Documentation Oracle Cloud Infrastructure

Gestion et recherche de journaux à l'aide d'Operator Access Control

Découvrez comment activer les journaux pour afficher la liste des contrôles d'opérateur créés et utilisés dans un compartiment. Apprenez également à surveiller les activités d'opérateur dans une cage.

Activation de journaux et création de groupes de journaux avec Operator Access Control

Pour suivre les activités d'opérateur Oracle sur votre système, découvrez comment activer les journaux et comment créer des groupes de journaux afin de les gérer.

Afin d'auditer les actions effectuées par un opérateur Oracle sur votre système, vous pouvez créer un journal d'audit pour un compartiment et un service spécifique où surveiller les actions d'opérateur Oracle.
  1. Dans le menu de navigation de gauche, sélectionnez Journalisation, puis Journaux.
  2. Cliquez sur Activer le journal de service. La fenêtre Activer le journal de ressource s'ouvre.
  3. Dans la section Sélectionner une ressource, renseignez les champs suivants :
    • Compartiment de ressource : sélectionnez le compartiment dans lequel créer le journal.
    • Service : sélectionnez le service Operator Access Control pour lequel activer le journal.
    • Ressource : sélectionnez un contrôle d'opérateur pour lequel activer le journal.
  4. Dans la section Configurer le journal, renseignez les champs suivants :
    • Catégorie de journal : sélectionnez Journaux d'accès.
    • Nom de journal : indiquez le nom du journal à créer.
  5. (Facultatif) Cliquez sur Afficher les options avancées.
  6. (Facultatif) Dans la section Emplacement du journal, renseignez les champs suivants :
    • Compartiment : sélectionnez un compartiment si vous voulez placer les fichiers journaux dans un autre compartiment que celui pour lequel vous créez un journal d'audit.
    • Groupe de journaux : sélectionnez le groupe de journaux auquel ajouter le journal. Un groupe de journaux est un conteneur logique pour les journaux. Les groupes de journaux permettent de rationaliser la gestion des journaux, y compris l'application d'une stratégie ou l'analyse de groupes de journaux. Pour créer un groupe de journaux, cliquez sur Créer un groupe et renseignez les champs suivants :
      • Compartiment : sélectionnez le compartiment dans lequel placer le groupe de journaux.
      • Nom : attribuez un nom au groupe de journaux.
      • Description : fournissez une description de la finalité du groupe de journaux.
    • Dans le champ Espace de noms de balise, vous pouvez ajouter un espace de noms de balise (chaîne de texte d'identification appliquée à un ensemble de compartiments) ou baliser le contrôle avec un espace de noms de balise existant.
  7. Dans la section Conservation de journal, sélectionnez une période de conservation.
  8. Une fois les sélections effectuées et vérifiées, cliquez sur Activer le journal. Le journal relatif au contrôle d'opérateur est activé.

Format de journal pour Operator Access Control

Découvrez les champs que contient un journal d'audit publié dans le service de journalisation.

Tableau 6-1 Champs de journal d'audit

Champ Description

data

Contient toutes les données obtenues à partir des journaux d'audit Exadata.

data.accessRequestId

Contient l'identificateur Oracle Cloud (OCID) de la demande d'accès. Cet identificateur est obtenu à partir de la page de la console répertoriant les demandes d'accès.

data.message

Contient le journal d'audit au format brut. Le format de journal d'audit suit le format de journalisation d'audit tel que généré par la commande ausearch.

Pour plus d'informations, reportez-vous aux pages de manuel sur ausearch(8).

data.systemOcid

Identificateur Oracle Cloud (OCID) du système Exadata à partir duquel le journal a été collecté.

data.timestamp

Horodatage, généralement dans le fuseau horaire UTC (Temps universel coordonné), correspondant au moment où l'action représentée par le journal a été effectuée.

source

Service qui publie le journal. La source du journal est le contrôle d'accès d'opérateur (OperatorAccessControl) pour ce service.

Remarque

Il existe quelques champs supplémentaires, principalement destinés à la comptabilité du service.

Exemple 6-1 Journal d'audit Operator Access Control

{
  "logContent": {
    "data": {
      "accessRequestId": "ocid1.opctlaccessrequest.oc1.ap-chuncheon-1.aaaaaaaaqk67mpzb74nsssg4ppwk7cyg46dwoxegtvhopdp7lxbktpymk4kq",
      "message": "type=PROCTITLE msg=audit(09/08/2021 09:01:24.335:34495595) : proctitle=ps -ef \ntype=PATH msg=audit(09/08/2021 09:01:24.335:34495595) : item=1 name=/lib64/ld-linux-x86-64.so.2 inode=2546207 dev=fc:00 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 \ntype=PATH msg=audit(09/08/2021 09:01:24.335:34495595) : item=0 name=/usr/bin/ps inode=33619160 dev=fc:00 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 \ntype=CWD msg=audit(09/08/2021 09:01:24.335:34495595) : cwd=/home/b9dc42d68f6e4e26a1d843a4c5e70187 \ntype=EXECVE msg=audit(09/08/2021 09:01:24.335:34495595) : argc=2 a0=ps a1=-ef \ntype=SYSCALL msg=audit(09/08/2021 09:01:24.335:34495595) : arch=x86_64 syscall=execve success=yes exit=0 a0=0x1848d50 a1=0x184c360 a2=0x184c040 a3=0x7ffeec95b760 items=2 ppid=94699 pid=95635 auid=b9dc42d68f6e4e26a1d843a4c5e70187 uid=b9dc42d68f6e4e26a1d843a4c5e70187 gid=opctl_facc1 euid=b9dc42d68f6e4e26a1d843a4c5e70187 suid=b9dc42d68f6e4e26a1d843a4c5e70187 fsuid=b9dc42d68f6e4e26a1d843a4c5e70187 egid=opctl_facc1 sgid=opctl_facc1 fsgid=opctl_facc1 tty=pts0 ses=813000 comm=ps exe=/usr/bin/ps key=(null) \n",
      "status": "",
      "systemOcid": "ocid1.exadatainfrastructure.oc1.ap-chuncheon-1.ab4w4ljr46tyytihmindrbshch3jjhrxxpctq4eiaksakp4kqamluuwkzdga",
      "target": "",
      "timestamp": "2021-09-08T09:01:24.000Z"
    },
    "id": "b3b102aa-daee-4861-8e2c-9014faac9de2",
    "oracle": {
      "compartmentid": "ocid1.tenancy.oc1..aaaaaaaazxdmffivtoe32kvio5e2dcgz24re5rqbkis3452yi2e7tc3x2erq",
      "ingestedtime": "2021-09-08T16:02:26.182Z",
      "loggroupid": "ocid1.loggroup.oc1.ap-chuncheon-1.amaaaaaajobtc3ia3iypuri32bhvrgmosztobwi72wgdofkpfdbyfg4yxlrq",
      "logid": "ocid1.log.oc1.ap-chuncheon-1.amaaaaaajobtc3iahnkkwizgpoakdafmrttikohparjl7icmcfjzkechekfq",
      "tenantid": "ocid1.tenancy.oc1..aaaaaaaazxdmffivtoe32kvio5e2dcgz24re5rqbkis3452yi2e7tc3x2erq"
    },
    "source": "OperatorAccessControl",
    "specversion": "1.0",
    "time": "2021-09-08T16:01:52.989Z",
    "type": "com.oraclecloud.opctl.audit"
  },
  "datetime": 1631116912989
}

Recherche dans les journaux

Pour effectuer une recherche sur des journaux, utilisez cette procédure afin de renseigner les champs, la période et les chaînes de texte.

Le journal est activé en fonction de contrôles d'opérateur spécifiques. Par conséquent, ceux-ci constituent le filtre de niveau supérieur pour les recherches dans les journaux. Vous pouvez également rechercher dans les journaux les ID de demande d'accès, les systèmes Exadata où l'action d'opérateur a eu lieu ou l'heure à laquelle elle s'est produite.

Les exemples suivants vous aident à comprendre comment rechercher un champ spécifique.

  1. Dans le menu de navigation de gauche, sélectionnez Journalisation, puis Journaux.
  2. Choisissez le compartiment dans lequel les journaux sont stockés.

    Vous obtenez ainsi la liste des journaux activés.

  3. Cliquez sur le journal qui vous intéresse. La page de détails du journal s'affiche.

    Les journaux sont toujours liés à un contrôle d'opérateur unique.

  4. Cliquez sur le lien Explorer avec la recherche de journal pour rechercher des journaux spécifiques.
  5. Cas 1 : recherche d'actions effectuées avec l'approbation d'une demande d'accès spécifique, ocid.opctlaccessrequest.x, pendant une période T-début/T-fin donnée, en rapport avec un contrôle d'opérateur, ocid.opctl.x.
    1. Sélectionnez Personnalisé dans le champ Filtrer par période.
    2. Sélectionnez la date de début et la date de fin.
    3. Cliquez sur Rechercher.

      Une fois votre choix effectué, un ensemble de journaux apparaît.

    4. Par exemple, ajoutez les critères de recherche suivants dans le champ Filtrer par champ ou par recherche de texte.
      data.accessRequestId='ocid.opctlaccessrequest.x'

      Une liste des journaux correspondant aux critères de recherche sera générée.

  6. Cas 2 : recherche d'actions effectuées sur un système Exadata, ocid.exadata.x, pendant une période T-début/T-fin donnée, en rapport avec un contrôle d'opérateur, ocid.opctl.x.
    1. Sélectionnez Personnalisé dans le champ Filtrer par période.
    2. Cliquez sur Rechercher.

      Une fois votre choix effectué, un ensemble de journaux apparaît.

    3. Par exemple, ajoutez les critères de recherche suivants dans le champ Filtrer par champ ou par recherche de texte.
      data.systemOcid ='ocid.exadata.x'

      Une liste des journaux correspondant aux critères de recherche sera générée.

  7. Vous pouvez également effectuer une recherche sur le contenu des journaux. Utilisez le champ log-content. Pour plus d'informations, reportez-vous à Recherche dans les journaux.
  8. Pour rechercher des commandes Linux spécifiques exécutées, utilisez le mode avancé.
    1. Créez une recherche de base à l'aide des exemples fournis ci-dessus (cas 1 ou 2), puis passez en mode avancé.
      Par exemple, pour rechercher tous les journaux avec l'action vi, ajoutez les critères suivants :
      and text_contains(data.message, 'proctitle=vi ', true)
  9. Lorsque vous effectuez une recherche sur la page de recherche du service Logging, vous pouvez cliquer sur Afficher le mode avancé pour saisir vos propres requêtes de recherche de journal personnalisées.
    Par exemple :
    search "ocid1.compartment.oc1..x/ocid1.loggroup.oc1.iad.loggroup_x/ocid1.log.oc1.iad.log_x"
 | data.systemOcid='ocid1.exadata.x' and text_contains(data.message, 'proctitle=vi ', true)
 | sort by datetime desc