Documentación de Oracle Cloud Infrastructure

Creación de una regla de detección mediante una plantilla

Utilice una plantilla definida por oracle y cree una regla de detección que pueda publicar una métrica cada vez que la recopilación de logs cumpla con la regla definida.

Asegúrese de que se crean las políticas de IAM necesarias para proporcionar permisos. Consulte Allow Users to Perform All Operations with Detection Rule Templates.

Para obtener una lista de las plantillas definidas por Oracle, consulte Plantillas de reglas de detección definidas por Oracle.

Los siguientes pasos se muestran con el servicio Monitoring como destino para supervisar la tarea programada. El servicio Monitoring almacena las métricas emitidas por Oracle Logging Analytics.

  1. Abra el menú de navegación y haga clic en Observación y gestión. En Logging Analytics, haga clic en Administración. Se abre la página Visión general de administración.

    Los recursos de administración se muestran en el panel de navegación de la izquierda en Recursos. Haga clic en Reglas de detección.

    Se abre la página Reglas de detección. Seleccione el compartimento en Ámbito de regla de detección y haga clic en Crear regla.

    Se abre el cuadro de diálogo Crear regla de detección.

  2. Haga clic en Regla de detección recomendada.

  3. Especifique un nombre de regla para la regla de detección.

  4. En Seleccionar una plantilla:

    1. Para filtrar las plantillas disponibles, seleccione el tipo de regla. Actualmente, solo está disponible el tipo de búsqueda guardada de plantillas de reglas de detección definidas por Oracle. Por lo tanto, este campo no se puede seleccionar.

    2. Seleccione una plantilla definida por Oracle en el menú. Para ver más detalles sobre cada plantilla y, a continuación, seleccionarla, haga clic en Búsqueda avanzada. Se abre el cuadro de diálogo Buscar y seleccionar una plantilla. Las plantillas y sus detalles se muestran en una tabla. Haga clic en la fila que desee seleccionar de la plantilla y, a continuación, en Seleccionar.

      Se muestra la consulta predeterminada que se utiliza para implementar la plantilla. Puede copiar esta consulta y ejecutarla en el explorador de logs para ver el resultado.

      Para obtener una lista de las plantillas definidas por Oracle, consulte Plantillas de reglas de detección definidas por Oracle.

    3. Opcionalmente, amplíe Mostrar opciones personalizables. Esta sección muestra los campos de la consulta que se pueden modificar.

      Por ejemplo, en la consulta de la plantilla Tamaño de grupo de logs, los campos que se pueden modificar son:

      • Compartimento de grupo de logs: compartimento en el que se deben consultar los grupos de logs. También puede activar la casilla de control Subcompartimentos para consultar los subcompartimentos del compartimento seleccionado.

      • Umbral de tamaño (bytes): es el tamaño del grupo de logs que supera el que se deben publicar las métricas. Por defecto, este valor es 0. Por ejemplo, si el umbral de tamaño que especifica es de 1000 bytes, solo cuando el tamaño del grupo de logs es superior a 1000 bytes, se publica la métrica.

      Para obtener más información sobre el tamaño del grupo de logs de la plantilla definida por Oracle, consulte Plantillas de reglas de detección definidas por Oracle.

  5. En Frecuencia de configuración:

    Especifique Intervalo, la ventana de agregación. Puede optimizar el programa para que se ejecute en los minutos, horas, días o semanas seleccionados. Además, al seleccionar agregaciones más grandes, por ejemplo Días, puede especificar la agregación más detallada dentro del rango, por ejemplo, la hora del día en la que se debe ejecutar la consulta.

    Puede especificar la frecuencia de la ejecución de la consulta, como Run indefinitely, Run once o Custom.

    También puede incluir Recuento de repeticiones en la especificación de frecuencia para el número de veces que se debe ejecutar la consulta.

  6. En Seleccionar un servicio de destino que configurar:

    1. Seleccione el servicio de destino donde se publican los resultados de la ejecución de la consulta, por ejemplo, Monitoring.

      En el servicio Monitoring se almacenan las métricas para el resultado de la ejecución de la consulta en un programa.

    2. Seleccione Compartimento de métricas, el compartimento en el que se creará la métrica. Por defecto, Oracle Logging Analytics selecciona un compartimento.

    3. Seleccione Espacio de nombre de métrica, el espacio de nombre de métrica en el que desea colocar la nueva métrica. El ámbito de las opciones disponibles para seleccionar el espacio de nombre se define mediante la selección del compartimento de métricas en el paso anterior. Si las opciones no están disponibles, también puede introducir un nuevo valor para el espacio de nombre.

      Nota

      Al especificar un nuevo valor para el espacio de nombres, seleccione un nombre que no empiece por oracle_ y oci_. Son prefijos reservados. Consulte Publicación de métricas personalizadas.

    4. Si lo desea, seleccione Grupo de recursos, el grupo al que pertenece la métrica. Un grupo de recursos es una cadena personalizada con una métrica personalizada.

    5. Introduzca Nombre de métrica, el nombre de la métrica, utilizada en el explorador del servicio Monitoring para ver las métricas. Solo se puede especificar una métrica.

  7. Opcionalmente, amplíe la sección Mostrar opciones avanzadas y agregue etiquetas a la regla de detección.

  8. Si las políticas de IAM necesarias aún no se han definido, se muestra una notificación que enumera las políticas para:

    • Crear un grupo dinámico
    • Aplicar las políticas al grupo dinámico para permitir que se ejecuten las tareas programadas

    Anote las políticas mostradas y créelas.

  9. Haga clic en Crear regla de detección.

La consulta está programada ahora para ejecutarse en un intervalo normal y las métricas resultantes se emiten al servicio Monitoring.

Permitir a los usuarios realizar todas las operaciones con plantillas de reglas de detección

Para crear reglas de detección mediante las plantillas, publicar las métricas en el servicio de destino y ver las métricas, primero configure los permisos adecuados mediante la creación de las siguientes políticas de IAM:

  1. Cree un grupo dinámico para permitir que las tareas programadas publiquen métricas en el servicio de supervisión desde un compartimento específico:

    ALL {resource.type='loganalyticsscheduledtask', resource.compartment.id='<compartment ocid>'}

    Como alternativa, para permitir que las métricas se publiquen desde todos los compartimentos:

    ALL {resource.type='loganalyticsscheduledtask'}

  2. Agregue sentencias de política para permitir que el grupo dinámico realice operaciones de tarea programada en el arrendamiento:

    allow group <group_name> to use loganalytics-scheduled-task in tenancy
allow dynamic-group <dynamic_group_name> to use metrics in tenancy
allow dynamic-group <dynamic_group_name> to read management-saved-search in tenancy
allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_QUERY_VIEW} in tenancy
allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ} in tenancy
allow dynamic-group <dynamic_group_name> to READ loganalytics-log-group in tenancy
allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_LOOKUP_READ} in tenancy
allow dynamic-group <dynamic_group_name> to read compartments in tenancy

  3. Agregue una sentencia de política para permitir que el grupo dinámico acceda a la plantilla en un compartimento específico: 

    allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_TEMPLATE_READ} in tenancy

    Las plantillas definidas por Oracle se encuentran en el compartimento raíz. En el caso de una plantilla creada por el usuario, especifique el compartimento exacto donde se encuentra la plantilla.