Documentation Oracle Cloud Infrastructure

Export en masse d'événements du journal d'audit

Explique comment exporter des événements de journal d'audit en masse.

Si vous effectuez votre demande après le 30 juin 2023, utilisez le service Logging et Service Connector Hub pour demander un export en masse des journaux d'audit. Pour plus d'informations, reportez-vous à Scénario : archivage de journaux dans Object Storage.

Cette page décrit le processus précédent de demande d'export en masse des journaux d'audit.

Points clés

  • Les administrateurs ont le contrôle total des buckets et peuvent fournir aux autres utilisateurs des instructions de stratégie IAM.

  • Les journaux exportés restent disponibles indéfiniment.

    Conseil

    Reportez-vous à Utilisation de la gestion du cycle de vie des objets.
  • Indiquez toutes les régions à exporter dans votre demande. Si vous demandez uniquement certaines régions, puis que vous décidez ultérieurement d'ajouter d'autres régions, vous devez effectuer une autre demande.
  • Pour désactiver l'export en masse, contactez le support technique Oracle. Les nouveaux journaux ne seront plus ajoutés au bucket et les journaux d'audit seront disponibles que via la console, en fonction de la période de conservation que vous avez définie.

Stratégie IAM obligatoire

Pour accéder au bucket où Oracle exporte les journaux d'audit, vous devez être membre du groupe Administrateurs. Reportez-vous à Stratégie et groupe des administrateurs

Demande d'export des journaux d'audit

Remarque

Si vous effectuez votre demande après le 30 juin 2023, utilisez le service Logging et Service Connector Hub pour demander un export en masse des journaux d'audit. Pour plus d'informations, reportez-vous à Scénario : archivage de journaux dans Object Storage.

Pour les clients qui ont déjà utilisé ce workflow, un membre du groupe Administrateurs de votre location doit créer un ticket sur My Oracle Support et fournir les informations suivantes : 

  • Nom du ticket : Exporter les journaux d'audit - <nom_de_votre_entreprise>
  • OCID de location
  • Régions

Par exemple :

  • Nom du ticket : Exporter des journaux d'audit - ACME
  • OCID de location : ocid1.tenancy.oc1.<ID_unique>
  • Régions : US East (Ashburn), identifiant de région = us-ashburn-1 ; (US West (Phoenix)), identifiant de région = us-phoenix-1
Remarque

Cinq à dix jours ouvrables peuvent être nécessaires avant que le ticket My Oracle Support ne soit traité et que les journaux ne soient mis à votre disposition.

Détails du bucket et de l'objet

Cette section indique les conventions d'appellation du bucket et des objets que vous recevez.

Format du nom de bucket

Le support technique Oracle crée des buckets pour les exports de journal d'audit à l'aide du format d'appellation suivant :

oci-logs. _audit. <compartment_OCID>

  • oci-logs indique qu'Oracle a créé ce bucket.
  • _audit indique que le bucket contient des événements d'audit.
  • <compartment_OCID> indique le compartiment où les événements d'audit ont été générés.

Par exemple : 

oci-logs._audit.ocid1compartment.oc1..<unique_ID>
Important

Si l'OCID du compartiment ayant généré le journal d'audit contient le signe deux-points, le nom de bucket ne correspondra pas à l'OCID. Pour créer un bucket, Oracle doit remplacer les deux-points (:) de l'OCID par des points (.) dans le nom de bucket.

Format de nom d'objet

Les objets utilisent le format d'appellation suivant :

<region>/<ad>/<YYYY-MM-DDTHH:MMZ>[_<seqNum>].log.gz

  • <region> indique la région où les événements d'audit ont été générés.
  • <ad> identifie le domaine de disponibilité où les événements d'audit ont été générés.
  • <YYYY-MM-DDTHH:MMZ> indique l'heure de début de l'événement d'audit le plus ancien répertorié dans l'objet.
  • [_<seqNum>] indique un numéro de séquence conditionnel. S'il est présent, ce nombre signifie soit qu'un événement est en retard, soit que l'objet est devenu trop volumineux pour écrire. Les numéros de séquence commencent à partir de deux. Appliquez plusieurs numéros de séquence à l'objet d'origine dans l'ordre indiqué.

Par exemple :

us-phoenix-1/ad1/2019-03-21T00:00Z.log.gz
us-phoenix-1/ad1/2019-03-21T00:00Z_2.log.gz

Format de fichier

Les fichiers répertorient un seul événement d'audit par ligne. Pour plus d'informations, reportez-vous à Contenu d'un événement de journal d'audit.

Remarque

Audit a introduit la version 2 du schéma des journaux d'audit mais l'export en masse est actuellement disponible pour les journaux de schéma de version 1 uniquement.