Documentación de Oracle Cloud Infrastructure

Gestión y búsqueda de logs con Operator Access Control

Obtenga información sobre cómo activar los logs para ver la lista de controles de operador creados y en uso en un compartimento. También, para supervisar las actividades del operador en un recuadro.

Activación de logs y creación de grupos de logs con Operator Access Control

Para realizar un seguimiento de las actividades del operador de Oracle en el sistema, aprenda a activar logs y a crear grupos de logs para gestionar logs.

Para auditar las acciones que realiza un operador de Oracle en el sistema, puede crear un log de auditoría para un compartimento y un servicio concreto en el que desee supervisar las acciones del operador de Oracle.
  1. En el menú de navegación de la izquierda, seleccione Registro y, a continuación, seleccione Logs.
  2. Haga clic en Activar log de servicio. Se abrirá la ventana Activar log de recursos.
  3. En la sección Seleccionar recurso, proporcione información para cada uno de los campos:
    • Compartimento de recurso: seleccione el compartimento en el que desea crear el log.
    • Servicio: seleccione el Servicio Operator Access Control para el que desea activar el log.
    • Recurso: seleccione un control de operador para el que desea activar el log.
  4. En la sección Configurar log, proporcione información para los siguientes campos:
    • Categoría de log: seleccione Logs de acceso.
    • Nombre de log: proporcione un nombre para el log que desea crear.
  5. (Opcional) Haga clic en Mostrar opciones avanzadas.
  6. (Opcional) En la sección Ubicación del log, proporcione información para los siguientes campos:
    • Compartimento: seleccione un compartimento si desea que los archivos log se coloquen en un compartimento diferente del compartimento para el que va a crear un log de auditoría.
    • Grupo de logs: seleccione el grupo de logs al que desee agregar el log. Un grupo de logs es un contenedor lógico para los logs. Utilice grupos de logs para simplificar la gestión de logs, incluida la aplicación de políticas o el análisis de grupos de logs. Si desea crear un nuevo grupo de logs, haga clic en Crear nuevo grupo y proporcione información para los siguientes campos:
      • Compartimento Seleccione el compartimento en el que desea colocar el grupo de logs.
      • Nombre: proporcione un nombre para el grupo de logs.
      • Descripción: proporcione una descripción para la finalidad del grupo de logs.
    • En el campo Espacio de nombres de etiqueta, considere agregar un espacio de nombres de etiqueta (una cadena de texto de identificación aplicada a un juego de compartimentos) o etiquetar el control con un espacio de nombres de etiqueta existente.
  7. En la sección Retención de log, seleccione un período de retención de log.
  8. Cuando haya completado y revisado las selecciones, haga clic en Activar log. Se activará el log relativo al control de operador.

Formato de log de Operator Access Control

Obtenga información sobre los campos que contiene un log de auditoría publicado en el servicio de registro.

Tabla 6-1 Campos del log de auditoría

Campo Descripción

data

Contiene todos los datos obtenidos de los logs de auditoría de Exadata.

data.accessRequestId

Contiene el identificador de Oracle Cloud (OCID) de la solicitud de acceso. Este identificador se obtiene de la página de lista de solicitudes de acceso de la consola.

data.message

Contiene el log de auditoría en formato raw. El formato del log de auditoría sigue el formato de registro de auditoría que genera el comando ausearch.

Para obtener más información, consulte las páginas de ausearch(8) del manual.

data.systemOcid

Identificador de Oracle Cloud (OCID) del sistema Exadata del que se ha recopilado el log.

data.timestamp

Registro de la hora, normalmente en la zona horaria Hora Universal Coordinada (UTC), en la que se realizó la acción que representa el log.

source

Servicio que publica el log. El origen del log es OperatorAccessControl para este servicio.

Nota

Hay algunos campos adicionales que son principalmente para fines contables del servicio.

Ejemplo 6-1 Log de auditoría de Operator Access Control

{
  "logContent": {
    "data": {
      "accessRequestId": "ocid1.opctlaccessrequest.oc1.ap-chuncheon-1.aaaaaaaaqk67mpzb74nsssg4ppwk7cyg46dwoxegtvhopdp7lxbktpymk4kq",
      "message": "type=PROCTITLE msg=audit(09/08/2021 09:01:24.335:34495595) : proctitle=ps -ef \ntype=PATH msg=audit(09/08/2021 09:01:24.335:34495595) : item=1 name=/lib64/ld-linux-x86-64.so.2 inode=2546207 dev=fc:00 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 \ntype=PATH msg=audit(09/08/2021 09:01:24.335:34495595) : item=0 name=/usr/bin/ps inode=33619160 dev=fc:00 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 \ntype=CWD msg=audit(09/08/2021 09:01:24.335:34495595) : cwd=/home/b9dc42d68f6e4e26a1d843a4c5e70187 \ntype=EXECVE msg=audit(09/08/2021 09:01:24.335:34495595) : argc=2 a0=ps a1=-ef \ntype=SYSCALL msg=audit(09/08/2021 09:01:24.335:34495595) : arch=x86_64 syscall=execve success=yes exit=0 a0=0x1848d50 a1=0x184c360 a2=0x184c040 a3=0x7ffeec95b760 items=2 ppid=94699 pid=95635 auid=b9dc42d68f6e4e26a1d843a4c5e70187 uid=b9dc42d68f6e4e26a1d843a4c5e70187 gid=opctl_facc1 euid=b9dc42d68f6e4e26a1d843a4c5e70187 suid=b9dc42d68f6e4e26a1d843a4c5e70187 fsuid=b9dc42d68f6e4e26a1d843a4c5e70187 egid=opctl_facc1 sgid=opctl_facc1 fsgid=opctl_facc1 tty=pts0 ses=813000 comm=ps exe=/usr/bin/ps key=(null) \n",
      "status": "",
      "systemOcid": "ocid1.exadatainfrastructure.oc1.ap-chuncheon-1.ab4w4ljr46tyytihmindrbshch3jjhrxxpctq4eiaksakp4kqamluuwkzdga",
      "target": "",
      "timestamp": "2021-09-08T09:01:24.000Z"
    },
    "id": "b3b102aa-daee-4861-8e2c-9014faac9de2",
    "oracle": {
      "compartmentid": "ocid1.tenancy.oc1..aaaaaaaazxdmffivtoe32kvio5e2dcgz24re5rqbkis3452yi2e7tc3x2erq",
      "ingestedtime": "2021-09-08T16:02:26.182Z",
      "loggroupid": "ocid1.loggroup.oc1.ap-chuncheon-1.amaaaaaajobtc3ia3iypuri32bhvrgmosztobwi72wgdofkpfdbyfg4yxlrq",
      "logid": "ocid1.log.oc1.ap-chuncheon-1.amaaaaaajobtc3iahnkkwizgpoakdafmrttikohparjl7icmcfjzkechekfq",
      "tenantid": "ocid1.tenancy.oc1..aaaaaaaazxdmffivtoe32kvio5e2dcgz24re5rqbkis3452yi2e7tc3x2erq"
    },
    "source": "OperatorAccessControl",
    "specversion": "1.0",
    "time": "2021-09-08T16:01:52.989Z",
    "type": "com.oraclecloud.opctl.audit"
  },
  "datetime": 1631116912989
}

Búsqueda de logs

Para realizar una búsqueda en los logs, utilice este procedimiento para especificar los campos, el rango de tiempo y las cadenas de texto de los logs que desea buscar.

El log se activa según controles de operador específicos. Por ello, estos forman el filtro de nivel superior para las búsquedas de log. Además, también puede buscar los logs por los identificadores de solicitud de acceso, los sistemas Exadata en los que se produjo la acción del operador o la hora a la que se produjo la acción.

Los siguientes ejemplos le ayudan a comprender cómo buscar un campo específico.

  1. En el menú de navegación de la izquierda, seleccione Registro y, a continuación, seleccione Logs.
  2. Seleccione el compartimento donde se almacenan los logs.

    Esto proporcionará una lista de los logs que se han activado.

  3. Haga clic en el log que le interesa. Aparecerá la página de detalles del log.

    Estos logs siempre están relacionados con un único control de operador.

  4. Haga clic en el enlace Explorar con búsqueda de log para buscar logs específicos.
  5. Caso 1: Búsqueda de acciones realizadas mediante la aprobación de una solicitud de acceso específica, ocid.opctlaccessrequest.x durante un período de T-start a T-end relativo a un control de operador, ocid.opctl.x.
    1. Seleccione Personalizado en el campo Filtrar por tiempo.
    2. Seleccione la Fecha de inicio y la Fecha de finalización.
    3. Haga clic en Buscar.

      Después de la selección, podrá ver un juego de logs.

    4. A continuación, puede agregar, por ejemplo, los siguientes criterios de búsqueda en el campo Filtrar por campo o búsqueda de texto.
      data.accessRequestId='ocid.opctlaccessrequest.x'

      Al hacerlo, se mostrarán los logs que coincidan con los criterios de búsqueda.

  6. Caso 2: Búsqueda de acciones en un sistema de Exadata, ocid.exadata.x durante un período de T-start a T-end relativo a un control de operador, ocid.opctl.x.
    1. Seleccione Personalizado en el campo Filtrar por tiempo.
    2. Haga clic en Buscar.

      Después de la selección, podrá ver un juego de logs.

    3. A continuación, puede agregar, por ejemplo, los siguientes criterios de búsqueda en el campo Filtrar por campo o búsqueda de texto.
      data.systemOcid ='ocid.exadata.x'

      Al hacerlo, se mostrarán los logs que coincidan con los criterios de búsqueda.

  7. También puede buscar los logs por el contenido. Utilice el campo log-content. Para obtener más información, consulte Búsqueda de logs.
  8. Para buscar comandos ejecutados específicos de Linux, utilice el Modo avanzado.
    1. Cree una búsqueda básica con los ejemplos proporcionados anteriormente (caso 1 o caso 2) y, a continuación, cambie al Modo avanzado.
      Por ejemplo, para buscar todos los logs con la acción vi, agregue los siguientes criterios:
      and text_contains(data.message, 'proctitle=vi ', true)
  9. Al realizar una búsqueda en la página Búsqueda de registro, puede hacer clic en Mostrar modo avanzado para introducir sus propias consultas de búsqueda de log personalizadas.
    Por ejemplo:
    search "ocid1.compartment.oc1..x/ocid1.loggroup.oc1.iad.loggroup_x/ocid1.log.oc1.iad.log_x"
 | data.systemOcid='ocid1.exadata.x' and text_contains(data.message, 'proctitle=vi ', true)
 | sort by datetime desc