Ingesta de logs desde otros servicios de OCI mediante el conector de servicio
Puede analizar los logs para solucionar incidencias, supervisar el sistema y su rendimiento, así como observar las tareas operativas de las prestaciones de Oracle Cloud Infrastructure mediante la ingesta de las conexiones en Oracle Log Analytics.
Utilice el conector de servicios para identificar su servicio Oracle Cloud Infrastructure como origen de los logs y Oracle Log Analytics como destino. Para obtener información sobre cómo funciona el hub de conector de servicio, consulte Visión general de hub de conector de servicio en la documentación de Oracle Cloud Infrastructure.
Después de crear el conector de servicio, se crea automáticamente una entidad para procesar los logs. Para garantizar una recopilación de logs adecuada, no se debe suprimir la entidad.
En el caso de los logs de Oracle Operator Access Control, la entidad no se crea automáticamente. Para crear una entidad, consulte Creación de una entidad para representar el recurso que emite logs.
Temas
Importante: Oracle recomienda utilizar el flujo de trabajo de ingesta de datos disponible en la consola de Log Analytics para ingerir rápidamente logs de otros servicios de OCI. Vaya a Inicio o Explorador de logs de Log Analytics, haga clic en Comprobación y, a continuación, en Agregar datos.
- Para todos los tipos de logs de los servicios de OCI, excepto Logs de auditoría de OCI y Logs de auditoría de IDCS, amplíe la sección Supervisar recursos de OCI y haga clic en Configurar recopilación de logs para recursos de OCI.
- En el caso de los logs de auditoría de OCI o los logs de auditoría de IDCS, amplíe la sección Seguridad y conformidad y haga clic en los logs que desee. En este flujo de trabajo, todos los recursos necesarios, como políticas, grupo de logs y conector de servicio, se crean automáticamente.
Siga los pasos intuitivos del flujo de trabajo para comenzar a ingerir logs. Como requisito previo, asegúrese de tener los permisos necesarios para completar los pasos. Para obtener un recorrido rápido por los pasos, consulte Video: Cómo ingerir rápidamente logs en Log Analytics desde otros servicios de OCI en Oracle Cloud Observability and Management Platform.
También puede configurar manualmente la recopilación de logs realizando los siguientes pasos:
Información adicional
-
Lista de orígenes definidos por Oracle para recopilar logs: para obtener la lista de orígenes definidos por Oracle para recopilar logs de los servicios de Oracle Cloud Infrastructure, consulte Orígenes definidos por el Oracle y busque orígenes con el título OCI...
-
Tipos de logs de servicio que puede recopilar: para los tipos de logs que puede recopilar de los servicios de Oracle Cloud Infrastructure, los analizadores, el contenido de log de ejemplo, los campos y la ruta de acceso de JSON, consulte Detalles del analizador de OCI.
-
Logs de filtro recopilados mediante el conector de servicio: el OCID del conector de servicio se asigna al campo
Log Origin. Para ver los registros que fluyen de ese conector a Oracle Log Analytics, filtre los registros por el campoLog Origin. Consulte Filtrado de logs por atributos y campos anclados.
Permitir recopilación de logs desde el servicio OCI Logging
En función del tipo de logs de servicio de cuya ingesta desee realizar, debe crear políticas para permitir que Oracle Log Analytics obtenga la información sobre los recursos y cree una entidad para cada recurso.
Después de crear la política, la entidad que se crea se asociará automáticamente a todos los logs recopilados de ese recurso. Si la política no se crea, se sigue realizando la ingesta de los logs, pero no se crea la entidad.
Los siguientes permisos son para cargar logs en Oracle Log Analytics desde el conector de servicio. Se le pedirá que agregue estas sentencias de política al crear el conector de servicio mediante la consola de OCI. También puede crear manualmente la política que incluye las siguientes sentencias de política:
allow any-user to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in compartment id <Log_Group_Compartment_OCID> where all {request.principal.type = 'serviceconnector', target.loganalytics-log-group.id = '<Log_Group_OCID>', request.principal.compartment.id = '<Service_Connector_Compartment_OCID>'}
allow group <userGroup> to MANAGE serviceconnectors in tenancy
allow group <userGroup> to READ logging-family in tenancyEn las declaraciones de política anteriores,
-
Log_Group_Compartment_OCID: OCID de compartimento del grupo de log en Oracle Log Analytics donde se deben almacenar los logs. -
Log_Group_OCID: OCID del grupo de log en Oracle Log Analytics donde se deben almacenar los logs. -
Service_Connector_Compartment_OCID: OCID de compartimento del hub del conector de servicio.
Si ha activado Oracle Log Analytics mediante la interfaz de usuario de vinculación, que está disponible al navegar al servicio por primera vez, algunas políticas ya se han creado. Consulte Políticas creadas durante la incorporación de Log Analytics.
Política para cada tipo de logs de servicios
Oracle Log Analytics crea una entidad que representa el recurso de OCI subyacente cuando se reciben nuevos logs a través del conector de servicio. Para obtener la información necesaria del recurso de OCI, debe proporcionar a Oracle Log Analytics un acceso mínimo de read al recurso de OCI. Por ejemplo, para leer información sobre un cubo de Object Storage, puede escribir una de las siguientes políticas:
Sentencia de política con el READ PRIVILEGE del recurso de OCI:
allow resource loganalyticsvrp LogAnalyticsVirtualResource to {BUCKET_READ} in compartment <specify_compartment>OR
Sentencia de política con el verbo de lectura para OCI RESOURCE:
allow resource loganalyticsvrp LogAnalyticsVirtualResource to read buckets in compartment <specify_compartment>Las sentencias de política anteriores restringen el acceso read a un compartimento. Para ampliar el acceso a todo el arrendamiento, puede cambiar la sentencia de política según corresponda.
Los siguientes recursos de OCI están soportados en Oracle Log Analytics para la recopilación de logs a través del conector de servicio. Puede crear la política mediante el verbo de lectura para el recurso de OCI o utilizar el privilegio de lectura para el recurso, como se ilustra anteriormente.
| Descripción de recurso de OCI | Recurso de OCI | Privilegio de lectura |
|---|---|---|
| Instancia de Analytics Cloud | analytics-instances |
ANALYTICS_INSTANCE_READ |
| Gateway de API | api-gateways |
API_GATEWAY_READ |
| Dominio de APM | apm-domains |
APM_DOMAIN_READ |
| Motor de contenedor para Kubernetes | clusters |
CLUSTER_READ |
| Flujo de datos (aplicación) | dataflow-application |
DATAFLOW_APPLICATION_READ |
| Espacio de trabajo de Data Integration | dis-workspaces |
DIS_WORKSPACE_READ |
| Jobs de Data Science | data-science-jobs |
DATA_SCIENCE_JOB_READ |
| Despliegues de modelos de Data Science | data-science-model-deployments |
DATA_SCIENCE_MODEL_DEPLOYMENT_READ |
| Pipeline de creación de DevOps | devops-build-pipeline |
DEVOPS_BUILD_PIPELINE_READ |
| DevOps Etapa de pipeline de compilación | devops-build-pipeline-stage |
DEVOPS_BUILD_PIPELINE_STAGE_READ |
| Ejecución de creación de DevOps | devops-build-run |
DEVOPS_BUILD_RUN_READ |
| Despliegue de DevOps | devops-deployment |
DEVOPS_DEPLOY_DEPLOYMENT_READ |
| Pipeline de despliegue DevOps | devops-deploy-pipeline |
DEVOPS_DEPLOY_PIPELINE_READ |
| Etapa de despliegue DevOps | devops-deploy-stage |
DEVOPS_DEPLOY_STAGE_READ |
| Servicio de entrega de correo electrónico | approved-senders |
APPROVED_SENDER_READ |
| Servicio de eventos | cloudevents-rules |
EVENTRULE_READ |
| Funciones (aplicación FN) | fn-app |
FN_APP_READ |
| Funciones (función FN) | fn-function |
FN_FUNCTION_READ |
| Despliegue de GoldenGate | goldengate-deployments |
GOLDENGATE_DEPLOYMENT_READ |
| Instancia | instances |
INSTANCE_READ |
| Túnel de IPSec | ipsec-connections |
IPSEC_CONNECTION_READ |
| Equilibrador de carga | load-balancers |
LOAD_BALANCER_READ |
| Flujo de trabajo de medios | media-workflow |
MEDIA_WORKFLOW_READ |
| Trabajo de flujo de trabajo de medios | media-workflow-job |
MEDIA_WORKFLOW_JOB_READ |
| Firewall de red | network-firewall |
NETWORK_FIREWALL_READ |
| Almacenamiento de objetos (cubo) | buckets |
BUCKET_READ |
| OCI Database with PostgreSQL | postgres-db-systems |
POSTGRES_DB_SYSTEM_READ |
| Instancia de OIC | integration-instance |
INTEGRATION_INSTANCE_READ |
| Control de operador | operator-control-family |
- |
| Conector de servicio | serviceconnectors |
SERVICE_CONNECTOR_READ |
| VCN: VNIC | vnics, vcns, subnets |
VNIC_READ, VCN_READ, SUBNET_READ |
| Firewall de aplicación web | web-app-firewall |
WEB_APP_FIREWALL_READ |
Si ha activado Oracle Log Analytics mediante la interfaz de usuario de vinculación, que está disponible al navegar al servicio por primera vez, algunas políticas ya se han creado. Consulte Políticas creadas durante la incorporación de Log Analytics.
Configuración del conector de servicio para realizar la ingesta de logs
Antes de configurar el conector de servicio para realizar la ingesta de logs, asegúrese de que el compartimento y el grupo de logs estén identificados para los logs cuya ingesta desea realizar.
En el siguiente ejemplo, los pasos muestran cómo recopilar logs del servicio de VCN del servicio Logging de Oracle Cloud Infrastructure:
-
Este es un paso sugerente para mostrar cómo activar logs en el servicio Logging de Oracle Cloud Infrastructure.
Vaya al servicio de Oracle Cloud Infrastructure Logging y vaya a Logs.
Haga clic en Activar log de recursos para activar los logs del servicio de VCN. Se abre el cuadro de diálogo.
- Seleccione el compartimento de recursos.
- Seleccione el servicio, por ejemplo,
Virtual Cloud Network (subnets). - Seleccione el recurso, por ejemplo, el recurso VCN.
- En Configurar log, seleccione la categoría de log, por ejemplo,
Flow Logs, y el nombre de log. - En Ubicación de log, seleccione el compartimento y la agrupación de logs desde los que Oracle Log Analytics hará referencia a los logs.
Haga clic en Activar log.
-
Configure el conector a servicio especificando el servicio de origen de los logs y el destino como Oracle Log Analytics. Puede configurarlo desde el servicio de origen que se ha integrado con el hub de conector de servicio de Oracle Cloud Infrastructure, por ejemplo, el servicio Oracle Cloud Infrastructure Logging, o directamente desde el hub de conector de servicio de Oracle Cloud Infrastructure.
Vaya al servicio de Oracle Cloud Infrastructure Logging, vaya a Conectores de servicio y haga clic en Crear conector.
También puedes ir al servicio de Oracle Cloud Infrastructure Service Connector Hub y hacer clic en Crear conector de servicios.
Se abre la página Crear conector de servicio.
- Introduzca un nombre para el conector y proporcione una descripción.
- Seleccione el compartimento de recursos en el que se debe crear el recurso de conector.
- En Configurar conector de servicio, especifique
Loggingcomo servicio Origen yLogging Analyticscomo servicio Destino. - En Configurar conexión de origen, proporcione los detalles de los logs que se van a recopilar del servicio, por ejemplo, los logs del servicio de VCN.
Seleccione el nombre del compartimento, el grupo de logs al que pertenecen los logs y el nombre de los logs que ha configurado en el paso 1.
Puede configurar el mismo conector de servicio para recopilar más logs. Haga clic en Otro log y repita el paso 2-d.
De manera opcional, puede crear filtros en Configurar tarea.
Haga clic en Crear conector.
Una vez creado el conector de servicio, puede verificar que los logs seleccionados estén disponibles en Oracle Log Analytics.
Permitir recopilación de logs entre arrendamientos desde el servicio OCI Logging
Deje que Source_Tenant sea el inquilino del servicio de origen, como Oracle Cloud Infrastructure Logging, del que se recopilan los logs. Deje que el Target_Tenant sea el inquilino en el que se crea la conexión de servicio. El conector de servicio se configura con Oracle Log Analytics como destino para los logs que se recopilan del servicio de origen. Se supone que el hub de conector de servicio y Oracle Log Analytics están disponibles en el mismo inquilino de destino.
Defina las siguientes políticas para configurar la recopilación de logs de un arrendamiento distinto del arrendamiento en el que se ha creado el conector del servicio.
Políticas que se agregarán en el inquilino de origen
A continuación, se muestra un ejemplo de sentencias de política que permiten a cualquier usuario del arrendamiento de hub de conector de servicio tener acceso READ al servicio Logging:
define tenancy <Target_Tenant> as <Target_Tenant_OCID>
define group <Common_User_Group> as <Common_User_Group_OCID>
admit any-user of tenancy <Target_Tenant> to read logging-family IN TENANCY WHERE ALL {request.principal.type = 'serviceconnector'}
admit group <Common_User_Group> of tenancy <Target_Tenant> to read logging-family IN TENANCYAdemás, se necesitan los siguientes permisos para leer los logs de eventos de auditoría:
admit group <Common_User_Group> of tenancy <Target_Tenant> to read audit-events in TENANCY
admit any-user of tenancy <Target_Tenant> to read audit-events IN tenancy WHERE ALL {request.principal.type = 'serviceconnector'}Asegúrese de definir la política para el tipo de logs de servicio que se deben recopilar del servicio de origen. Consulte Permitir recopilación de logs desde el servicio OCI Logging.
Políticas que se van a agregar al inquilino de destino
Este es un ejemplo de sentencias de política que permiten a cualquier usuario acceder al servicio Logging mediante el hub del conector del servicio y al grupo Common_User_Group de destino de IAM tener acceso MANAGE al hub del conector del servicio:
define tenancy <Source_Tenant> as <Source_Tenant_OCID>
endorse any-user to read logging-family IN tenancy <Source_Tenant> WHERE ALL {request.principal.type = 'serviceconnector'}
endorse group <Common_User_Group> to read logging-family IN tenancy <Source_Tenant>Además, se necesitan los siguientes permisos para leer los logs de eventos de auditoría de origen:
endorse group <Common_User_Group> to read audit-events in tenancy <Source_Tenant>
endorse any-user to read audit-events in tenancy <Source_Tenant> WHERE ALL {request.principal.type = 'serviceconnector'}Los siguientes permisos son para cargar logs en Oracle Log Analytics desde el conector de servicio. Asegúrese de crear manualmente la política que incluye las siguientes sentencias de política:
allow any-user to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in compartment id <Log_Group_Compartment_OCID> where all {request.principal.type = 'serviceconnector', target.loganalytics-log-group.id = '<Log_Group_OCID>', request.principal.compartment.id = '<Service_Connector_Compartment_OCID>'}
allow group <Common_User_Group> to MANAGE serviceconnectors in tenancyEn las declaraciones de política anteriores,
-
Log_Group_OCID: OCID del grupo de logs de Oracle Log Analytics. -
Log_Group_Compartment_OCID: OCID del compartimento en el que se encuentra el grupo de logs de Oracle Log Analytics. -
Service_Connector_Compartment_OCID: OCID de compartimento del conector del servicio. -
Common_User_Group: grupo de usuarios que crea el conector de servicio.
Creación de un conector entre los inquilinos de origen y destino
Después de generar las políticas necesarias para los inquilinos de origen y de destino, cree un conector de servicio mediante la CLI. El siguiente comando de la CLI de ejemplo especifica Logging como origen y Oracle Log Analytics como destino para crear el conector de servicio entre arrendamientos:
oci --profile <Target_Profile> sch service-connector create
--display-name XTenancyConnector
--compartment-id <Connector_Compartment_OCID>
--source '{ "kind": "logging", "logSources":
[ { "compartmentId": "<Logging_LogGroup_Compartment_OCID>",
"logGroupId": "<Logging_LogGroup_OCID>" } ] }'
--target '{ "kind": "loggingAnalytics", "logGroupId": "<LogAnalytics_LogGroup_OCID>" }'El comando anterior está formateado para una mejor legibilidad. Elimine caracteres como nueva línea, separador y espacios adicionales antes de ejecutarlo.
En el comando de CLI anterior,
-
Target_Profile: perfil del archivo .oci/config que se asigna al arrendamiento de destino. -
Connector_Compartment_OCID: OCID del compartimento en el que se crea el recurso de conector de servicio. -
Logging_LogGroup_Compartment_OCID: OCID del compartimento al que pertenece el grupo de logs de Oracle Cloud Logging. Esto está en el inquilino de origen. -
Logging_LogGroup_OCID: OCID del grupo de logs de Oracle Cloud Logging. Esto está en el inquilino de origen. -
LogAnalytics_LogGroup_OCID: OCID del grupo de logs de Oracle Log Analytics. Se encuentra en el inquilino de destino.
Para obtener más información sobre el comando de la CLI, consulte Referencia de comandos de la CLI - Crear.
Una vez creado el conector de servicio, puede verificar que los logs seleccionados estén disponibles en Oracle Log Analytics.
Parar la recopilación de logs desde el conector de servicio
Si ha configurado un conector de servicio para recopilar continuamente logs de OCI Logging a Oracle Log Analytics, puede parar la recopilación de logs desactivando el conector o suprimiéndolo.
Si su requisito es detener temporalmente la recopilación de logs pero conservar la configuración del conector para que pueda reiniciar la recopilación de logs en un momento posterior, desactive el conector.
Si desea parar permanentemente la recopilación de logs del conector de servicio, Suprimir el conector.
-
Identificar el conector de servicio configurado para la recopilación de logs: navegue hasta el servicio Connector Hub y muestre los conectores del compartimento. Consulte Listado de conectores.
Haga clic en el nombre del conector para ver los detalles y la configuración del conector. Identifique el conector de servicio adecuado configurado para la recopilación de logs.
-
Detener recopilación de logs: según sus requisitos, haga clic en Desactivar o Suprimir. Consulte Desactivación de un Conector y Supresión de un Conector.
Esto para el flujo de datos del servicio de OCI específico a Oracle Log Analytics.
Si ha desactivado el conector y desea reiniciar la recopilación de logs, vuelva a activar ese conector. Consulte Activación de un conector.