Ingérer les journaux d'autres services OCI à l'aide du connecteur de service

Vous pouvez analyser les journaux pour résoudre des problèmes, surveiller l'état et la performance, et observer les tâches opérationnelles des services Oracle Cloud Infrastructure en ingérant les journaux dans Oracle Log Analytics.

Utilisez le connecteur de service pour identifier le service Oracle Cloud Infrastructure comme source des journaux et Oracle Log Analytics comme destination. Pour plus d'informations sur le fonctionnement du centre de connecteurs de service, voir Aperçu du centre de connecteurs de service dans la documentation sur Oracle Cloud Infrastructure.

Note

Une fois le connecteur de service créé, une entité est automatiquement créée pour le traitement des journaux. Pour garantir une collecte appropriée des journaux, l'entité ne doit pas être supprimée.

Dans le cas des journaux d'Oracle Operator Access Control, l'entité n'est pas créée automatiquement. Pour créer une entité, voir Créer une entité pour représenter votre ressource émettrice de journaux.

Sujets

Important : Oracle recommande d'utiliser le flux de travail d'ingestion de données disponible dans la console Log Analytics pour ingérer rapidement les journaux d'autres services OCI. Allez à Log Analytics Accueil ou Explorateur de journaux, cliquez sur Bouture, puis sur Ajouter des données.

  • Pour tous les types de journaux des services OCI, à l'exception des journaux de vérification OCI et des journaux de vérification IDCS, développez la section Surveiller les ressources OCI et cliquez sur Configurer la collecte de journaux pour les ressources OCI.
  • Dans le cas des journaux de vérification OCI ou des journaux de vérification IDCS, développez la section Sécurité et conformité et cliquez sur les journaux de votre choix. Dans ce flux de travail, toutes les ressources requises, telles que les politiques, le groupe de journaux et le connecteur de service, sont créées automatiquement.

Suivez les étapes intuitives du flux de travail pour démarrer l'ingestion des journaux. Comme préalable, assurez-vous que vous disposez des autorisations requises pour effectuer les étapes. Pour une présentation rapide des étapes, regardez la vidéo : Comment ingérer rapidement des journaux dans Log Analytics à partir d'autres services OCI dans Oracle Cloud Observability and Management Platform.

Vous pouvez également configurer manuellement la collecte de journaux en procédant comme suit :

Informations supplémentaires

  • Liste des sources définies par Oracle pour la collecte des journaux : Pour obtenir la liste des sources définies par Oracle pour collecter les journaux des services Oracle Cloud Infrastructure, voir Sources définies par Oracle et rechercher des sources avec le titre OCI...

  • Types de journaux de service que vous pouvez collecter : Pour les types de journaux que vous pouvez collecter à partir des services Oracle Cloud Infrastructure, les analyseurs, le contenu de l'exemple de journal, les champs et chemin JSON, voir Informations détaillées sur l'analyseur pour OCI.

  • Filtrer les journaux collectés au moyen du connecteur de service : L'OCID du connecteur de service est mappé au champ Log Origin. Pour voir les journaux circulant de ce connecteur de service vers Oracle Log Analytics, filtrez les journaux en fonction du champ Log Origin. Voir Filtrer les journaux par attributs et champs épinglés.

Autoriser la collecte des journaux à partir du service de journalisation OCI

En fonction du type de journaux de service que vous voulez ingérer, vous devez créer des politiques pour activer Oracle Log Analytics afin d'obtenir les informations sur les ressources et créer une entité pour chaque ressource.

Une fois la politique créée, l'entité créée est associée automatiquement à tous les journaux collectés à partir de cette ressource. Si la politique n'est pas créée, les journaux sont toujours ingérés, mais l'entité n'est pas créée.

Les autorisations suivantes permettent de charger des journaux dans Oracle Log Analytics à partir du connecteur de service. Vous êtes invité à ajouter ces énoncés de politique lorsque vous créez le connecteur de service au moyen de la console OCI. Vous pouvez également créer manuellement la politique qui inclut les énoncés suivants :

allow any-user to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in compartment id <Log_Group_Compartment_OCID> where all {request.principal.type = 'serviceconnector', target.loganalytics-log-group.id = '<Log_Group_OCID>', request.principal.compartment.id = '<Service_Connector_Compartment_OCID>'}
allow group <userGroup> to MANAGE serviceconnectors in tenancy
allow group <userGroup> to READ logging-family in tenancy

Dans les énoncés de politique ci-dessus,

  • Log_Group_Compartment_OCID : OCID du compartiment du groupe de journaux dans Oracle Log Analytics où les journaux doivent être stockés.

  • Log_Group_OCID : OCID du groupe de journaux dans Oracle Log Analytics où les journaux doivent être stockés.

  • Service_Connector_Compartment_OCID : OCID du compartiment du centre de connecteurs de service.

Note

Si vous avez activé Oracle Log Analytics à l'aide de l'interface utilisateur d'intégration qui est disponible lorsque vous naviguez vers le service pour la première fois, certaines politiques sont déjà créées. Voir Politiques créées lors de l'intégration de Log Analytics.

Politique pour chaque type de journaux de service

Oracle Log Analytics crée une entité représentant la ressource OCI sous-jacente lors de la réception de nouveaux journaux au moyen du connecteur de service. Pour obtenir les informations nécessaires de la ressource OCI, vous devez fournir à Oracle Log Analytics un accès minimal de read à la ressource OCI. Par exemple, pour lire des informations sur un seau dans le stockage d'objets, vous pouvez écrire l'une des politiques suivantes :

Énoncé de politique avec READ PRIVILEGE de la ressource OCI :

allow resource loganalyticsvrp LogAnalyticsVirtualResource to {BUCKET_READ} in compartment <specify_compartment>

OU

Énoncé de politique avec le verbe de lecture pour OCI RESOURCE :

allow resource loganalyticsvrp LogAnalyticsVirtualResource to read buckets in compartment <specify_compartment>

Les énoncés de politique ci-dessus limitent l'accès read à un compartiment. Pour étendre l'accès à l'ensemble de la location, vous pouvez modifier l'énoncé de politique en conséquence.

Les ressources OCI suivantes sont prises en charge dans Oracle Log Analytics pour la collecte des journaux au moyen du connecteur de service. Vous pouvez créer la politique à l'aide du verbe de lecture pour la ressource OCI ou utiliser le privilège de lecture pour la ressource, comme illustré ci-dessus.

Description de la ressource OCI Ressource OCI Privilège de lecture
Instance Analytics Cloud analytics-instances ANALYTICS_INSTANCE_READ
Passerelle d'API api-gateways API_GATEWAY_READ
Domaine APM apm-domains APM_DOMAIN_READ
Moteur d' conteneur pour Kubernetes clusters CLUSTER_READ
Flux de données (application) dataflow-application DATAFLOW_APPLICATION_READ
Espace de travail du service d'intégration de données dis-workspaces DIS_WORKSPACE_READ
Postes en science des données data-science-jobs DATA_SCIENCE_JOB_READ
Déploiements de modèles du service de science des données data-science-model-deployments DATA_SCIENCE_MODEL_DEPLOYMENT_READ
Pipeline de compilation DevOps devops-build-pipeline DEVOPS_BUILD_PIPELINE_READ
Étape de pipeline de compilation DevOps devops-build-pipeline-stage DEVOPS_BUILD_PIPELINE_STAGE_READ
Exécution de compilation DevOps devops-build-run DEVOPS_BUILD_RUN_READ
Déploiement DevOps devops-deployment DEVOPS_DEPLOY_DEPLOYMENT_READ
Pipeline de déploiement DevOps devops-deploy-pipeline DEVOPS_DEPLOY_PIPELINE_READ
Étape de déploiement DevOps devops-deploy-stage DEVOPS_DEPLOY_STAGE_READ
Service de transmission de messages approved-senders APPROVED_SENDER_READ
Service d'événements cloudevents-rules EVENTRULE_READ
Fonctions (application FN) fn-app FN_APP_READ
Fonctions (fonction FN) fn-function FN_FUNCTION_READ
Déploiement GoldenGate goldengate-deployments GOLDENGATE_DEPLOYMENT_READ
Instance instances INSTANCE_READ
Tunnel IPSec ipsec-connections IPSEC_CONNECTION_READ
Équilibreur de charge load-balancers LOAD_BALANCER_READ
Workflow de média media-workflow MEDIA_WORKFLOW_READ
Tâche de flux de travail de médias media-workflow-job MEDIA_WORKFLOW_JOB_READ
Pare-feu de réseau network-firewall NETWORK_FIREWALL_READ
Stockage d'objets (seau) buckets BUCKET_READ
Service OCI Database with PostgreSQL postgres-db-systems POSTGRES_DB_SYSTEM_READ
Instance OIC integration-instance INTEGRATION_INSTANCE_READ
Contrôle des opérateurs operator-control-family -
Connecteur de service serviceconnectors SERVICE_CONNECTOR_READ
VCN - VNIC vnics, vcns, subnets VNIC_READ, VCN_READ, SUBNET_READ
Pare-feu pour application Web web-app-firewall WEB_APP_FIREWALL_READ
Note

Si vous avez activé Oracle Log Analytics à l'aide de l'interface utilisateur d'intégration qui est disponible lorsque vous naviguez vers le service pour la première fois, certaines politiques sont déjà créées. Voir Politiques créées lors de l'intégration de Log Analytics.

Configurer le connecteur de service pour ingérer les journaux

Avant de configurer le connecteur de service pour l'ingestion des journaux, assurez-vous que le compartiment et le groupe de journaux sont identifiés pour les journaux que vous voulez ingérer.

Dans l'exemple suivant, les étapes vous montrent comment collecter les journaux du service de réseau en nuage virtuel à partir du service de journalisation pour Oracle Cloud Infrastructure :

  1. Cette étape suggestive explique comment activer les journaux dans le service de journalisation pour Oracle Cloud Infrastructure.

    Allez au service de journalisation pour Oracle Cloud Infrastructure et allez à Journaux.

    Cliquez sur Activer le journal des ressources pour activer les journaux du service de réseau en nuage virtuel. La boîte de dialogue apparaît.

    1. Sélectionnez le compartiment de la ressource.
    2. Sélectionnez le service, par exemple Réseau en nuage virtuel (sous-réseaux).
    3. Sélectionnez la ressource, par exemple la ressource de réseau en nuage virtuel.
    4. Sous Configurer le journal, sélectionnez la catégorie de journal, par exemple Journaux de flux, et le nom du journal.
    5. Sous Emplacement de journal, sélectionnez le compartiment et le groupe de journaux à partir desquels Oracle Log Analytics référera les journaux.

    Cliquez sur Activer le journal.

  2. Configurez le connecteur de service en spécifiant le service source des journaux et la cible comme Oracle Log Analytics. Vous pouvez le configurer à partir du service source qui a été intégré au centre de connecteurs de service Oracle Cloud Infrastructure, par exemple, le service de journalisation pour Oracle Cloud Infrastructure ou directement à partir du centre de connecteurs de service Oracle Cloud Infrastructure.

    Allez au service de journalisation pour Oracle Cloud Infrastructure, allez à Connecteurs de service, puis cliquez sur Créer un connecteur.

    Sinon, allez à Oracle Cloud Infrastructure - Centre de connecteurs de service et cliquez sur Créer un connecteur de service.

    La page Créer un connecteur de service apparaît.

    1. Entrez un nom pour le connecteur et entrez une description.
    2. Sélectionnez le compartiment de ressources dans lequel la ressource de connecteur doit être créée.
    3. Sous Configurer le connecteur de service, spécifiez Journalisation comme service source et Logging Analytics comme service cible.
    4. Sous Configurer la connexion source, fournissez les détails des journaux à collecter auprès du service, par exemple les journaux du service de réseau en nuage virtuel.

      Sélectionnez le nom du compartiment, le groupe de journaux auquel appartiennent les journaux et le nom des journaux que vous avez configurés à l'étape 1.

    Vous pouvez configurer le même connecteur de service pour collecter d'autres journaux. Cliquez sur Autre journal et répétez l'étape 2-d.

    Facultativement, vous pouvez créer des filtres sous Configurer une tâche.

    Cliquez sur Créer un connecteur.

Une fois le connecteur de service créé, vous pouvez vérifier que les journaux sélectionnés sont disponibles dans Oracle Log Analytics.

Autoriser la collecte de journaux interlocation à partir du service de journalisation OCI

Laissez Source_Tenant être le locataire du service source, par exemple le service de journalisation pour Oracle Cloud Infrastructure, à partir duquel les journaux sont collectés. Laissez Target_Tenant être le locataire dans lequel le connecteur de service est créé. Le connecteur de service est configuré avec Oracle Log Analytics comme cible pour les journaux collectés à partir du service source. Il est supposé que le centre de connecteurs de service et Oracle Log Analytics sont disponibles sur le même locataire cible.

Définissez les politiques suivantes pour configurer la collecte de journaux à partir d'une location différente de la location dans laquelle le connecteur de service est créé.

Politiques à ajouter dans le locataire source

Voici des exemples d'énoncés de politique qui permettent à tout utilisateur de la location du centre de connecteurs de service d'avoir un accès READ au service de journalisation :

define tenancy <Target_Tenant> as <Target_Tenant_OCID>
define group <Common_User_Group> as <Common_User_Group_OCID>
admit any-user of tenancy <Target_Tenant> to read logging-family IN TENANCY WHERE ALL {request.principal.type = 'serviceconnector'}
admit group <Common_User_Group> of tenancy <Target_Tenant> to read logging-family IN TENANCY

En outre, les autorisations suivantes sont requises pour lire les journaux d'événements du service de vérification :

admit group <Common_User_Group> of tenancy <Target_Tenant> to read audit-events in TENANCY
admit any-user of tenancy <Target_Tenant> to read audit-events IN tenancy WHERE ALL {request.principal.type = 'serviceconnector'}

Assurez-vous de définir la politique pour le type de journal de service qui doit être collecté à partir du service source. Voir Autoriser la collecte des journaux à partir du service de journalisation OCI.

Politiques à ajouter dans le locataire cible

Voici un exemple d'énoncés de politique qui permettent à tout utilisateur d'accéder au service de journalisation au moyen du centre de connecteurs de service et au groupe IAM cible Common_User_Group d'avoir accès à MANAGE au centre de connecteurs de service :

define tenancy <Source_Tenant> as <Source_Tenant_OCID>
endorse any-user to read logging-family IN tenancy <Source_Tenant> WHERE ALL {request.principal.type = 'serviceconnector'}
endorse group <Common_User_Group> to read logging-family IN tenancy <Source_Tenant>

En outre, les autorisations suivantes sont requises pour lire les journaux d'événements du service de vérification source :

endorse group <Common_User_Group> to read audit-events in tenancy <Source_Tenant>
endorse any-user to read audit-events in tenancy <Source_Tenant> WHERE ALL {request.principal.type = 'serviceconnector'}

Les autorisations suivantes permettent de charger des journaux dans Oracle Log Analytics à partir du connecteur de service. Assurez-vous de créer manuellement la politique qui inclut les énoncés suivants :

allow any-user to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in compartment id <Log_Group_Compartment_OCID> where all {request.principal.type = 'serviceconnector', target.loganalytics-log-group.id = '<Log_Group_OCID>', request.principal.compartment.id = '<Service_Connector_Compartment_OCID>'}
allow group <Common_User_Group> to MANAGE serviceconnectors in tenancy

Dans les énoncés de politique ci-dessus,

  • Log_Group_OCID : OCID du groupe de journaux Oracle Log Analytics.

  • Log_Group_Compartment_OCID : OCID du compartiment où se trouve le groupe de journaux Oracle Log Analytics.

  • Service_Connector_Compartment_OCID : OCID du compartiment du connecteur de service.

  • Common_User_Group : Groupe d'utilisateurs qui crée le connecteur de service.

Créer un connecteur entre les locataires source et cible

Une fois les politiques requises créées pour les locataires source et cible, créez un connecteur de service à l'aide de l'interface de ligne de commande. L'exemple de commande d'interface de ligne de commande suivant spécifie la journalisation comme source et Oracle Log Analytics comme cible pour la création du connecteur de service interlocation :

oci --profile <Target_Profile> sch service-connector create 
    --display-name XTenancyConnector 
    --compartment-id <Connector_Compartment_OCID> 
    --source '{ "kind": "logging", "logSources": 
        [ { "compartmentId": "<Logging_LogGroup_Compartment_OCID>", 
            "logGroupId": "<Logging_LogGroup_OCID>" } ] }' 
    --target '{ "kind": "loggingAnalytics", "logGroupId": "<LogAnalytics_LogGroup_OCID>" }'

La commande ci-dessus est formatée pour une meilleure lisibilité. Supprimez des caractères tels que nouvelle ligne, onglet et des espaces supplémentaires avant de l'exécuter.

Dans la commande d'interface de ligne de commande ci-dessus,

  • Target_Profile : Profil dans le fichier .oci/config qui est mappé à la location cible.

  • Connector_Compartment_OCID : OCID du compartiment dans lequel la ressource de connecteur de service est créée.

  • Logging_LogGroup_Compartment_OCID : OCID du compartiment auquel appartient le groupe de journaux du service de journalisation pour Oracle Cloud. Il s'agit du locataire source.

  • Logging_LogGroup_OCID : OCID du groupe de journaux du service de journalisation pour Oracle Cloud. Il s'agit du locataire source.

  • LogAnalytics_LogGroup_OCID : OCID du groupe de journaux Oracle Log Analytics. Il s'agit du locataire cible.

Pour plus de détails sur la commande de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface de ligne de commande - Créer.

Une fois le connecteur de service créé, vous pouvez vérifier que les journaux sélectionnés sont disponibles dans Oracle Log Analytics.

Arrêter la collecte des journaux à partir du connecteur de service

Si vous avez configuré un connecteur de service pour collecter en continu les journaux de la journalisation OCI vers Oracle Log Analytics, vous pouvez arrêter la collecte des journaux en désactivant le connecteur ou en le supprimant.

Si vous devez arrêter temporairement la collecte de journaux, mais conserver la configuration du connecteur afin de pouvoir redémarrer la collecte de journaux ultérieurement, désactivez le connecteur.

Si vous voulez arrêter définitivement la collecte de journaux du connecteur de service, supprimez le connecteur.

  1. Identifier le connecteur de service configuré pour la collecte de journaux : Naviguez jusqu'au service de centre de connecteurs et répertoriez les connecteurs de votre compartiment. Voir Liste des connecteurs.

    Cliquez sur le nom du connecteur pour voir les détails et la configuration du connecteur. Identifiez le connecteur de service approprié configuré pour la collecte des journaux.

  2. Arrêter la collecte de journaux : Selon vos besoins, cliquez sur Désactiver ou sur Supprimer. Voir Désactivation d'un connecteur et Suppression d'un connecteur.

    Cela arrête le flux de données du service OCI spécifique vers Oracle Log Analytics.

Si vous avez désactivé le connecteur et souhaitez redémarrer la collecte des journaux, réactivez ce connecteur. Voir Activation d'un connecteur.