Documentation sur Oracle Cloud Infrastructure

Créer une règle de détection à l'aide d'un modèle

Utilisez un modèle défini par oracle et créez une règle de détection qui peut publier une mesure chaque fois que la collecte de journaux est conforme à la règle définie.

Assurez-vous que les politiques IAM requises sont créées pour fournir des autorisations. Voir Autoriser les utilisateurs à effectuer toutes les opérations avec des modèles de règle de détection.

Pour obtenir la liste des modèles définis par Oracle, voir Modèles de règle de détection définis par Oracle.

Les étapes suivantes sont présentées avec le service de surveillance comme cible de la surveillance de la tâche programmée. Les mesures émises par Oracle Log Analytics sont stockées par le service de surveillance.

  1. Ouvrez le menu de navigation et cliquez sur Observabilité et gestion. Sous Log Analytics, cliquez sur Administration. La page Aperçu de l'administration s'ouvre.

    Les ressources d'administration sont répertoriées dans le volet de navigation de gauche sous Ressources. Cliquez sur Règles de détection.

    La page Règles de détection s'ouvre. Sélectionnez le compartiment sous Portée de la règle de détection et cliquez sur Créer une règle.

    La boîte de dialogue Créer une règle de détection s'ouvre.

  2. Cliquez sur Règle de détection recommandée.

  3. Spécifiez un nom de règle pour la règle de détection.

  4. Sous Sélectionner un modèle :

    1. Pour filtrer les modèles disponibles, sélectionnez le type de règle. Actuellement, seul le type de recherche enregistrée des modèles de règle de détection définis par Oracle est disponible. Ce champ n'est donc pas disponible pour la sélection.

    2. Sélectionnez un modèle défini par Oracle dans le menu. Pour voir plus de détails sur chaque modèle, puis sélectionnez-le, cliquez sur Recherche avancée. La boîte de dialogue Rechercher et sélectionner un modèle s'ouvre. Les modèles et leurs détails sont répertoriés dans un tableau. Cliquez sur la rangée du modèle à sélectionner, puis cliquez sur Sélectionner.

      L'interrogation par défaut utilisée pour mettre en oeuvre le modèle s'affiche. Vous pouvez copier cette interrogation et l'exécuter dans l'explorateur de journaux pour en voir le résultat.

      Pour obtenir la liste des modèles définis par Oracle, voir Modèles de règle de détection définis par Oracle.

    3. Facultativement, développez Afficher les options personnalisables. Cette section affiche les champs de l'interrogation qui peuvent être modifiés.

      Par exemple, dans l'interrogation du modèle Taille du groupe de journaux, les champs qui peuvent être modifiés sont les suivants :

      • Compartiment du groupe de journaux : Compartiment dans lequel les groupes de journaux doivent être interrogés. Vous pouvez également activer la case à cocher Sous-compartiments pour interroger les sous-compartiments du compartiment sélectionné.

      • Seuil de taille (Octets) : Taille du groupe de journaux dépassant laquelle les mesures doivent être reportées. Par défaut, il s'agit de 0. Par exemple, si le seuil de taille que vous spécifiez est de 1000 octets, uniquement lorsque la taille du groupe de journaux est supérieure à 1000 octets, la mesure est reportée.

      Pour plus de détails sur la taille du groupe de journaux du modèle défini par Oracle, voir Modèles de règle de détection définis par Oracle.

  5. Sous Fréquence de configuration :

    Spécifiez l'intervalle, soit la fenêtre d'agrégation. Vous pouvez optimiser la programmation à exécuter selon les minutes, heures, jours ou semaines sélectionnés. En outre, lorsque vous sélectionnez des agrégations plus importantes, par exemple des jours, vous pouvez spécifier l'agrégation la plus fine dans l'intervalle, par exemple l'heure du jour où l'interrogation doit être exécutée.

    Vous pouvez spécifier la fréquence d'exécution de l'interrogation, par exemple Run indefinitely, Run once ou Custom.

    Vous pouvez également inclure Nombre de répétitions dans la spécification de fréquence pour le nombre de fois où l'interrogation doit être exécutée.

  6. Sous Sélectionner un service cible à configurer :

    1. Sélectionnez le service cible dans lequel les résultats de l'exécution de l'interrogation sont publiés, par exemple Surveillance.

      Le service de surveillance stocke les mesures pour le résultat de l'exécution de l'interrogation sur un programme.

    2. Sélectionnez Compartiment de mesures, le compartiment dans lequel la mesure sera créée. Un compartiment est sélectionné par défaut dans Oracle Log Analytics.

    3. Sélectionnez Espace de noms de mesure, l'espace de noms de mesure où vous voulez placer la nouvelle mesure. La portée des options disponibles pour sélectionner l'espace de noms est définie par la sélection du compartiment de mesures à l'étape précédente. Si aucune option n'est disponible, vous pouvez également entrer une nouvelle valeur pour l'espace de noms.

      Note

      Lorsque vous spécifiez une nouvelle valeur pour l'espace de noms, sélectionnez un nom qui ne commence pas par oracle_ et oci_. Ce sont des préfixes réservés. Voir Publication de mesures personnalisées.

    4. Facultativement, sélectionnez Groupe de ressources, le groupe auquel la mesure appartient. Un groupe de ressources est une chaîne personnalisée fournie avec une mesure personnalisée.

    5. Entrez le nom de la mesure, utilisé dans l'explorateur du service de surveillance pour voir les mesures. Une seule mesure peut être spécifiée.

  7. Facultativement, développez la section Afficher les options avancées et ajoutez des marqueurs à votre règle de détection.

  8. Si les politiques GIA requises ne sont pas encore définies, un avis s'affiche qui répertorie les politiques pour :

    • Créer un groupe dynamique
    • Appliquer les politiques au groupe dynamique pour permettre l'exécution des tâches programmées

    Notez les politiques répertoriées et créez-les.

  9. Cliquez sur Créer une règle de détection.

L'interrogation est maintenant programmée pour s'exécuter à intervalles réguliers et les mesures résultantes sont émises vers le service de surveillance.

Autoriser les utilisateurs à effectuer toutes les opérations avec des modèles de règle de détection

Pour créer des règles de détection à l'aide des modèles, publiez les mesures dans le service cible et consultez les mesures, configurez d'abord les autorisations appropriées en créant les politiques IAM suivantes :

  1. Créez un groupe dynamique pour permettre aux tâches programmées de publier des mesures dans le service de surveillance à partir d'un compartiment spécifique :

    ALL {resource.type='loganalyticsscheduledtask', resource.compartment.id='<compartment ocid>'}

    Sinon, pour permettre la publication des mesures à partir de tous les compartiments :

    ALL {resource.type='loganalyticsscheduledtask'}

  2. Ajoutez des énoncés de politique pour permettre au groupe dynamique d'effectuer des opérations de tâche programmée dans la location :

    allow group <group_name> to use loganalytics-scheduled-task in tenancy
allow dynamic-group <dynamic_group_name> to use metrics in tenancy
allow dynamic-group <dynamic_group_name> to read management-saved-search in tenancy
allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_QUERY_VIEW} in tenancy
allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ} in tenancy
allow dynamic-group <dynamic_group_name> to READ loganalytics-log-group in tenancy
allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_LOOKUP_READ} in tenancy
allow dynamic-group <dynamic_group_name> to read compartments in tenancy

  3. Ajoutez un énoncé de politique pour permettre au groupe dynamique d'accéder au modèle dans un compartiment spécifique : 

    allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_TEMPLATE_READ} in tenancy

    Les modèles définis par Oracle se trouvent dans le compartiment racine. Dans le cas d'un modèle créé par l'utilisateur, spécifiez le compartiment exact où se trouve le modèle.