Documentation Oracle Cloud Infrastructure

Inclusion de journaux à partir d'autres services OCI à l'aide du connecteur de service

Vous pouvez analyser les journaux pour résoudre le problème, surveiller l'état et les performances, et observer les tâches opérationnelles dans le service Oracle Cloud Infrastructure par ingestion des journaux dans Oracle Log Analytics.

Utilisez le connecteur de service pour identifier votre service Oracle Cloud Infrastructure comme source des journaux et Oracle Log Analytics comme destination. Pour plus d'informations sur le fonctionnement de Service Connector Hub, reportez-vous à Présentation de Service Connector Hub dans la documentation Oracle Cloud Infrastructure.

Remarque

Une fois le connecteur de service créé, une entité est créée automatiquement pour le traitement des journaux. Pour assurer une collecte correcte des journaux, l'entité ne doit pas être supprimée.

Dans le cas des journaux Oracle Operator Access Control, l'entité n'est pas créée automatiquement. Pour créer une entité, reportez-vous à Création d'une entité pour représenter votre ressource émettrice de journal.

Sujets

Important : Oracle recommande d'utiliser le flux de travail d'inclusion de données disponible dans la console Log Analytics pour ingérer rapidement des journaux à partir d'autres services OCI. Accédez à Accueil ou à Explorateur de journaux Log Analytics, cliquez sur Boussole, puis sur Ajouter des données.

  • Pour tous les types de journal des services OCI, à l'exception des journaux d'audit OCI et des journaux d'audit IDCS, développez la section Surveiller les ressources OCI et cliquez sur Configurer la collecte de journal pour les ressources OCI.
  • Dans le cas des journaux d'audit OCI ou des journaux d'audit IDCS, développez la section Sécurité et conformité et cliquez sur les journaux de votre choix. Dans ce flux de travail, toutes les ressources requises, telles que les stratégies, le groupe de journaux et le connecteur de service, sont créées automatiquement.

Suivez les étapes intuitives du flux de travail pour démarrer l'inclusion des journaux. Assurez-vous que vous disposez des droits d'accès requis pour effectuer les étapes. Pour une présentation rapide des étapes, regardez Vidéo : Comment assimiler rapidement des journaux à Log Analytics à partir d'autres services OCI dans Oracle Cloud Observability and Management Platform.

Vous pouvez également configurer manuellement la collection de journaux en procédant comme suit :

Informations supplémentaires

  • Liste des sources définies par Oracle pour La collecte des journaux : afin d'obtenir la liste des sources définies par Oracle pour La collecte des journaux à partir des services Oracle Cloud Infrastructure, reportez-vous à la section Sources définies par l'Oracle et recherchez les sources dont le titre est OCI...

  • Types de journal de service que vous pouvez collecter : pour connaître les types de journal que vous pouvez collecter auprès des services Oracle Cloud Infrastructure, les analyseurs, des exemples de contenu de journal, les champs et le chemin JSON, reportez-vous à Détails de l'analyseur OCI.

  • Filtrage des journaux collectés via le connecteur de service : l'OCID du connecteur de service est mis en correspondance avec le champ Log Origin. Pour visualiser les journaux passant de ce connecteur d'assistance vers Oracle Log Analytics, filtrez les journaux sur le champ Log Origin. Reportez-vous à Filtrage des journaux par champ et attribut fixe.

Autoriser la collecte de journaux à partir du service OCI Logging

En fonction du type des journaux de service à inclure, vous devez créer des stratégies permettant à Oracle Log Analytics d'obtenir les informations sur les ressources et d'en créer une entité pour chaque ressource.

Une fois la stratégie créée, l'entité créée est automatiquement associée à tous les journaux collectés à partir de cette ressource. Si la stratégie n'est pas créée, les journaux restent inclus, mais l'entité n'est pas créée.

Les droits d'accès suivants permettent de télécharger des journaux vers Oracle Log Analytics à partir du connecteur de service. Vous êtes invité à ajouter ces instructions de stratégie lorsque vous créez le connecteur de service via la console OCI. Vous pouvez également créer manuellement la stratégie qui inclut les instructions de stratégie suivantes : 

allow any-user to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in compartment id <Log_Group_Compartment_OCID> where all {request.principal.type = 'serviceconnector', target.loganalytics-log-group.id = '<Log_Group_OCID>', request.principal.compartment.id = '<Service_Connector_Compartment_OCID>'}
allow group <userGroup> to MANAGE serviceconnectors in tenancy
allow group <userGroup> to READ logging-family in tenancy

Dans les instructions de stratégie ci-dessus,

  • Log_Group_Compartment_OCID : OCID de compartiment du groupe des journaux dans Oracle Log Analytics dans lequel les journaux doivent être stockés.

  • Log_Group_OCID : OCID du groupe des journaux dans Oracle Log Analytics dans lequel les journaux doivent être stockés.

  • Service_Connector_Compartment_OCID : OCID de compartiment du hub de connecteur de service.

Remarque

Si vous avez activé Oracle Log Analytics à l'aide de l'interface utilisateur d'intégration qui est disponible lorsque vous accédez au service pour la première fois, certaines stratégies sont déjà créées. Reportez-vous à Stratégies créées pendant l'intégration de Log Analytics.

Stratégie pour chaque type de journal de service

Oracle Log Analytics crée une entité représentant la ressource OCI sous-jacente lorsque de nouveaux journaux sont reçus via le connecteur de service. Pour obtenir les informations nécessaires à partir de la ressource OCI, vous devez fournir à Oracle Log Analytics un accès minimal de read à la ressource OCI. Par exemple, pour lire des informations sur un bucket dans Object Storage, vous pouvez écrire l'une des stratégies suivantes :

Instruction de stratégie avec la ressource OCI READ PRIVILEGE : 

allow resource loganalyticsvrp LogAnalyticsVirtualResource to {BUCKET_READ} in compartment <specify_compartment>

OU

Instruction de stratégie avec le verbe de lecture pour OCI RESOURCE : 

allow resource loganalyticsvrp LogAnalyticsVirtualResource to read buckets in compartment <specify_compartment>

Les instructions de stratégie ci-dessus limitent l'accès read à un compartiment. Pour étendre l'accès à l'ensemble de la location, vous pouvez modifier l'instruction de stratégie en conséquence.

Les ressources OCI suivantes sont prises en charge dans Oracle Log Analytics pour la collecte de journaux via le connecteur de service. Vous pouvez créer la stratégie à l'aide du verbe de lecture pour la ressource OCI ou utiliser le privilège de lecture pour la ressource comme illustré ci-dessus.

Description de la ressource OCI Ressource OCI Privilège de lecture
Instance Analytics Cloud analytics-instances ANALYTICS_INSTANCE_READ
Passerelle API api-gateways API_GATEWAY_READ
Domaine APM apm-domains APM_DOMAIN_READ
Container Engine pour Kubernetes clusters CLUSTER_READ
Flux de données (application) dataflow-application DATAFLOW_APPLICATION_READ
Espace de travail Data Integration dis-workspaces DIS_WORKSPACE_READ
Travaux Data Science data-science-jobs DATA_SCIENCE_JOB_READ
Déploiements de modèle Data Science data-science-model-deployments DATA_SCIENCE_MODEL_DEPLOYMENT_READ
Pipeline de build DevOps devops-build-pipeline DEVOPS_BUILD_PIPELINE_READ
DevOps Phase de pipeline de build devops-build-pipeline-stage DEVOPS_BUILD_PIPELINE_STAGE_READ
Exécution de build DevOps devops-build-run DEVOPS_BUILD_RUN_READ
Déploiement DevOps devops-deployment DEVOPS_DEPLOY_DEPLOYMENT_READ
DevOps Pipeline de déploiement devops-deploy-pipeline DEVOPS_DEPLOY_PIPELINE_READ
DevOps Phase de déploiement devops-deploy-stage DEVOPS_DEPLOY_STAGE_READ
Service Email Delivery approved-senders APPROVED_SENDER_READ
Service d'événements cloudevents-rules EVENTRULE_READ
Fonctions (application PN) fn-app FN_APP_READ
Fonctions (fonction PN) fn-function FN_FUNCTION_READ
Déploiement de GoldenGate goldengate-deployments GOLDENGATE_DEPLOYMENT_READ
Instance instances INSTANCE_READ
Tunnel IPsec ipsec-connections IPSEC_CONNECTION_READ
Equilibreur de charges load-balancers LOAD_BALANCER_READ
Workflow de support media-workflow MEDIA_WORKFLOW_READ
Travail de workflow de support media-workflow-job MEDIA_WORKFLOW_JOB_READ
pare-feu réseau network-firewall NETWORK_FIREWALL_READ
Object Storage (bucket) buckets BUCKET_READ
OCI Database with PostgreSQL postgres-db-systems POSTGRES_DB_SYSTEM_READ
Instance OIC integration-instance INTEGRATION_INSTANCE_READ
Contrôle d'opérateur operator-control-family -
Connecteur de service serviceconnectors SERVICE_CONNECTOR_READ
VCN - CARTE VNIC vnics, vcns, subnets VNIC_READ, VCN_READ, SUBNET_READ
Web Application Firewall web-app-firewall WEB_APP_FIREWALL_READ
Remarque

Si vous avez activé Oracle Log Analytics à l'aide de l'interface utilisateur d'intégration qui est disponible lorsque vous accédez au service pour la première fois, certaines stratégies sont déjà créées. Reportez-vous à Stratégies créées pendant l'intégration de Log Analytics.

Configuration du connecteur de service pour l'inclusion des journaux

Avant de configurer le connecteur de service pour l'inclusion des journaux, assurez-vous que le compartiment et le groupe de journaux sont identifiés pour les journaux à inclure.

Dans l'exemple suivant, la procédure explique comment collecter les journaux de service de réseau cloud virtuel à partir du service Oracle Cloud Infrastructure Logging :

  1. Il s'agit d'une suggestion d'étape pour vous montrer comment activer les journaux dans le service Oracle Cloud Infrastructure Logging.

    Ouvrez le service Oracle Cloud Infrastructure Logging et accédez à Journaux.

    Cliquez sur Activer le journal de ressource pour activer les journaux de service de réseau cloud virtuel. La boîte de dialogue apparaît.

    1. Sélectionnez le compartiment de ressource.
    2. Sélectionnez le service, par exemple, Virtual Cloud Network (subnets).
    3. Sélectionnez la ressource, par exemple la ressource de réseau cloud virtuel.
    4. Sous Configurer le journal, sélectionnez la catégorie du journal, par exemple Flow Logs, et le nom du journal.
    5. Sous Emplacement du journal, sélectionnez le compartiment et l'ensemble de journaux servant de références à Oracle Log Analytics pour les journaux.

    Cliquez sur Activer le journal.

  2. Configurez le connecteur du service en indiquant le service source des journaux, et la cible en tant que cible Oracle Log Analytics. Vous pouvez le configurer à partir du service source intégré à Oracle Cloud Infrastructure Service Connector Hub, par exemple le service Oracle Cloud Infrastructure Logging, ou directement à partir d'Oracle Cloud Infrastructure Service Connector Hub.

    Ouvrez le service Oracle Cloud Infrastructure Logging, accédez à Connecteur de service et cliquez sur Créer un connecteur.

    Sinon, accédez au service Oracle Cloud Infrastructure Service Connector Hub, puis cliquez sur Créer un connecteur de service.

    La page Créer un connecteur de service apparaît.

    1. Entrez le nom du connecteur et une description.
    2. Sélectionnez le compartiment de ressource dans lequel la ressource de connecteur doit être créée.
    3. Sous Configurer un connecteur de service, indiquez Logging en tant que service source et Logging Analytics en tant que service cible.
    4. Sous Configurer une connexion source, indiquez les détails des journaux à collecter à partir du service, par exemple les journaux de service de réseau cloud virtuel.

      Sélectionnez le nom du compartiment, le groupe de journaux auquel les journaux appartiennent et le nom des journaux configurés à l'étape 1.

    Vous pouvez configurer le même connecteur de service pour collecter davantage de journaux. Cliquez sur Autre journal et répétez l'étape 2-d.

    Vous pouvez éventuellement créer des filtres sous Configurer une tâche.

    Cliquez sur Créer un connecteur.

Une fois le connecteur de service créé, vous pouvez vérifier que les journaux sélectionnés sont disponibles dans Oracle Log Analytics.

Autoriser la collecte de journaux inter-location à partir du service OCI Logging

Source_Tenant est le locataire du service source, tel qu'Oracle Cloud Infrastructure Logging, à partir duquel les journaux sont collectés. Target_Tenant est le locataire dans lequel le connecteur de service est créé. Le connecteur de service est configuré avec Oracle Log Analytics comme cible pour les journaux collectés à partir du service source. Nous partons du principe que le concentrateur de connecteurs de service et Oracle Log Analytics sont disponibles sur le même locataire cible.

Définissez les stratégies suivantes pour configurer la collecte de journal à partir d'une location différente de la location dans laquelle le connecteur du service est créé.

Stratégies à ajouter dans le locataire source

Voici un exemple d'instructions de stratégie octroyant à tout utilisateur de la location du hub de connecteur de service un accès READ au service Logging : 

define tenancy <Target_Tenant> as <Target_Tenant_OCID>
define group <Common_User_Group> as <Common_User_Group_OCID>
admit any-user of tenancy <Target_Tenant> to read logging-family IN TENANCY WHERE ALL {request.principal.type = 'serviceconnector'}
admit group <Common_User_Group> of tenancy <Target_Tenant> to read logging-family IN TENANCY

En outre, les droits d'accès suivants sont requis pour lire les journaux des événements d'audit :

admit group <Common_User_Group> of tenancy <Target_Tenant> to read audit-events in TENANCY
admit any-user of tenancy <Target_Tenant> to read audit-events IN tenancy WHERE ALL {request.principal.type = 'serviceconnector'}

Veillez à définir la stratégie pour le type de journal de service qui doit être collecté à partir du service source. Reportez-vous à Autoriser la collecte de journaux à partir du service OCI Logging.

Stratégies à ajouter dans le locataire cible

Voici un exemple d'instructions de stratégie octroiant à tout utilisateur l'accès au service Logging via le hub du connecteur des services, et au groupe IAM cible Common_User_Group l'accès MANAGE au hub du connecteur des services : 

define tenancy <Source_Tenant> as <Source_Tenant_OCID>
endorse any-user to read logging-family IN tenancy <Source_Tenant> WHERE ALL {request.principal.type = 'serviceconnector'}
endorse group <Common_User_Group> to read logging-family IN tenancy <Source_Tenant>

En outre, les droits d'accès suivants sont requis pour lire les journaux des événements d'audit source :

endorse group <Common_User_Group> to read audit-events in tenancy <Source_Tenant>
endorse any-user to read audit-events in tenancy <Source_Tenant> WHERE ALL {request.principal.type = 'serviceconnector'}

Les droits d'accès suivants permettent de télécharger des journaux vers Oracle Log Analytics à partir du connecteur de service. Veillez à créer manuellement la stratégie qui inclut les instructions de stratégie suivantes : 

allow any-user to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in compartment id <Log_Group_Compartment_OCID> where all {request.principal.type = 'serviceconnector', target.loganalytics-log-group.id = '<Log_Group_OCID>', request.principal.compartment.id = '<Service_Connector_Compartment_OCID>'}
allow group <Common_User_Group> to MANAGE serviceconnectors in tenancy

Dans les instructions de stratégie ci-dessus,

  • Log_Group_OCID : OCID du groupe de journaux Oracle Log Analytics.

  • Log_Group_Compartment_OCID : OCID du compartiment dans lequel se trouve le groupe de journaux Oracle Log Analytics.

  • Service_Connector_Compartment_OCID : OCID de compartiment du connecteur du service.

  • Common_User_Group : groupe d'utilisateurs qui crée le connecteur de service.

Création d'un connecteur entre les locataires source et cible

Une fois les stratégies requises créées pour les locataires source et cible, créez un connecteur des services à l'aide de l'interface de ligne de commande. L'exemple de commande d'interface de ligne de commande suivant indique Logging comme source et Oracle Log Analytics comme cible pour la création du connecteur de service inter-location : 

oci --profile <Target_Profile> sch service-connector create 
    --display-name XTenancyConnector 
    --compartment-id <Connector_Compartment_OCID> 
    --source '{ "kind": "logging", "logSources": 
        [ { "compartmentId": "<Logging_LogGroup_Compartment_OCID>", 
            "logGroupId": "<Logging_LogGroup_OCID>" } ] }' 
    --target '{ "kind": "loggingAnalytics", "logGroupId": "<LogAnalytics_LogGroup_OCID>" }'

La commande ci-dessus est formatée pour une meilleure lisibilité. Supprimez les caractères tels que nouvelle ligne, onglet et les espaces supplémentaires avant de l'exécuter.

Dans l'interface de ligne de commande ci-dessus :

  • Target_Profile : profil du fichier .oci/config qui est mis en correspondance avec la location cible.

  • Connector_Compartment_OCID : OCID du compartiment dans lequel la ressource de connecteur de service est créée.

  • Logging_LogGroup_Compartment_OCID : OCID du compartiment auquel appartient le groupe de journaux Oracle Cloud Logging. Il se trouve dans le locataire source.

  • Logging_LogGroup_OCID : OCID du groupe de journaux Oracle Cloud Logging. Il se trouve dans le locataire source.

  • LogAnalytics_LogGroup_OCID : OCID du groupe de journaux Oracle Log Analytics. Il se trouve dans le locataire cible.

Pour plus d'informations sur la commande CLI, reportez-vous à la section CLI Command Reference - Create.

Une fois le connecteur de service créé, vous pouvez vérifier que les journaux sélectionnés sont disponibles dans Oracle Log Analytics.

Arrêter la collecte des journaux à partir du connecteur de service

Si vous avez configuré un connecteur de service pour collecter en continu les journaux d'OCI Logging vers Oracle Log Analytics, vous pouvez arrêter la collecte de journaux en désactivant le connecteur ou en le supprimant.

Si vous devez arrêter temporairement la collection de journaux tout en conservant la configuration du connecteur afin de pouvoir redémarrer la collection de journaux ultérieurement, Désactivez le connecteur.

Si vous souhaitez arrêter définitivement la collection de journaux à partir du connecteur de service, supprimez le connecteur.

  1. Identifier le connecteur de service configuré pour la collecte de journaux : accédez au service Connector Hub et répertoriez les connecteurs de votre compartiment. Reportez-vous à Liste des connecteurs.

    Cliquez sur le nom du connecteur pour afficher les détails et la configuration du connecteur. Identifiez le connecteur de service approprié configuré pour votre collection de journaux.

  2. Arrêter la collecte de journaux : selon vos besoins, cliquez sur Désactiver ou sur Supprimer. Reportez-vous à Désactivation d'un connecteur et Suppression d'un connecteur.

    Cela arrête le flux de données du service OCI spécifique vers Oracle Log Analytics.

Si vous avez désactivé le connecteur et que vous souhaitez redémarrer la collecte de journaux, réactivez ce connecteur. Reportez-vous à Activation d'un connecteur.