cómo sus grupos de usuario pueden utilizar Oracle Log Analytics.

Nota

Si desea probar rápidamente Oracle Log Analytics sin gestionar grupos y políticas, un usuario que sea miembro del grupo Administradores tendrá acceso completo a todas las funciones. Consulte Grupo de Administradores, Política y Roles de Administrador.

Para configurar la política según los grupos de ejemplo de Creación de grupos de usuario para implantar el control del acceso, aplique los siguientes juegos de políticas.

Para el grupo de usuarios Log-Analytics-SuperAdmins:

Política Descripción

allow group Log-Analytics-SuperAdmins to MANAGE loganalytics-features-family in tenancy

Permite que el grupo Log-Analytics-SuperAdmins tenga los derechos de acceso MANAGE de la familia loganalytics-features-family en el arrendamiento.

Esta política activará los derechos para realizar todas las tareas del servicio, incluida la desvinculación, la supresión de logs, la configuración del archivado, etc.

allow group Log-Analytics-SuperAdmins to MANAGE loganalytics-resources-familY in tenancy

OR

allow group Log-Analytics-SuperAdmins to MANAGE loganalytics-resources-family in compartment myCompartment1

Permite que el grupo Log-Analytics-SuperAdmins tenga los derechos de acceso MANAGE de la familia loganalytics-resources-family en el arrendamiento o en un compartimento específico.

Esta política activará los derechos para realizar cualquier tarea del servicio en cualquier tipo de recurso que pertenezca a la familia loganalytics-resources-family.

allow group Log-Analytics-SuperAdmins to MANAGE management-dashboard-family in tenancy

Permite que el grupo Log-Analytics-SuperAdmins tenga todos los derechos del acceso para la familia de recursos del panel de control del arrendamiento. Puede cambiar de arrendamiento a compartimentos específicos.

allow group Log-Analytics-SuperAdmins to read compartments in tenancy

Permita que el grupo Log-Analytics-SuperAdmins obtenga la lista de compartimentos disponibles para los grupos de logs a los que puede tener acceso el grupo. Esto es necesario para utilizar el explorador de logs.

Para el grupo de usuarios Log-Analytics-Admins:

Política Descripción

allow group Log-Analytics-Admins to use loganalytics-features-family in tenancy

Permite que el grupo Log-Analytics-Admins tenga los derechos de acceso USE de la familia loganalytics-features-family en el arrendamiento.

allow group Log-Analytics-Admins to use loganalytics-resources-family in tenancy

OR

allow group Log-Analytics-Admins to use loganalytics-resources-family in compartment myCompartment1

Permite que el grupo Log-Analytics-Admins tenga derechos de acceso USE de la familia loganalytics-resources-family en el arrendamiento o en un compartimento específico.

Permita a este grupo ver, crear, editar o suprimir los recursos de la familia loganalytics-resources-family.

allow group Log-Analytics-Admins to manage management-dashboard-family in tenancy

OR

allow group Log-Analytics-Admins to manage management-dashboard-family in compartment myCompartment2

Permite que el grupo Log-Analytics-Admins tenga todos los derechos del acceso para la familia de recursos del panel de control del arrendamiento. Puede cambiar de arrendamiento a compartimentos específicos.

allow group Log-Analytics-Admins to read compartments in tenancy

Permita que el grupo Log-Analytics-Admins obtenga la lista de compartimentos disponibles para los grupos de logs a los que puede tener acceso el grupo. Esto es necesario para utilizar el explorador de logs.

Para el grupo de usuarios Log-Analytics-Users:

Política Descripción

allow group Log-Analytics-Users to read loganalytics-features-family in tenancy

Permite que el grupo Log-Analytics-Users tenga los derechos de acceso READ de la familia loganalytics-features-family en el arrendamiento.

allow group Log-Analytics-Users to read loganalytics-resources-family in tenancy

OR

allow group Log-Analytics-Users to read loganalytics-resources-family in compartment myCompartment1

Permite que el grupo Log-Analytics-Users tenga derechos de acceso READ de la familia loganalytics-resources-family en el arrendamiento. Puede cambiar de arrendamiento a compartimentos específicos.

Permita que este grupo vea los detalles de los recursos de la familia loganalytics-resources-family. El usuario no puede crear, editar ni suprimir ninguno de ellos.

allow group Log-Analytics-Users to use management-dashboard-family in tenancy

OR

allow group Log-Analytics-Users to use management-dashboard-family in compartment myCompartment2

Permite que el grupo Log-Analytics-Users tenga derechos de acceso USE para la familia de recursos del panel de control del modo de gestión del arrendamiento. Puede cambiar de arrendamiento a compartimentos específicos.

allow group Log-Analytics-Users to read compartments in tenancy

Permita que el grupo Log-Analytics-Users obtenga la lista de compartimentos disponibles para los grupos de logs a los que puede tener acceso el grupo. Esto es necesario para utilizar el explorador de logs.

Puede agregar sentencias de política específicas de compartimento para cualquier cantidad de compartimentos que desee crear para organizar los recursos, como entidades y grupos de logs. Estos recursos también pueden estar en diferentes compartimentos. No es necesario que todas las instancias de recursos de diferentes tipos estén en el mismo compartimento. Sin embargo, puede que le resulte más fácil gestionar si puede minimizar el número de compartimentos utilizados.

En lugar de utilizar la familia de recursos, también puede especificar una política en el nivel de recursos individual. Por ejemplo:

Política Descripción

allow group DBA to use loganalytics-entity in compartment Databases

Los usuarios del grupo DBA pueden crear, editar o suprimir entidades y activar o desactivar la recopilación de logs para entidades en el compartimento Bases de datos.

allow group DBA to use loganalytics-log-group in compartment Databases

Los usuarios del grupo DBA pueden crear, editar o suprimir grupos de logs y consultar los logs almacenados en el compartimento Bases de datos.

Algunas de las sentencias de política anteriores se incluyen en las plantillas de política definidas por Oracle disponibles. Puede que desee considerar el uso de la plantilla para su caso de uso. Consulte Plantillas de políticas definidas por Oracle para casos de uso comunes.

Para conocer las políticas para realizar tareas específicas y una referencia completa de los requisitos de política en Log Analytics, consulte Catálogo de políticas de IAM para Log Analytics.

Nota

Si ha activado Oracle Log Analytics mediante la interfaz de usuario de vinculación, que está disponible al navegar al servicio por primera vez, algunas políticas ya se han creado. Consulte Políticas creadas durante la incorporación de Log Analytics.

Activar Log Analytics

Después de completar las tareas previas necesarias tales como crear grupos de usuario, crear compartimentos y definir políticas para los grupos de usuario, puede acceder a Oracle Log Analytics y activarlo para su uso.

Para activar Oracle Log Analytics, debe ser miembro del grupo Administradores. Consulte Grupo de administradores, política y funciones de administrador.

  1. Abra el menú de navegación, haga clic en Observación y gestión y, a continuación, haga clic en Log Analytics.

  2. Si es la primera vez que utiliza el servicio en esta región, accederá a una página de vinculación que le proporcionará algunos detalles de alto nivel del servicio y una opción para empezar a utilizar el servicio Oracle Log Analytics. Haga clic en Start Using Log Analytics.

    Se muestra el cuadro de diálogo Activar Log Analytics. Aquí, se crean las políticas mínimas necesarias y el grupo de logs si aún no existen.

  3. Haga clic en Siguiente. La recopilación del log de auditoría de OCI está configurada.

    La casilla de control Incluir _Audit en subcompartimentos está activada por defecto. Puede desactivarlo, si es necesario. Según su preferencia, las políticas se crean y se realizan acciones adecuadas.

    Haga clic en Siguiente.

  4. Una vez finalizada la vinculación, haga clic en Llevarme al explorador de logs.

Ahora puede explorar Oracle Log Analytics.

Nota

Para ver la lista de políticas creadas en el proceso anterior, consulte Políticas creadas durante la incorporación de Log Analytics.