Documentación de Oracle Cloud Infrastructure

Gestión y búsqueda de logs con Operator Access Control

Obtenga información sobre cómo activar los logs para ver la lista de controles de operador creados y en uso en un compartimento. También, para supervisar las actividades del operador en un recuadro.

Activación de logs y creación de grupos de logs con Operator Access Control

Para realizar un seguimiento de las actividades de los operadores de Oracle en el sistema, aprenda a activar logs y a crear grupos de log para gestionar logs.

Para auditar las acciones que realiza un operador de Oracle en el sistema, puede crear un log de auditoría para un compartimento y un servicio concreto en el que desee supervisar las acciones del operador de Oracle.
  1. Conéctese al arrendamiento de Oracle Cloud Infrastructure.
  2. Abra el menú de navegación. En Oracle AI Database, haga clic en Operator Access Control.
  3. Haga clic en Controles de operador.
  4. En la lista Controles de operador, haga clic en el nombre del control del operador que desea activar los logs.
  5. Haga clic en el separador Logs.

    Puede activar Logs de acceso y Logs de hipervisor.

    Por ejemplo, para activar los logs de acceso, haga lo siguiente:

    • Haga clic en el menú Acciones (tres puntos) y seleccione la opción Activar log.
    • Compartimento: seleccione el compartimento en la que desea crear el log.
    • Grupo de log: seleccione un grupo de log al que desee agregar el log. Un grupo de logs es un contenedor lógico para logs que ayuda a optimizar la gestión de logs, como la aplicación de políticas o el análisis de logs relacionados.

      Si desea crear un nuevo grupo de logs, haga clic en Crear nuevo Grupo y proporcione información para los siguientes campos:

      • Compartimento Seleccione el compartimento en el que desea colocar el grupo de logs.
      • Nombre: proporcione un nombre para el grupo de logs.
      • Descripción: proporcione una descripción para la finalidad del grupo de logs.
      • Etiquetas: si lo desea, agregue etiquetas al grupo de logs.
    • Nombre de log: proporcione un nombre para el log que desea crear.
    • Activar archive logs heredados: active esta opción para retener y gestionar archive logs.
    • (Opcional) Haga clic en Mostrar las opciones avanzadas. Defina el período de retención de log. Valor por defecto: 30 días.
    • Cuando haya completado y revisado las selecciones, haga clic en Activar log. Se activará el log relativo al control de operador.

Visualización de logs activados en estado activo

Descubra cómo ver los logs activados en estado activo.

  1. Conéctese al arrendamiento de Oracle Cloud Infrastructure.
  2. Abra el menú de navegación. En Oracle AI Database, haga clic en Operator Access Control.
  3. Haga clic en Controles de operador.
  4. En la lista Controles de operador, haga clic en el nombre del control del operador que desea activar los logs.
  5. Haga clic en el separador Logs.

Desactivación de los logs activados

Descubra cómo desactivar los logs activados.

  1. Conéctese al arrendamiento de Oracle Cloud Infrastructure.
  2. Abra el menú de navegación. En Oracle AI Database, haga clic en Operator Access Control.
  3. Haga clic en Controles de operador.
  4. En la lista Controles de operador, haga clic en el nombre del control del operador que desea activar los logs.
  5. Haga clic en el separador Logs.

    Puede desactivar Logs de acceso y Logs de hipervisor.

    Por ejemplo, para desactivar los logs de acceso, haga clic en el menú Acciones (tres puntos) y seleccione la opción Desactivar log.

Supresión de logs activados

Descubra cómo suprimir los logs activados.

  1. Conéctese al arrendamiento de Oracle Cloud Infrastructure.
  2. Abra el menú de navegación. En Oracle AI Database, haga clic en Operator Access Control.
  3. Haga clic en Controles de operador.
  4. En la lista Controles de operador, haga clic en el nombre del control del operador que desea activar los logs.
  5. Haga clic en el separador Logs.

    Puede suprimir logs de acceso y logs de hipervisor.

    Por ejemplo, para suprimir logs de acceso, haga clic en el menú Acciones (tres puntos) y seleccione la opción Suprimir.

Formato de log de Operator Access Control

Obtenga información sobre los campos que contiene un log de auditoría publicado en el servicio de registro.

Tabla 6-1 Campos del log de auditoría

Campo Descripción

data

Contiene todos los datos obtenidos de los logs de auditoría de Exadata.

data.accessRequestId

Contiene el identificador de Oracle Cloud (OCID) de la solicitud de acceso. Este identificador se obtiene de la página de lista de solicitudes de acceso de la consola.

data.message

Contiene el log de auditoría en formato raw. El formato del log de auditoría sigue el formato de registro de auditoría que genera el comando ausearch.

Para obtener más información, consulte las páginas de ausearch(8) del manual.

data.systemOcid

Identificador de Oracle Cloud (OCID) del sistema Exadata del que se ha recopilado el log.

data.timestamp

Registro de la hora, normalmente en la zona horaria Hora Universal Coordinada (UTC), en la que se realizó la acción que representa el log.

source

Servicio que publica el log. El origen del log es OperatorAccessControl para este servicio.

Nota

Hay algunos campos adicionales que son principalmente para fines contables del servicio.

Ejemplo 6-1 Log de auditoría de Operator Access Control

{
  "logContent": {
    "data": {
      "accessRequestId": "ocid1.opctlaccessrequest.oc1.ap-chuncheon-1.aaaaaaaaqk67mpzb74nsssg4ppwk7cyg46dwoxegtvhopdp7lxbktpymk4kq",
      "message": "type=PROCTITLE msg=audit(09/08/2021 09:01:24.335:34495595) : proctitle=ps -ef \ntype=PATH msg=audit(09/08/2021 09:01:24.335:34495595) : item=1 name=/lib64/ld-linux-x86-64.so.2 inode=2546207 dev=fc:00 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 \ntype=PATH msg=audit(09/08/2021 09:01:24.335:34495595) : item=0 name=/usr/bin/ps inode=33619160 dev=fc:00 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 \ntype=CWD msg=audit(09/08/2021 09:01:24.335:34495595) : cwd=/home/b9dc42d68f6e4e26a1d843a4c5e70187 \ntype=EXECVE msg=audit(09/08/2021 09:01:24.335:34495595) : argc=2 a0=ps a1=-ef \ntype=SYSCALL msg=audit(09/08/2021 09:01:24.335:34495595) : arch=x86_64 syscall=execve success=yes exit=0 a0=0x1848d50 a1=0x184c360 a2=0x184c040 a3=0x7ffeec95b760 items=2 ppid=94699 pid=95635 auid=b9dc42d68f6e4e26a1d843a4c5e70187 uid=b9dc42d68f6e4e26a1d843a4c5e70187 gid=opctl_facc1 euid=b9dc42d68f6e4e26a1d843a4c5e70187 suid=b9dc42d68f6e4e26a1d843a4c5e70187 fsuid=b9dc42d68f6e4e26a1d843a4c5e70187 egid=opctl_facc1 sgid=opctl_facc1 fsgid=opctl_facc1 tty=pts0 ses=813000 comm=ps exe=/usr/bin/ps key=(null) \n",
      "status": "",
      "systemOcid": "ocid1.exadatainfrastructure.oc1.ap-chuncheon-1.ab4w4ljr46tyytihmindrbshch3jjhrxxpctq4eiaksakp4kqamluuwkzdga",
      "target": "",
      "timestamp": "2021-09-08T09:01:24.000Z"
    },
    "id": "b3b102aa-daee-4861-8e2c-9014faac9de2",
    "oracle": {
      "compartmentid": "ocid1.tenancy.oc1..aaaaaaaazxdmffivtoe32kvio5e2dcgz24re5rqbkis3452yi2e7tc3x2erq",
      "ingestedtime": "2021-09-08T16:02:26.182Z",
      "loggroupid": "ocid1.loggroup.oc1.ap-chuncheon-1.amaaaaaajobtc3ia3iypuri32bhvrgmosztobwi72wgdofkpfdbyfg4yxlrq",
      "logid": "ocid1.log.oc1.ap-chuncheon-1.amaaaaaajobtc3iahnkkwizgpoakdafmrttikohparjl7icmcfjzkechekfq",
      "tenantid": "ocid1.tenancy.oc1..aaaaaaaazxdmffivtoe32kvio5e2dcgz24re5rqbkis3452yi2e7tc3x2erq"
    },
    "source": "OperatorAccessControl",
    "specversion": "1.0",
    "time": "2021-09-08T16:01:52.989Z",
    "type": "com.oraclecloud.opctl.audit"
  },
  "datetime": 1631116912989
}

Búsqueda de logs

Para realizar una búsqueda en los logs, utilice este procedimiento para especificar los campos, el rango de tiempo y las cadenas de texto de los logs que desea buscar.

El log se activa según controles de operador específicos. Por ello, estos forman el filtro de nivel superior para las búsquedas de log. Además, también puede buscar los logs por los identificadores de solicitud de acceso, los sistemas Exadata en los que se produjo la acción del operador o la hora a la que se produjo la acción.

Los siguientes ejemplos le ayudan a comprender cómo buscar un campo específico.

  1. Inicie sesión en la consola de Observability & Management.
  2. En el menú de navegación de la izquierda, seleccione Registro y, a continuación, seleccione Logs.
  3. Seleccione el compartimento donde se almacenan los logs.

    Esto proporcionará una lista de los logs que se han activado.

  4. Haga clic sobre el log que le interesa.

    Se muestra la página de detalles del log.

    Estos logs siempre están relacionados con un único control de operador.

  5. Haga clic en el separador Explorar log.
  6. Haga clic en Explorar con búsqueda de logs para buscar logs específicos.
  7. Caso 1: Búsqueda de acciones realizadas mediante la aprobación de una solicitud de acceso específica, ocid.opctlaccessrequest.x durante un período de T-start a T-end relativo a un control de operador, ocid.opctl.x.
    1. Seleccione Personalizado en el campo Filtrar por tiempo.
    2. Seleccione la Fecha de inicio y la Fecha de finalización.
    3. Haga clic en Buscar.

      Después de la selección, podrá ver un juego de logs.

    4. Ahora, por ejemplo, agregue los siguientes criterios de búsqueda en el campo Filtros personalizados.
      data.accessRequestId='ocid.opctlaccessrequest.x'

      Al hacerlo, se mostrarán los logs que coincidan con los criterios de búsqueda.

  8. Caso 2: Búsqueda de acciones en un sistema de Exadata, ocid.exadata.x durante un período de T-start a T-end relativo a un control de operador, ocid.opctl.x.
    1. Seleccione Personalizado en el campo Filtrar por tiempo.
    2. Haga clic en Buscar.

      Después de la selección, podrá ver un juego de logs.

    3. Ahora, por ejemplo, agregue los siguientes criterios de búsqueda en el campo Filtros personalizados.
      data.systemOcid ='ocid.exadata.x'

      Al hacerlo, se mostrarán los logs que coincidan con los criterios de búsqueda.

  9. También puede buscar los logs por el contenido. Utilice el campo log-content. Para obtener más información, consulte Búsqueda de logs.
  10. Para buscar comandos de Linux específicos ejecutados, utilice el modo avanzado.
    1. Cree una búsqueda básica con los ejemplos proporcionados anteriormente (caso 1 o caso 2) y, a continuación, cambie al Modo avanzado.
      Por ejemplo, para buscar todos los logs con la acción vi, agregue los siguientes criterios:
      and text_contains(data.message, 'proctitle=vi ', true)
  11. Al realizar una búsqueda en la página Búsqueda de registro, puede hacer clic en Mostrar modo avanzado para introducir sus propias consultas de búsqueda de log personalizadas.
    Por ejemplo:
    search "ocid1.compartment.oc1..x/ocid1.loggroup.oc1.iad.loggroup_x/ocid1.log.oc1.iad.log_x"
 | data.systemOcid='ocid1.exadata.x' and text_contains(data.message, 'proctitle=vi ', true)
 | sort by datetime desc