Scenario : analyse des journaux

Envoyer les données de journal à Log Analytics.

Ce scénario implique la création d'un groupe de journaux et d'un connecteur. Le connecteur (Connector Hub) traite et déplace les données de journal de Logging vers le groupe de journaux dans Log Analytics.

Stratégie IAM requise

Si vous êtes membre du groupe d'administrateurs, vous disposez déjà de l'accès requis pour exécuter ce scénario. Sinon, vous devez avoir accès à Log Analytics pour créer le groupe de journaux et à Connecteur Hub pour créer le connecteur.

Le workflow de création du connecteur inclut une stratégie par défaut lorsque nécessaire afin de fournir des droits d'accès en écriture au service cible. Si vous ne connaissez pas les stratégies, reportez-vous à Présentation des stratégies IAM.

Configuration de ce scénario

La configuration dans la console est simple. Vous pouvez également utiliser l'interface de ligne de commande ou l'API Oracle Cloud Infrastructure, qui vous permettent d'exécuter les différentes opérations vous-même.

Utilisation de la console

Cette section explique comment créer un groupe de journaux et un connecteur à l'aide de la console.

Pour plus d'informations sur le dépannage, reportez-vous à la section Dépannage des connecteurs.

Tâche 1 : création du groupe de journaux

Utilisez Log Analytics pour créer le groupe de journaux. Pour obtenir des instructions, reportez-vous à Création de groupes de journaux.

Tâche 2 : création du connecteur

Cet exemple explique en détail l'utilisation de la console pour créer un connecteur qui envoie les données de journal de Logging vers le Groupe de journaux créé à l'aide de Log Analytics. Dans cet exemple, le connecteur filtre le journal de flux VCN.

Ouvrez le menu de navigation et sélectionnez Analytiques et IA. Sous Messagerie, sélectionnez Hub de connecteurs.
Choisissez le compartiment dans lequel créer le connecteur de service.
Sélectionnez Créer un connecteur.
Sur la page Créer un connecteur, filtrez le journal de flux VCN sur votre groupe de journaux :
- Saisissez un nom de connecteur tel que "VCN Flow Log Error Analysis".
- Sélectionnez le compartiment de ressource dans lequel stocker le nouveau connecteur.
- Sous Configurer un connecteur, sélectionnez les services source et cible pour déplacer les données de journal vers le groupe de journaux :
  - Source : Logging
  - Cible : Logging Analytics
- Sous Configurer une connexion source, sélectionnez le journal de flux de réseau cloud virtuel :
  - Compartiment : compartiment contenant les données de journal de flux de réseau cloud virtuel.
  - Groupe de journaux : groupe de journaux contenant les données du journal de flux VCN.
  - Journaux : nom de l'objet de journal pour les journaux de flux de réseau cloud virtuel.
- Sous Configurer une tâche, filtrez les données de journal sur le trafic rejeté :
  - Propriété : data.action
  - Opérateur : =
  - Valeur : REJECT
  Si vous recherchez le trafic rejeté pour un port ou une adresse spécifique, ajoutez un autre filtre. Par exemple, sélectionnez la propriété data.destinationPort ou data.destinationAddress.
- Sous Configurer la connexion cible, saisissez le groupe de journaux auquel envoyer les données de journal filtrées :
  - Sélectionnez le compartiment contenant le groupe de journaux.
  - Sélectionnez le groupe de journaux (le groupe de journaux que vous avez créé.
Si vous êtes invité à créer une stratégie (requis pour accéder à la création ou à la mise à jour d'un connecteur de service), sélectionnez Créer.
Sélectionnez Créer.

Utilisation de l'interface de ligne de commande

Cette section explique comment créer le groupe de journaux et le connecteur à l'aide de l'interface de ligne de commande.

Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.

Créez un groupe de journaux. Pour cela, ouvrez une invite de commande et exécutez la commande oci log-analytics log-group create :

oci log-analytics log-group create --display-name "<display_name>" --compartment-id <compartment_OCID> --namespace-name "<namespace_name>"

Créez un connecteur : ouvrez une invite de commande et exécutez la commande oci sch service-connector create :

oci sch service-connector create --display-name "<display_name>" --compartment-id <compartment_OCID> --source [<source_in_JSON>] --tasks [<tasks_in_JSON>] --target [<targets_in_JSON>]

Pour plus d'informations sur le dépannage, reportez-vous à la section Troubleshooting Connectors et à la section Troubleshooting Notifications.

Utilisation de l'API

Cette section explique comment créer le groupe de journaux et le connecteur à l'aide de l'API.

Utilisez les opérations suivantes :

CreateLogAnalyticsLogGroup : créez un groupe de journaux.

Exemple de demande CreateLogAnalyticsLogGroup

post /20200601/namespaces/<namespaceName>/logAnalyticsLogGroups
Host: loganalytics.us-phoenix-1.oci.oraclecloud.com
<authorization and other headers>
{
  "compartmentId": "<compartment_OCID>",
  "displayName": "My Log Group"
}

CreateServiceConnector : créez un connecteur.

Exemple de demande CreateServiceConnector

POST /20200909/serviceConnectors
Host: service-connector-hub.us-phoenix-1.oraclecloud.com
<authorization and other headers>
{
  "compartmentId": "<compartment_OCID>",
  "description": "My connector description",
  "displayName": "My Connector",
  "source": {
    "kind": "logging",
    "logSources": [
      {
        "compartmentId": "<compartment_OCID>",
        "logGroupId": "<log_group_OCID>",
        "logId": "<log_OCID>"
      }
    ]
  },
  "target": {
    "compartmentId": "<compartment_OCID>",
    "kind": "loggingAnalytics",
    "logGroupId": "<logging_analytics_log_group_OCID>"
  },
  "tasks": [
    {
      "condition": "data.action='REJECT'",
      "kind": "logRule"
    }
  ]
  }
}