Documentation Oracle Cloud Infrastructure

Créer une règle de détection à l'aide d'un modèle

Utilisez un modèle défini par oracle et créez une règle de détection qui peut publier une mesure chaque fois que la collecte de journaux est conforme à la règle définie.

Assurez-vous que les stratégies IAM requises sont créées pour fournir des droits d'accès. Reportez-vous à Autoriser les utilisateurs à effectuer toutes les opérations avec des modèles de règle de détection.

Pour obtenir la liste des modèles définis par Oracle, reportez-vous à Modèles de règle de détection définis par Oracle.

Les étapes suivantes s'appuient sur le service Monitoring comme cible pour la surveillance de la tâche programmée. Les mesures émises par Oracle Logging Analytics sont stockées par le service Monitoring.

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Logging Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

    Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Règles de détection.

    La page Règles de détection s'ouvre. Sélectionnez le compartiment sous Portée de la règle de détection, puis cliquez sur Créer une règle.

    La boîte de dialogue Créer une règle de détection s'ouvre.

  2. Cliquez sur Règle de détection recommandée.

  3. Indiquez un nom de règle pour la règle de détection.

  4. Sous Sélectionner un modèle, procédez comme suit :

    1. Pour filtrer les modèles disponibles, sélectionnez le type de règle. Actuellement, seuls les modèles de règle de détection définis par Oracle de type recherche enregistrée sont disponibles. Ce champ n'est donc pas disponible pour sélection.

    2. Sélectionnez un modèle défini par Oracle dans le menu. Pour afficher plus de détails sur chaque modèle, puis sélectionnez-le, cliquez sur Recherche avancée. La boîte de dialogue Rechercher et sélectionner un modèle s'ouvre. Les modèles et leurs détails sont répertoriés dans un tableau. Cliquez sur la ligne du modèle à sélectionner, puis sur Sélectionner.

      La requête par défaut utilisée pour implémenter le modèle s'affiche. Vous pouvez copier cette requête et l'exécuter dans l'explorateur de journaux pour en afficher le résultat.

      Pour obtenir la liste des modèles définis par Oracle, reportez-vous à Modèles de règle de détection définis par Oracle.

    3. Vous pouvez éventuellement développer Afficher les options personnalisables. Cette section affiche les champs de la requête qui peuvent être modifiés.

      Par exemple, dans la requête du modèle Taille du groupe de journaux, les champs qui peuvent être modifiés sont les suivants :

      • Compartiment du groupe de journaux : compartiment dans lequel les groupes de journaux doivent être interrogés. Vous pouvez également activer la case à cocher Sous-compartiments pour interroger les sous-compartiments du compartiment sélectionné.

      • Seuil de taille : taille du groupe de journaux au-delà de laquelle les mesures doivent être publiées. Par défaut, elle est de 0. Par exemple, si le seuil de taille que vous indiquez est de 1000 octets, uniquement lorsque la taille du groupe de journaux est supérieure à 1000 octets, la mesure est publiée.

      Pour plus de détails sur la taille de groupe de journaux du modèle défini par Oracle, reportez-vous à Modèles de règle de détection définis par Oracle.

  5. Sous Fréquence de configuration :

    Indiquez l'intervalle, ou fenêtre, d'agrégation. Vous pouvez optimiser la programmation en sélectionnant une fréquence d'exécution en minutes, heures, jours ou semaines. Si vous sélectionnez de plus longues agrégations, comme avec une fréquence en jours, vous pouvez affiner l'agrégation dans la plage, par exemple, l'heure d'exécution de la requête.

    Vous pouvez spécifier la fréquence d'exécution de la requête, telle que Run indefinitely, Run once ou Custom.

    Vous pouvez également inclure le nombre de répétitions dans la spécification de fréquence pour le nombre de fois où la requête doit être exécutée.

  6. Sous Sélectionner un service cible à configurer, procédez comme suit :

    1. Sélectionnez le service cible dans lequel les résultats de l'exécution de la requête sont publiés, par exemple, Monitoring.

      Le service Monitoring stocke les mesures du résultat de l'exécution de la requête sur programmation.

    2. Sélectionnez le compartiment de mesure, dans lequel la mesure est créée. Par défaut, un compartiment est sélectionné par Oracle Logging Analytics.

    3. Sélectionnez l'espace de noms de mesure dans lequel placer la nouvelle mesure. La portée des options disponibles pour sélectionner l'espace de noms est définie par la sélection du compartiment de mesure à l'étape précédente. Si certaines options ne sont pas disponibles, vous pouvez également entrer une nouvelle valeur pour l'espace de noms.

      Remarque

      Lorsque vous indiquez une nouvelle valeur pour l'espace de noms, sélectionnez un nom qui ne commence pas par oracle_ et oci_. Il s'agit de préfixes réservés. Reportez-vous à Publication de mesures personnalisées.

    4. Vous pouvez éventuellement sélectionner le groupe de ressources auquel la mesure appartient. Un groupe de ressources est une chaîne personnalisée fournie avec une mesure personnalisée.

    5. Entrez le nom de la mesure, utilisé dans l'explorateur du service Monitoring pour visualiser les mesures. Vous ne pouvez spécifier qu'une seule mesure.

  7. Vous pouvez éventuellement développer la section Afficher les options avancées et ajouter des balises à la règle de détection.

  8. Si les stratégies IAM requises ne sont pas encore définies, une notification apparaît et répertorie les stratégies associées aux opérations suivantes :

    • Créer un groupe dynamique
    • Appliquer les stratégies au groupe dynamique pour permettre l'exécution des tâches programmées

    Prenez note des stratégies répertoriées et créez-les.

  9. Cliquez sur Créer une règle de Détection.

L'exécution de la requête est à présent programmée à intervalles réguliers et les mesures obtenues sont émises vers le service Monitoring.

Autoriser les utilisateurs à effectuer toutes les opérations avec des modèles de règle de détection

Pour créer des règles de détection à l'aide des modèles, publier les mesures dans le service cible et visualiser les mesures, configurez d'abord les droits d'accès appropriés en créant les stratégies IAM suivantes :

  1. Créez un groupe dynamique pour autoriser les tâches programmées à publier des mesures sur le service de surveillance à partir d'un compartiment spécifique :

    ALL {resource.type='loganalyticsscheduledtask', resource.compartment.id='<compartment ocid>'}

    Vous pouvez également autoriser la publication de mesures à partir de tous les compartiments :

    ALL {resource.type='loganalyticsscheduledtask'}

  2. Ajoutez des instructions de stratégie pour autoriser le groupe dynamique à effectuer des opérations de tâche programmée dans la location :

    allow group <group_name> to use loganalytics-scheduled-task in tenancy
allow dynamic-group <dynamic_group_name> to use metrics in tenancy
allow dynamic-group <dynamic_group_name> to read management-saved-search in tenancy
allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_QUERY_VIEW} in tenancy
allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ} in tenancy
allow dynamic-group <dynamic_group_name> to READ loganalytics-log-group in tenancy
allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_LOOKUP_READ} in tenancy
allow dynamic-group <dynamic_group_name> to read compartments in tenancy

  3. Ajoutez une instruction de stratégie pour autoriser le groupe dynamique à accéder au modèle dans un compartiment spécifique : 

    allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_TEMPLATE_READ} in tenancy

    Les modèles définis par Oracle se trouvent dans le compartiment racine. Dans le cas d'un modèle créé par l'utilisateur, indiquez le compartiment exact dans lequel se trouve le modèle.