Documentation Oracle Cloud Infrastructure

Dépannage de Cloud Guard

Utilisez les informations de dépannage pour identifier et résoudre les problèmes courants qui peuvent survenir lors de l'utilisation du service Oracle Cloud Guard.

Aucun problème détecté

Corrigez les problèmes d'activation qui empêchent Cloud Guard de détecter les problèmes.

Vous avez suivi la procédure décrite dans Activation de Cloud Guard et aucun problème ne commence à apparaître sur la page Problèmes après environ 30 à 60 minutes.

Vérification de l'ajout d'une recette de détecteur à la cible

Les étapes décrites dans Activation de Cloud Guard vous obligent à définir une cible en spécifiant les compartiments à surveiller dans la location OCI. Si vous n'avez pas non plus sélectionné de recette de détecteur de configuration OCI ou de recette de détecteur d'activité OCI, aucun détecteur n'a été ajouté à la cible. Sans l'ajout d'au moins un détecteur à la cible, aucun problème ne peut être signalé.

Reportez-vous à Modification d'une cible OCI et de ses recettes attachées.

Catégories de problèmes spécifiques non détectées

Corrigez les problèmes d'activation qui empêchent Cloud Guard de détecter toutes les catégories de problèmes.

Vous avez suivi la procédure décrite dans Activation de Cloud Guard et les problèmes apparaissent sur la page Problèmes, mais toute une catégorie de problèmes n'apparaît toujours pas.

Vérification de l'ajout d'une recette de détecteur à la cible pour chaque catégorie

Si vous avez ignoré la sélection d'une recette de détecteur pour une catégorie de problèmes particulière dans Activation de Cloud Guard, aucune recette de détecteur n'est ajoutée à la cible pour cette catégorie de problèmes. Si aucun détecteur n'est ajouté à la cible pour une catégorie de problèmes particulière, Cloud Guard ne détecte pas les problèmes de cette catégorie.

Reportez-vous à Modification d'une cible OCI et de ses recettes attachées.

Aucun événement généré

Corrigez les problèmes d'activation qui empêchent Cloud Guard de générer des événements.

Vous avez effectué les étapes décrites dans Activation de Cloud Guard et les problèmes apparaissent sur la page Problèmes, mais aucun événement n'est généré en vue de l'extraction par le service Notifications (reportez-vous à Configuration des notifications).

Remarque

Seuls les nouveaux problèmes détectés par Cloud Guard dans les notifications d'événement déclencheur. Pour déclencher des notifications d'événement pour des problèmes plus anciens :
  1. Localisez la ligne du problème sur la page Problèmes.

    Reportez-vous à la section Listing Problems and Getting Their Details.

  2. Cochez la case située à l'extrémité gauche de la ligne pour le problème.

    Vous pouvez sélectionner un problème supplémentaire à traiter en une seule opération.

  3. Sélectionnez Marquer comme résolu en haut de la liste des problèmes.

    Un déclencheur est déclenché pour la règle d'événement que vous avez marquée comme résolue, si les conditions sont remplies pour la classer en tant que nouveau problème. Reportez-vous à Cycle de vie d'un problème.

Vérification de l'ajout de la recette de répondeur OCI à la cible

Les étapes décrites dans Activation de Cloud Guard vous obligent à définir une cible en spécifiant les compartiments à surveiller dans la location OCI. Si vous n'avez pas également sélectionné la recette de répondeur OCI, la règle de répondeur d'événement cloud dans la recette de répondeur OCI ne peut pas envoyer d'événements au service Notifications.

Reportez-vous à Modification d'une cible OCI et de ses recettes attachées.

Impossible de traiter les problèmes PSM

Vous ne pouvez pas rejeter ou résoudre les problèmes liés au compartiment PaaS Service Manager (PSM) (nommé ManagedCompartmentForPaaS).

Vous avez suivi la procédure décrite dans Activation de Cloud Guard et toutes les catégories de problèmes apparaissent sur la page Problèmes. Vous pouvez rejeter ou résoudre tous les problèmes, à l'exception de ceux qui sont liés au compartiment PSM.

Pour plus d'informations sur le compartiment ManagedCompartmentForPaaS, reportez-vous à Ressources créées dans votre location par Oracle.

Création d'un ticket d'assistance pour fournir des privilèges spéciaux

Le service PSM contrôle l'accès au compartiment PSM dans votre location OCI, de sorte que les stratégies requises par Cloud Guard n'affectent pas votre accès via Cloud Guard aux ressources du compartiment PSM. Pour obtenir les privilèges nécessaires au rejet ou à la résolution des problèmes liés au compartiment PSM, procédez comme suit :

  1. Créez un ticket d'assistance Oracle.
  2. Fournissez les détails suivants sur la nécessité de ces privilèges pour Cloud Guard :
    • ID de location OCI
    • OCID des problèmes Cloud Guard que vous essayez de rejeter
  3. PSM et l'équipe OCI Identity ajoutent ensuite la stratégie suivante :

    allow group administrators to use cloud-guard-problems in compartment managedcompartmentforpaas

    Remarque

    Il s'agit d'un compartiment spécial pour lequel la capacité de résolution des problèmes Cloud Guard peut uniquement être accordée à un groupe d'administration.
  4. Une fois que l'équipe de support technique vous informe qu'elle a ajouté la stratégie, vous pouvez rejeter et résoudre les problèmes liés au compartiment PSM.

Erreur indiquant une exception non autorisée ou introuvable dans l'appel d'API

L'appel d'API échoue avec l'erreur NotAuthorizedOrNotFoundException.

Remarque

Ces problèmes concernent la région de génération de rapports Cloud Guard.

La région de génération de rapports Cloud Guard n'est PAS identique à la région d'origine OCI.

Pour consulter la région de génération de rapports, dans le panneau d'options Cloud Guard de gauche, sélectionnez Paramètres.

Pour consulter la région dans laquelle vous vous trouvez, ouvrez la liste déroulante des régions en haut de la page.

Situation 1 : lors de l'exécution d'appels d'API en dehors de la région de génération de rapports de votre location Cloud Guard, procédez comme suit :

  • Les appels d'API READ sont effectués.
  • Tous les appels CREATE, UPDATE et DELETE échouent avec l'erreur NotAuthorizedOrNotFoundException.

Situation 2 : lors de l'exécution d'appels d'API LIST qui ne spécifient pas la région de génération de rapports, certains appels échouent avec l'erreur NotAuthorizedOrNotFoundException.

Situation 1 : exécution d'appels d'API CREATE, UPDATE et DELETE uniquement sur la région de reporting

En raison de leur conception, les appels d'API CREATE, UPDATE et DELETE sont uniquement autorisés sur la région de génération de rapports. Evitez d'effectuer ces types d'appel d'API en dehors de la région de génération de rapports.

Situation 2 : lors des appels d'API LIST, indiquez la région de reporting

Bien que certains appels d'API LIST ne nécessitent pas la transmission de la région de reporting en tant que paramètre, vous pouvez éviter l'erreur NotAuthorizedOrNotFoundException en transmettant toujours la région de reporting dans les appels d'API LIST.

Si vous obtenez l'erreur NotAuthorizedOrNotFoundException sur un appel d'API LIST pour lequel vous n'avez pas réussi la région de reporting, la réémission de l'appel avec la région de reporting transmise devrait effacer l'erreur.

Ressources gérées par Oracle non visibles

Après avoir activé Cloud Guard via l'API ou l'interface de ligne de commande Cloud Guard, aucune ressource gérée par Oracle n'apparaît dans la console Cloud Guard.

Si l'appel d'API ou la commande d'interface de ligne de commande qui active Cloud Guard transmet selfManageResources en tant que true, aucune des recettes de détecteur, recettes de répondeur ou listes gérées par Oracle par défaut n'apparaît dans l'interface utilisateur de la console Cloud Guard.

Vous ne pouvez pas annuler l'effet de l'activation de Cloud Guard avec selfManageResources comme true. Vous ne disposez donc que de deux options pour résoudre ce problème :

  • Désactivez et réactivez Cloud Guard.
    1. Désactivez Cloud Guard via la console. Reportez-vous à Gestion des paramètres Cloud Guard.
    2. Réactivez Cloud Guard via la console. Reportez-vous à Etapes d'activation de Cloud Guard.

      Vous pouvez également réactiver Cloud Guard via l'API ou l'interface de ligne de commande.

    Cette approche est généralement préférable, en particulier si vous détectez le problème peu de temps après l'activation de Cloud Guard et avant l'ingestion d'une grande quantité de données.

  • Créez des versions gérées par l'utilisateur des ressources gérées par Oracle, à l'aide des appels d'API Cloud Guard ou des commandes d'interface de ligne de commande. Reportez-vous aux étapes de la section suivante.

    Cette approche est préférable si vous avez volontairement activé Cloud Guard avec selfManageResources comme true.

Utilisation de l'interface de ligne de commande ou de l'API Cloud Guard pour créer des ressources gérées par l'utilisateur

Les détails des étapes suivantes sont propres à l'utilisation de l'API Cloud Guard.

  1. Utilisez UpdateConfiguration pour activer Cloud Guard en définissant explicitement selfManageResources sur true.

  2. Appelez les opérations suivantes pour répertorier les ressources en incluant le paramètre de requête resourceMetadataOnly en tant que true :
  3. Utilisez la valeur du champ id de la réponse d'API précédente lors de l'appel des opérations de création suivantes :

    Le champ id en réponse à l'opération de création est l'OCID de la ressource gérée par Oracle : recette de détecteur, liste gérée ou recette de répondeur.

    Les OCID générés dans les étapes précédentes peuvent être utilisés lors de la configuration de la cible. Reportez-vous à CreateTarget.