Documentation sur Oracle Cloud Infrastructure

Activer l'accès à Log Analytics et à ses ressources

Configurez votre location Oracle Cloud Infrastructure pour utiliser Oracle Log Analytics en exécutant ces tâches de configuration préalables.

Oracle Log Analytics est un service régional. Avant de commencer, sélectionnez une région à utiliser. Vous pouvez suivre ces étapes pour chaque région à configurer, mais chaque région sera une instance différente. Sélectionnez votre région en utilisant le sélecteur de région dans le coin supérieur droit de la console.

Rubriques :

Pour les politiques permettant d'effectuer des tâches spécifiques et une référence complète aux exigences de politique dans Log Analytics, voir Catalogue de politiques IAM pour Log Analytics.

Vous pouvez utiliser les modèles facilement disponibles pour créer une stratégie pour un groupe d'utilisateurs ou un groupe dynamique afin d'effectuer une opération spécifique ou un ensemble d'opérations. Voir Modèles de politique définis par Oracle pour les cas d'utilisation communs.

Note

Si vous avez activé Oracle Log Analytics à l'aide de l'interface utilisateur d'intégration qui est disponible lorsque vous naviguez vers le service pour la première fois, certaines politiques sont déjà créées. Voir Politiques créées lors de l'intégration de Log Analytics.

Activer l'accès de Log Analytics à sa famille de fonctions

Une politique IAM de niveau de service doit être créée pour permettre au service Oracle Log Analytics de fonctionner. Créez des politiques en utilisant les politiques GIA standard pour Oracle Cloud Infrastructure et ajoutez-y l'énoncé de politique suivant.

Énoncé de politique Description
allow service loganalytics to READ loganalytics-features-family in tenancy

Autoriser le service Oracle Log Analytics à disposer des droits d'accès READ de la famille loganalytics-features-family dans l'ensemble de la location.

Certains des énoncés de politique ci-dessus sont inclus dans les modèles de politique prédéfinis par Oracle. Vous pouvez envisager d'utiliser le modèle pour votre cas d'utilisation. Voir Modèles de politique définis par Oracle pour les cas d'utilisation communs.

Pour les politiques permettant d'effectuer des tâches spécifiques et une référence complète aux exigences de politique dans Log Analytics, voir Catalogue de politiques IAM pour Log Analytics.

Note

Si vous avez activé Oracle Log Analytics à l'aide de l'interface utilisateur d'intégration qui est disponible lorsque vous naviguez vers le service pour la première fois, certaines politiques sont déjà créées. Voir Politiques créées lors de l'intégration de Log Analytics.

Identifier les compartiments OCI pour placer les ressources Log Analytics

Utilisez des compartiments pour créer des ressources Oracle Log Analytics telles que des entités et des groupes de journaux. Affinez l'accès aux compartiments pour mieux contrôler l'accès des utilisateurs.

Vous pouvez utiliser des compartiments existants ou en créer d'autres spécifiquement forOracle Log Analytics. Vous pouvez créer plusieurs compartiments pour donner à différents ensembles d'utilisateurs l'accès à différentes parties du produit ou données de journal. Pour plus d'informations sur le fonctionnement des compartiments, voir Gestion des compartiments dans la documentation sur Oracle Cloud Infrastructure.

Les ressources dans Oracle Log Analytics doivent résider dans les compartiments. Lorsque vous créez l'une des ressources suivantes, vous devez sélectionner le compartiment dans lequel elles se trouveront :

Ressource Contrôle d'accès à l'aide des politiques GIA d'Oracle

Entités

Vous pouvez contrôler qui peut activer ou désactiver la collecte de journaux pour une entité spécifique.

Groupes de journaux

Vous pouvez contrôler qui peut rechercher les journaux une fois qu'ils ont été collectés, enrichis et indexés.

Politiques d'épuration

Vous pouvez contrôler qui peut arrêter ou modifier la définition de la politique d'épuration.

Règles de collecte du stockage d'objets

Vous pouvez contrôler qui peut arrêter ou modifier la règle de collecte.

Pour les politiques permettant d'effectuer des tâches spécifiques et une référence complète aux exigences de politique dans Log Analytics, voir Catalogue de politiques IAM pour Log Analytics.

Note

Si vous avez activé Oracle Log Analytics à l'aide de l'interface utilisateur d'intégration qui est disponible lorsque vous naviguez vers le service pour la première fois, certaines politiques sont déjà créées. Voir Politiques créées lors de l'intégration de Log Analytics.

Créer des groupes d'utilisateurs pour mettre en oeuvre le contrôle d'accès

Créez un ou plusieurs groupes d'utilisateurs pour accorder différents niveaux d'accès aux utilisateurs selon la façon dont vous souhaitez utiliser Oracle Log Analytics.

Rubriques :

Un utilisateur membre du groupe Administrateurs aura un accès complet à toutes les fonctions d'Oracle Log Analytics. Voir Rôles du groupe Administrateurs, de la politique et de l'administrateur.

Groupes d'utilisateurs recommandés

Il est recommandé de créer des groupes d'utilisateurs similaires aux exemples suivants pour commencer :

  • Log-Analytics-Users: The users that you add to this group will be able to query the logs and see various configurations. En revanche, ils ne peuvent pas activer ou désactiver la collecte de journaux, modifier les configurations ou supprimer des journaux.
  • Log-Analytics-Admins : Les utilisateurs que vous ajoutez à ce groupe disposent des privilèges Log-Analytics-Users et peuvent également créer ou modifier des sources, des analyseurs, des entités et des groupes de journaux. Ces utilisateurs peuvent également activer ou désactiver la collecte de journaux. Toutefois, ils ne peuvent pas épurer les journaux.
  • Log-Analytics-SuperAdmins : Les utilisateurs de ce groupe disposent des privilèges Log-Analytics-Admins et peuvent également effectuer des activités de cycle de vie telles que l'intégration et la fin d'emploi à partir d'Oracle Log Analytics et l'épuration des journaux.

Notez que les groupes ci-dessus sont présentés à titre d'exemples et seront utilisés pour créer des politiques GIA dans cette documentation. Toutefois, vous pouvez créer des groupes d'utilisateurs en fonction de vos besoins.

Agréger les types de ressource dans Log Analytics

Les deux familles suivantes vous permettent d'accorder un accès en masse sans avoir à affecter des autorisations individuelles à chaque groupe d'utilisateurs. Dans la plupart des cas, vous pouvez les utiliser pour simplifier la gestion de vos politiques Oracle Log Analytics.

  • loganalytics-features-family permet de contrôler les fonctions auxquelles un utilisateur a accès, ainsi que les actions que l'utilisateur peut effectuer à l'aide de la console, de l'API REST, de l'interface de ligne de commande ou de la trousse SDK.

    loganalytics-features-family et les ressources qu'elle contient ne peuvent être définies qu'au niveau de la location, et non par compartiment.

  • loganalytics-resources-family permet de contrôler l'accès dont dispose l'utilisateur pour créer, lire, mettre à jour et supprimer des ressources telles que des entités, des groupes de journaux, des politiques d'épuration et des règles de collecte de magasin d'objets.

    L'accès à cette famille et aux ressources qu'elle contient peut être accordé pour l'ensemble de la location ou pour un compartiment spécifique.

Pour les politiques permettant d'effectuer des tâches spécifiques et une référence complète aux exigences de politique dans Log Analytics, voir Catalogue de politiques IAM pour Log Analytics.

Note

Si vous avez activé Oracle Log Analytics à l'aide de l'interface utilisateur d'intégration qui est disponible lorsque vous naviguez vers le service pour la première fois, certaines politiques sont déjà créées. Voir Politiques créées lors de l'intégration de Log Analytics.

Accorder l'accès aux groupes d'utilisateurs

Créez des politiques à l'aide des politiques IAM Oracle Cloud Infrastructure standard pour définir comment vos groupes d'utilisateurs peuvent utiliser Oracle Log Analytics.

Note

Si vous voulez tester rapidement Oracle Log Analytics sans gérer les groupes et les politiques, un utilisateur qui est membre du groupe Administrateurs dispose d'un accès complet à toutes les fonctions. Voir Rôles du groupe Administrateurs, de la politique et de l'administrateur.

Pour configurer la politique en fonction des groupes d'exemples sous Créer des groupes d'utilisateurs pour mettre en oeuvre le contrôle d'accès, appliquez les jeux de politiques suivants.

Pour le groupe d'utilisateurs Log-Analytics-SuperAdmins :

Politique Description

allow group Log-Analytics-SuperAdmins to MANAGE loganalytics-features-family in tenancy

Autoriser le groupe Log-Analytics-SuperAdmins à disposer des droits d'accès MANAGE de la famille loganalytics-features-family dans l'ensemble de la location.

Cette politique permet d'exécuter toutes les tâches du service, y compris la dissociation, la suppression des journaux, la configuration de l'archivage, etc.

allow group Log-Analytics-SuperAdmins to MANAGE loganalytics-resources-familY in tenancy

OU

allow group Log-Analytics-SuperAdmins to MANAGE loganalytics-resources-family in compartment myCompartment1

Autoriser le groupe Log-Analytics-SuperAdmins à disposer des droits d'accès MANAGE de la famille loganalytics-resources-family dans l'ensemble de la location ou dans un compartiment spécifique.

Cette politique permet d'exécuter n'importe quelle tâche du service sur n'importe quel type de ressource appartenant à la famille loganalytics-resources-family.

allow group Log-Analytics-SuperAdmins to MANAGE management-dashboard-family in tenancy

Permettre au groupe Log-Analytics-SuperAdmins d'avoir tous les droits d'accès pour la famille de ressources du tableau de bord de gestion dans la location. Vous pouvez passer d'une location à des compartiments spécifiques.

allow group Log-Analytics-SuperAdmins to read compartments in tenancy

Autorisez le groupe Log-Analytics-SuperAdmins à obtenir la liste des compartiments disponibles pour les groupes de journaux auxquels le groupe peut avoir accès. Ceci est requis pour utiliser l'explorateur de journaux.

Pour le groupe d'utilisateurs Log-Analytics-Admins :

Politique Description

allow group Log-Analytics-Admins to use loganalytics-features-family in tenancy

Permettre au groupe Log-Analytics-Admins d'avoir les droits d'accès USE de la famille loganalytics-features-family dans l'ensemble de la location.

allow group Log-Analytics-Admins to use loganalytics-resources-family in tenancy

OU

allow group Log-Analytics-Admins to use loganalytics-resources-family in compartment myCompartment1

Autoriser le groupe Log-Analytics-Admins à disposer des droits d'accès USE de la famille loganalytics-resources-family dans la location ou dans un compartiment spécifique.

Autorisez ce groupe à voir, créer, modifier ou supprimer les ressources de la famille loganalytics-resources-family.

allow group Log-Analytics-Admins to manage management-dashboard-family in tenancy

OU

allow group Log-Analytics-Admins to manage management-dashboard-family in compartment myCompartment2

Autoriser le groupe Log-Analytics-Admins à disposer de tous les droits d'accès pour la famille de ressources du tableau de bord de gestion dans la location. Vous pouvez passer d'une location à des compartiments spécifiques.

allow group Log-Analytics-Admins to read compartments in tenancy

Autorisez le groupe Log-Analytics-Admins à obtenir la liste des compartiments disponibles pour les groupes de journaux auxquels le groupe peut avoir accès. Ceci est requis pour utiliser l'explorateur de journaux.

Pour le groupe d'utilisateurs Log-Analytics-Users :

Politique Description

allow group Log-Analytics-Users to read loganalytics-features-family in tenancy

Permettre au groupe Log-Analytics-Users d'avoir les droits d'accès READ de la famille loganalytics-features-family dans l'ensemble de la location.

allow group Log-Analytics-Users to read loganalytics-resources-family in tenancy

OU

allow group Log-Analytics-Users to read loganalytics-resources-family in compartment myCompartment1

Permettre au groupe Log-Analytics-Users d'avoir les droits d'accès READ de la famille loganalytics-resources-family dans l'ensemble de la location. Vous pouvez passer d'une location à des compartiments spécifiques.

Autorisez ce groupe à voir les détails des ressources de la famille loganalytics-resources-family. L'utilisateur ne peut pas en créer, en modifier ou en supprimer.

allow group Log-Analytics-Users to use management-dashboard-family in tenancy

OU

allow group Log-Analytics-Users to use management-dashboard-family in compartment myCompartment2

Permettre au groupe Log-Analytics-Users d'avoir les droits d'accès USE pour la famille de ressources du tableau de bord de gestion dans la location. Vous pouvez passer d'une location à des compartiments spécifiques.

allow group Log-Analytics-Users to read compartments in tenancy

Autorisez le groupe Log-Analytics-Users à obtenir la liste des compartiments disponibles pour les groupes de journaux auxquels le groupe peut avoir accès. Ceci est requis pour utiliser l'explorateur de journaux.

Vous pouvez ajouter des énoncés de politique propres à un compartiment pour un nombre illimité de compartiments que vous voulez créer afin d'organiser des ressources telles que des entités et des groupes de journaux. Ces ressources peuvent également se trouver dans des compartiments différents. Il n'est pas nécessaire que toutes les instances de ressource de types différents se trouvent dans le même compartiment. Toutefois, leur gestion peut être plus facile si vous pouvez réduire le nombre de compartiments utilisés.

Au lieu d'utiliser la famille de ressources, vous pouvez également spécifier une politique au niveau de chaque ressource. Par exemple :

Politique Description

allow group DBA to use loganalytics-entity in compartment Databases

Les utilisateurs du groupe DBA peuvent créer, modifier ou supprimer des entités et activer ou désactiver la collecte de journaux pour les entités du compartiment Bases de données.

allow group DBA to use loganalytics-log-group in compartment Databases

Les utilisateurs du groupe DBA peuvent créer, modifier ou supprimer des groupes de journaux et interroger les journaux stockés dans le compartiment Bases de données.

Certains des énoncés de politique ci-dessus sont inclus dans les modèles de politique prédéfinis par Oracle. Vous pouvez envisager d'utiliser le modèle pour votre cas d'utilisation. Voir Modèles de politique définis par Oracle pour les cas d'utilisation communs.

Pour les politiques permettant d'effectuer des tâches spécifiques et une référence complète aux exigences de politique dans Log Analytics, voir Catalogue de politiques IAM pour Log Analytics.

Note

Si vous avez activé Oracle Log Analytics à l'aide de l'interface utilisateur d'intégration qui est disponible lorsque vous naviguez vers le service pour la première fois, certaines politiques sont déjà créées. Voir Politiques créées lors de l'intégration de Log Analytics.

Activer Log Analytics

Après avoir terminé les tâches préalables telles que la création de groupes d'utilisateurs, la création de compartiments et la définition de politiques d'accès pour les groupes d'utilisateurs, vous pouvez accéder à Oracle Log Analytics et l'activer pour utilisation.

Pour activer Oracle Log Analytics, vous devez être membre du groupe Administrateurs. Voir Rôles du groupe Administrateurs, de la politique et de l'administrateur.

  1. Ouvrez le menu de navigation, cliquez sur Observabilité et gestion, puis sur Log Analytics.

  2. Si vous utilisez le service dans cette région pour la première fois, vous accédez à une page d'intégration qui vous fournit des détails de haut niveau sur le service et une option pour commencer à utiliser le service Oracle Log Analytics. Cliquez sur Commencer à utiliser Log Analytics.

    La boîte de dialogue Activer Log Analytics s'affiche. Ici, les politiques minimales et le groupe de journaux requis sont créés s'ils n'existent pas déjà.

  3. Cliquez sur Suivant. La collection du journal de vérification OCI est configurée.

    La case à cocher Inclure _Audit dans les sous-compartiments est activée par défaut. Vous pouvez le désactiver, si nécessaire. Selon vos préférences, les politiques sont créées et les actions appropriées sont exécutées.

    Cliquez sur Suivant.

  4. Une fois l'intégration terminée, cliquez sur M'inscrire à l'explorateur de journaux.

Vous pouvez maintenant explorer Oracle Log Analytics.

Note

Pour voir la liste des politiques créées dans le processus ci-dessus, voir Politiques créées lors de l'intégration de Log Analytics.