Documentation Oracle Cloud Infrastructure

Activation de l'accès à Log Analytics et à ses ressources

Configurez la location Oracle Cloud Infrastructure pour utiliser Oracle Log Analytics en effectuant ces tâches d'installation prérequises.

Oracle Log Analytics est un service régional. Avant de commencer, sélectionnez la région à utiliser. Vous pouvez suivre les étapes ci-dessous pour chaque région à configurer, mais chaque région correspond à une instance différente. Sélectionnez la région à l'aide du sélecteur de région dans l'angle supérieur droit de la console.

Rubriques :

Pour que les stratégies puissent effectuer des tâches spécifiques et une référence complète des exigences de stratégie dans Log Analytics, reportez-vous à Catalogue de stratégies IAM pour Log Analytics.

Vous pouvez utiliser les modèles disponibles pour créer une stratégie pour un groupe d'utilisateurs ou un groupe dynamique afin d'effectuer une opération spécifique ou un ensemble d'opérations. Reportez-vous à Modèles de stratégie définis par Oracle pour les cas d'utilisation courants.

Remarque

Si vous avez activé Oracle Log Analytics à l'aide de l'interface utilisateur d'intégration qui est disponible lorsque vous accédez au service pour la première fois, certaines stratégies sont déjà créées. Reportez-vous à Stratégies créées pendant l'intégration de Log Analytics.

Activer l'accès de Log Analytics à sa famille d'options

Vous devez créer la stratégie IAM au niveau de service pour permettre au service Oracle Log Analytics de fonctionner. Créez des stratégies à l'aide des stratégies IAM Oracle Cloud Infrastructure standard et ajoutez-y l'instruction de stratégie suivante.

Instruction de stratégie Description
allow service loganalytics to READ loganalytics-features-family in tenancy

Autorisez les droits d'accès READ de la famille loganalytics-features-family de la famille Oracle Log Analytics dans la location.

Certaines des instructions de stratégie ci-dessus sont incluses dans les modèles de stratégie facilement disponibles définis par Oracle. Vous pouvez envisager d'utiliser le modèle pour votre cas d'emploi. Reportez-vous à Modèles de stratégie définis par Oracle pour les cas d'utilisation courants.

Pour que les stratégies puissent effectuer des tâches spécifiques et une référence complète des exigences de stratégie dans Log Analytics, reportez-vous à Catalogue de stratégies IAM pour Log Analytics.

Remarque

Si vous avez activé Oracle Log Analytics à l'aide de l'interface utilisateur d'intégration qui est disponible lorsque vous accédez au service pour la première fois, certaines stratégies sont déjà créées. Reportez-vous à Stratégies créées pendant l'intégration de Log Analytics.

Identifier les compartiments OCI sur lesquels placer les ressources Log Analytics

Utilisez des compartiments pour créer des ressources Oracle Log Analytics telles que les entités et les groupes de journaux. Affinez l'accès aux compartiments pour un meilleur contrôle d'accès utilisateur.

Vous pouvez utiliser des compartiments existants ou en créer spécifiquement pour forOracle Log Analytics. Vous pouvez créer plusieurs compartiments pour permettre à différents ensembles d'utilisateurs d'accéder à différentes parties du produit ou des données de journal. Pour plus d'informations sur le fonctionnement des compartiments, reportez-vous à Gestion des compartiments dans la documentation Oracle Cloud Infrastructure.

Les ressources d'Oracle Log Analytics doivent résider dans les compartiments. Lorsque vous créez l'une des ressources suivantes, vous devez sélectionner le compartiment dans lequel elle se trouvera :

Ressource Contrôle d'accès à l'aide des stratégies Oracle IAM

Entités

Vous pouvez déterminer qui peut activer ou désactiver la collecte de journal pour une entité spécifique.

Groupes de journaux

Vous pouvez déterminer qui peut effectuer des recherches dans les journaux après leur collecte, leur enrichissement et leur indexation.

Stratégies de purge

Vous pouvez déterminer qui peut arrêter ou modifier la définition de stratégie de purge.

Règles de collecte Object Storage

Vous pouvez déterminer qui peut arrêter ou modifier la règle de collecte.

Pour que les stratégies puissent effectuer des tâches spécifiques et une référence complète des exigences de stratégie dans Log Analytics, reportez-vous à Catalogue de stratégies IAM pour Log Analytics.

Remarque

Si vous avez activé Oracle Log Analytics à l'aide de l'interface utilisateur d'intégration qui est disponible lorsque vous accédez au service pour la première fois, certaines stratégies sont déjà créées. Reportez-vous à Stratégies créées pendant l'intégration de Log Analytics.

Création de groupes d'utilisateurs pour implémenter le contrôle d'accès

Créez des groupes d'utilisateurs pour accorder différents niveaux d'accès aux utilisateurs selon la façon dont vous voulez utiliser Oracle Log Analytics.

Rubriques :

Un utilisateur membre du groupe Administrateurs dispose d'un accès complet à toutes les fonctionnalités d'Oracle Log Analytics. Reportez-vous à Groupe d'administrateurs, stratégie et rôles d'administrateur.

Groupes d'utilisateurs recommandés

Pour commencer, il est recommandé de créer des groupes d'utilisateurs semblables aux exemples suivants :

  • Log-Analytics-Users : les utilisateurs que vous ajoutez à ce groupe peuvent interroger les journaux et visualiser diverses configurations. Toutefois, ils ne peuvent pas activer ou désactiver la collecte de journal, modifier les configurations ou supprimer des journaux.
  • Log-Analytics-Admins : les utilisateurs que vous ajoutez à ce groupe disposent de privilèges Log-Analytics-Users, et peuvent créer ou modifier les sources, les analyseurs, les entités et les groupes de journaux. Ces utilisateurs peuvent également activer ou désactiver la collecte de journal. Ils ne peuvent toutefois pas purger les journaux.
  • Log-Analytics-SuperAdmins : les utilisateurs de ce groupe disposent des privilèges de Log-Analytics-Admins et peuvent également effectuer des activités de cycle de vie telles que l'intégration et le départ à partir d'Oracle Log Analytics et la purge des journaux.

Les groupes ci-dessus sont présentés à titre d'exemples et sont utilisés pour créer des stratégies IAM dans cette documentation. Vous pouvez créer les groupes d'utilisateurs qui répondent à vos besoins.

Types agrégés de ressource dans Log Analytics

Les deux familles suivantes permettent d'accorder un accès en masse sans avoir à affecter des droits d'utilisateur individuels à chaque groupe d'utilisateurs. Dans la plupart des cas, vous pouvez les utiliser pour simplifier la gestion de vos stratégies Oracle Log Analytics.

  • loganalytics-features-family : permet de contrôler les fonctionnalités auxquelles un utilisateur a accès, ainsi que les actions qu'il peut effectuer à l'aide de la console, de l'API REST, de l'interface de ligne de commande ou du kit SDK.

    La famille loganalytics-features-family et les ressources qu'elle contient peuvent être définies uniquement au niveau de la location, et non par compartiment.

  • loganalytics-resources-family : permet de contrôler l'accès dont dispose l'utilisateur pour créer, lire, mettre à jour et supprimer des ressources telles que les entités, les groupes de journaux, les stratégies de purge et les règles de collecte de banque d'objets.

    Cette famille et les ressources qu'elle contient peuvent disposer d'un accès à l'ensemble de la location ou à un compartiment spécifique.

Pour que les stratégies puissent effectuer des tâches spécifiques et une référence complète des exigences de stratégie dans Log Analytics, reportez-vous à Catalogue de stratégies IAM pour Log Analytics.

Remarque

Si vous avez activé Oracle Log Analytics à l'aide de l'interface utilisateur d'intégration qui est disponible lorsque vous accédez au service pour la première fois, certaines stratégies sont déjà créées. Reportez-vous à Stratégies créées pendant l'intégration de Log Analytics.

Octroi de l'accès à des groupes d'utilisateurs

Créez des stratégies à l'aide des stratégies Oracle Cloud Infrastructure IAM standard pour définir la façon dont vos groupes d'utilisateurs peuvent utiliser Oracle Log Analytics.

Remarque

Si vous voulez tester rapidement Oracle Log Analytics sans gérer les groupes et les stratégies, sachez qu'un utilisateur membre du groupe Administrateurs dispose d'un accès complet à toutes les fonctionnalités. Reportez-vous à Groupe d'administrateurs, stratégie et rôles d'administrateur.

Pour configurer la stratégie en fonction des exemples de groupe présentés à la section Create User Groups to Implement Access Control, appliquez les ensembles de stratégies suivants.

Pour le groupe d'utilisateurs Log-Analytics-SuperAdmins :

Stratégie Description

allow group Log-Analytics-SuperAdmins to MANAGE loganalytics-features-family in tenancy

Accordez au groupe Log-Analytics-SuperAdmins les droits d'accès MANAGE de la famille loganalytics-features-family dans la location.

Cette stratégie octroie des droits permettant d'effectuer toutes les tâches dans le service, y compris le débarquement, la suppression de journaux, la configuration de l'archivage, etc.

allow group Log-Analytics-SuperAdmins to MANAGE loganalytics-resources-familY in tenancy

OU

allow group Log-Analytics-SuperAdmins to MANAGE loganalytics-resources-family in compartment myCompartment1

Accordez au groupe Log-Analytics-SuperAdmins les droits d'accès MANAGE de la famille loganalytics-resources-family dans la location ou dans un compartiment spécifique.

Cette stratégie octroie des droits permettant d'effectuer toutes Les tâches dans le service, sur n'importe quel type de ressource appartenant à la famille loganalytics-resources-family.

allow group Log-Analytics-SuperAdmins to MANAGE management-dashboard-family in tenancy

Accordez au groupe Log-Analytics-SuperAdmins tous les droits d'accès pour la famille de ressources du tableau de bord d'administration dans la location. Vous pouvez passer de la location à des compartiments spécifiques.

allow group Log-Analytics-SuperAdmins to read compartments in tenancy

Autorisez le groupe Log-Analytics-SuperAdmins à obtenir la liste des compartiments disponibles pour les groupes de journaux auxquels il peut avoir accès. Ceci est requis pour l'utilisation de l'explorateur de journaux.

Pour le groupe d'utilisateurs Log-Analytics-Admins :

Stratégie Description

allow group Log-Analytics-Admins to use loganalytics-features-family in tenancy

Autoriser le groupe Log-Analytics-Admins à disposer des droits d'accès USE de la famille loganalytics-features-family dans la location.

allow group Log-Analytics-Admins to use loganalytics-resources-family in tenancy

OU

allow group Log-Analytics-Admins to use loganalytics-resources-family in compartment myCompartment1

Accordez au groupe Log-Analytics-Admins les droits d'accès USE de la famille loganalytics-resources-family dans la location ou dans un compartiment spécifique.

Autorisez ce groupe à visualiser, créer, modifier ou supprimer les ressources de la famille loganalytics-resources-family.

allow group Log-Analytics-Admins to manage management-dashboard-family in tenancy

OU

allow group Log-Analytics-Admins to manage management-dashboard-family in compartment myCompartment2

Accordez au groupe Log-Analytics-Admins tous les droits d'accès pour la famille de ressources du tableau de bord du gestionnaire dans la location. Vous pouvez passer de la location à des compartiments spécifiques.

allow group Log-Analytics-Admins to read compartments in tenancy

Autorisez le groupe Log-Analytics-Admins à obtenir la liste des compartiments disponibles pour les groupes de journaux auxquels il peut avoir accès. Ceci est requis pour l'utilisation de l'explorateur de journaux.

Pour le groupe d'utilisateurs Log-Analytics-Users :

Stratégie Description

allow group Log-Analytics-Users to read loganalytics-features-family in tenancy

Accordez au groupe Log-Analytics-Users les droits d'accès en mode lecture de la famille loganalytics-features-family dans la location.

allow group Log-Analytics-Users to read loganalytics-resources-family in tenancy

OU

allow group Log-Analytics-Users to read loganalytics-resources-family in compartment myCompartment1

Accordez au groupe Log-Analytics-Users les droits d'accès READ de la famille loganalytics-resources-family dans la location. Vous pouvez passer de la location à des compartiments spécifiques.

Autorisez ce groupe à visualiser les détails des ressources de la famille loganalytics-resources-family. L'utilisateur ne peut ni en créer, ni en modifier, ni en supprimer.

allow group Log-Analytics-Users to use management-dashboard-family in tenancy

OU

allow group Log-Analytics-Users to use management-dashboard-family in compartment myCompartment2

Accordez au groupe Log-Analytics-Users les droits d'accès USE pour la famille de ressources du tableau de bord d'administration dans la location. Vous pouvez passer de la location à des compartiments spécifiques.

allow group Log-Analytics-Users to read compartments in tenancy

Autorisez le groupe Log-Analytics-Users à obtenir la liste des compartiments disponibles pour les groupes de journaux auxquels il peut avoir accès. Ceci est requis pour l'utilisation de l'explorateur de journaux.

Vous pouvez ajouter des instructions de stratégie propres aux compartiments pour un nombre quelconque de compartiments à créer afin d'organiser les ressources telles que les entités et les groupes de journaux. Ces ressources peuvent également se trouver dans différents compartiments. Il n'est pas nécessaire que toutes les instances de ressource de divers types figurent dans le même compartiment. Toutefois, la gestion peut être simplifiée si vous avez la possibilité de réduire le nombre de compartiments utilisés.

Au lieu de passer par la famille de ressources, vous pouvez également spécifier une stratégie au niveau des ressources individuelles. Par exemple :

Stratégie Description

allow group DBA to use loganalytics-entity in compartment Databases

Les utilisateurs du groupe DBA peuvent créer, modifier ou supprimer des entités, et activer ou désactiver la collecte de journal pour les entités du compartiment Databases.

allow group DBA to use loganalytics-log-group in compartment Databases

Les utilisateurs du groupe DBA peuvent créer, modifier ou supprimer des groupes de journaux, et interroger les journaux stockés dans le compartiment Databases.

Certaines des instructions de stratégie ci-dessus sont incluses dans les modèles de stratégie facilement disponibles définis par Oracle. Vous pouvez envisager d'utiliser le modèle pour votre cas d'emploi. Reportez-vous à Modèles de stratégie définis par Oracle pour les cas d'utilisation courants.

Pour que les stratégies puissent effectuer des tâches spécifiques et une référence complète des exigences de stratégie dans Log Analytics, reportez-vous à Catalogue de stratégies IAM pour Log Analytics.

Remarque

Si vous avez activé Oracle Log Analytics à l'aide de l'interface utilisateur d'intégration qui est disponible lorsque vous accédez au service pour la première fois, certaines stratégies sont déjà créées. Reportez-vous à Stratégies créées pendant l'intégration de Log Analytics.

Activer Log Analytics

Une fois les tâches prérequises effectuées, telles que la création des groupes d'utilisateurs, la création des compartiments et la définition des stratégies d'accès pour ces groupes d'utilisateurs, vous pouvez accéder à Oracle Log Analytics et l'activer pour utilisation.

Pour activer Oracle Log Analytics, vous devez être membre du groupe Administrateurs. Reportez-vous à Groupe d'administrateurs, stratégie et rôles d'administrateur.

  1. Ouvrez le menu de navigation, cliquez sur Observation et gestion, puis sur Log Analytics.

  2. Si vous utilisez le service pour la première fois dans cette région, vous accéderez à une page d'intégration qui vous fournira des détails de haut niveau sur le service et vous permettra de commencer à utiliser Oracle Log Analytics. Cliquez sur Commencer à utiliser Log Analytics.

    La boîte De dialogue Activer Log Analytics apparaît. Les stratégies et le groupe de journaux minimaux requis y sont créés s'ils n'existent pas déjà.

  3. Cliquez sur Suivant. La collection de journaux d'audit OCI est configurée.

    La case à cocher Inclure l'audit dans les sous-compartiments est activée par défaut. Vous pouvez le désactiver, si nécessaire. Selon vos préférences, les stratégies sont créées et les actions appropriées sont exécutées.

    Cliquez sur Suivant.

  4. Une fois l'intégration terminée, cliquez sur Accéder à l'explorateur de journaux.

Vous pouvez maintenant explorer Oracle Log Analytics.

Remarque

Pour afficher la liste des stratégies créées dans le processus ci-dessus, reportez-vous à Stratégies créées lors de l'intégration de Log Analytics.