Visualisation des événements de journal d'audit
Décrit comment afficher les événements de journal d'audit.
Audit fournit les enregistrements des opérations d'API effectuées par rapport aux services pris en charge sous la forme d'une liste d'événements de journal. Le service consigne des événements au niveau du locataire et du compartiment.
Lors de la visualisation des événements journalisés par Audit, vous serez peut-être intéressé par des activités spécifiques ayant eu lieu dans la location ou le compartiment, ainsi que par la personne responsable de l'activité. Vous devrez connaître la date et l'heure approximatives d'un événement, ainsi que le compartiment dans lequel il s'est produit pour afficher la liste des événements de journal incluant l'activité en question. Répertoriez les événements de journal en indiquant une plage horaire au format 24 h sur le fuseau horaire GMT, en calculant le décalage par rapport à votre fuseau horaire local, le cas échéant. La nouvelle activité est ajoutée à la liste existante, généralement dans les 15 minutes suivant l'appel d'API, sachant que le temps de traitement peut varier.
Stratégie IAM obligatoire
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès sécurisé dans une stratégie . Cet accès est requis que vous utilisiez la console ou l'API REST avec un kit SDK, l'interface de ligne de commande ou un autre outil. Si un message vous indique que vous ne disposez pas des droits d'accès ou des autorisations nécessaires, vérifiez auprès de l'administrateur le type d'accès qui vous a été accordé et le compartiment dans lequel vous devez travailler.
Pour les administrateurs : l'instruction de stratégie suivante donne au groupe spécifié (Auditeurs) la capacité de visualiser tous les journaux d'événement d'audit de la location :
Allow group Auditors to read audit-events in tenancyPour donner à ce groupe l'accès aux journaux des événements d'audit dans un compartiment spécifique uniquement (ProjectA), écrivez une stratégie comme la suivante :
Allow group Auditors to read audit-events in compartment ProjectASi vous n'avez pas de connaissances en matière de stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes. Pour plus de détails sur les stratégies d'audit, reportez-vous à Détails du service Audit.
Recherche et filtrage dans la console
Lorsque vous accédez à Audit dans la console, la liste des résultats est générée pour le compartiment en cours. Les journaux d'audit sont organisés par compartiment. Par conséquent, si vous recherchez un événement particulier, vous devez connaître le compartiment dans lequel l'événement s'est produit. Vous pouvez filtrer la liste de l'une des manières suivantes :
- Date et heure
- Types d'action de demande (opérations)
- Mots-clés
Par exemple, les utilisateurs commencent à signaler que leurs tentatives de connexion échouent. Vous souhaitez utiliser Audit pour rechercher le problème. Ajustez la date et l'heure pour rechercher les échecs correspondants au cours d'une fenêtre de temps qui démarre un peu avant que les événements soient signalés. Recherchez les échecs correspondants et les opérations similaires précédant les échecs afin de mettre en corrélation la cause des échecs.
Le service consigne les événements au moment où ils sont traités. Un délai peut exister entre le moment où une opération se produit et le traitement de celle-ci.
Vous pouvez filtrer les résultats par actions de demande de zéro dans les événements qui vous intéressent uniquement. Imaginons par exemple que vous souhaitez connaître uniquement les instances qui ont été supprimées pendant une période donnée. Sélectionnez un filtre d'action de suppression de demande pour afficher uniquement les événements avec des opérations de suppression.
Vous pouvez également les filtrer par mot-clé. Les filtres par mot-clé sont puissants s'ils sont combinés aux valeurs des champs d'événement d'audit. Par exemple, vous connaissez le nom utilisateur d'un compte et souhaitez obtenir la liste de toutes les activités associées à ce compte dans une période donnée. Effectuez une recherche à l'aide du nom utilisateur comme filtre de mot-clé.
Chaque événement d'audit contient les mêmes champs, vous devez donc rechercher des valeurs dans ces champs. Pour mieux comprendre les valeurs disponibles, reportez-vous à Contenu d'un événement de journal d'audit.