Remarques :
- Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction au niveau gratuit d'Oracle Cloud Infrastructure.
- Il utilise des exemples de valeur pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. A la fin de l'exercice, remplacez ces valeurs par des valeurs propres à votre environnement cloud.
Centralisez les journaux de plusieurs locations Oracle Cloud Infrastructure dans un bucket de location Oracle Cloud Infrastructure central
Introduction
Dans certains cas, vous devez centraliser tous vos journaux au même endroit, même s'ils proviennent de locations différentes. Cela peut être dû aux réglementations de l'industrie ou aux politiques gouvernementales de l'entreprise ; quel que soit votre cas, vous pouvez faire face à différentes préoccupations de gestion pour y parvenir.
Dans ce tutoriel, nous centraliserons les journaux d'audit, de service ou personnalisés générés dans différentes locations Oracle Cloud Infrastructure (OCI), sous une location centrale à des fins d'archivage ou de visualisation, à l'aide de l'accès inter-location OCI et du service OCI Connector Hub.
Diagramme d'architecture
- Location A : source des journaux dans la région 1.
- Location B : source des journaux dans la région 1.
- Location C : destination des journaux dans la région 1.
Remarque : pour ce tutoriel, toutes les locations doivent se trouver dans la même région.
Objectifs
-
Créez des stratégies dans la location de destination.
-
Créez des stratégies dans la location source.
-
Déployez une instance OCI Connector Hub dans la location source.
Prérequis
-
Tous les journaux de service ou personnalisés requis (VCN, OCI API Gateway, OCI Object Storage, etc.) déjà activés dans la location sont hors de portée de ce tutoriel. Les journaux d'audit de location sont activés par défaut.
-
Le bucket OCI Object Storage a été créé dans la location de destination.
-
Utilisateur Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) dans chaque location disposant de privilèges suffisants pour déployer ce tutoriel, y compris le droit d'accès permettant de configurer des stratégies dans le compartiment racine (exigence pour les instructions de stratégie inter-location).
Tâche 1 : créer des stratégies dans la location de destination
Les stratégies OCI IAM suivantes seront configurées dans la location de destination (location C), où réside le bucket OCI Object Storage.
-
Récupérez les informations suivantes pour la location A.
- OCID
- OCID de compartiment, où OCI Connector Hub sera déployé.
-
Récupérez les informations suivantes pour la location C.
- Nom du compartiment, où le bucket a été créé.
-
Créez les stratégies suivantes avec les informations collectées aux étapes 1 et 2.
-
Définissez la location distante.
define tenancy SCTenancyA as <Tenancy A OCID>
Remarque : mettez à jour
<Tenancy A OCID>
avec les informations collectées à l'étape 1. -
Autorisez un principal de connecteur de service de la location distante à lire des buckets dans un compartiment local.
admit any-user of tenancy SCTenancyA to read buckets in compartment <Tenancy C Compartment name> where all { request.principal.type='serviceconnector', request.principal.compartment.id='<Tenancy A Compartment OCID>' }
Remarque : mettez à jour
<Tenancy C Compartment name>
et<Tenancy A Compartment OCID>
avec les informations correspondantes. -
Autorisez un principal de connecteur de service de la location distante à gérer les objets, limités aux actions d'inspection d'objet et de création d'objet, dans un bucket local.
admit any-user of tenancy SCTenancyA to manage objects in compartment <Tenancy C Compartment name> where all { request.principal.type='serviceconnector', request.principal.compartment.id=’ <Tenancy A Compartment OCID>' , any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}
Remarque :
- Mettez à jour
<Tenancy C Compartment name>
et<Tenancy A Compartment OCID>
avec les informations correspondantes. - Toutes les ressources sont dans la portée d'un compartiment source ou de destination. Pour plus d'informations sur les instructions d'approbation, d'admission et de définition, reportez-vous à la rubrique Instructions d'approbation, d'admission et de définition.
- Mettez à jour
-
-
Connectez-vous à la console OCI, accédez à Identité et sécurité, puis cliquez sur Stratégies.
-
Assurez-vous que vous êtes dans le compartiment racine et cliquez sur Créer une stratégie.
-
Entrez le nom, la description et cliquez sur Afficher l'éditeur manuel.
-
Ecrivez les stratégies créées dans la tâche 1.3 et cliquez sur Créer.
Les stratégies doivent ressembler à :
Tâche 2 : créer des stratégies dans la location source
Les stratégies OCI IAM suivantes doivent être configurées dans chaque location source (location A et location B), où OCI Connector Hub sera déployé. OCI Connector Hub collectera et enverra les journaux au référentiel central.
-
Récupérez les informations suivantes pour la location A.
- OCID de compartiment, où OCI Connector Hub sera déployé.
-
Récupérez les informations suivantes pour la location C.
- OCID
-
Créez les stratégies suivantes avec les informations collectées aux étapes 1 et 2.
-
Définissez la location distante.
Define tenancy OSTenancyC as <Tenancy C OCID>
Remarque : mettez à jour
<Tenancy C OCID>
avec les informations correspondantes. -
Autorisez un principal de connecteur de service de la location locale à lire des buckets dans une location de destination.
endorse any-user to read buckets in tenancy OSTenancyC where all {request.principal.type = 'serviceconnector', request.principal.compartment.id='<Tenancy A Compartment OCID>' }
Remarque : mettez à jour
<Tenancy A Compartment OCID>
avec les informations correspondantes. -
Autorisez un principal de connecteur de service de la location locale à gérer les objets, limités aux actions d'inspection d'objet et de création d'objet, dans la location de destination.
endorse any-user to manage objects in tenancy OSTenancyC where all {request.principal.type = 'serviceconnector', request.principal.compartment.id='<Tenancy A Compartment OCID>' , any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}
Remarque :
- Mettez à jour
<Tenancy A Compartment OCID>
avec les informations correspondantes. - Toutes les ressources sont dans la portée d'un compartiment source ou de destination. Pour plus d'informations sur les instructions d'approbation, d'admission et de définition, reportez-vous à la rubrique Instructions d'approbation, d'admission et de définition.
- Mettez à jour
-
-
Connectez-vous à la console OCI, accédez à Identité et sécurité, puis cliquez sur Stratégies.
-
Assurez-vous que vous êtes dans le compartiment racine et cliquez sur Créer une stratégie.
-
Entrez le nom, la description et cliquez sur Afficher l'éditeur manuel.
-
Entrez les stratégies préparées dans la tâche 2.3 et cliquez sur Créer.
Les stratégies doivent ressembler à :
Tâche 3 : déploiement d'OCI Connector Hub dans la location source
Déployez OCI Connector Hub dans les locations source (location A et location B), à l'aide de l'interface de ligne de commande OCI.
Remarque : pour créer un connecteur qui accède aux ressources d'autres locations, vous devez utiliser le kit SDK OCI, l'interface de ligne de commande ou l'API.
-
Connectez-vous à l'interface de ligne de commande OCI de la location source (location A et location B). Pour ce tutoriel, nous allons utiliser OCI Cloud Shell. Pour plus d'informations sur l'utilisation d'OCI Cloud Shell, reportez-vous à Utilisation de Cloud Shell.
-
Créez deux fichiers avec le contenu suivant, nommés
source.json
ettarget.json
.-
source.json
: définit les sources de journal de la location source (location A ou location B), où les journaux seront collectés.Mettez à jour les paramètres suivants avec vos valeurs dans l'exemple de code.
<Tenancy A OCID where Audit log resides>
<Tenancy A Compartment OCID where log group resides>
<Tenancy A Log Group OCID>
<Tenancy A _Log-ID OCID_>
{ "kind": "logging", "logSources": [ { "compartment-id": "_<Tenancy A OCID where Audit log resides>_", "log-group-id": "_Audit_Include_Subcompartment", "log-id": null }, { "compartment-id": "_<Tenancy A Compartment OCID where log group resides>_", "log-group-id": _"<Tenancy A Log Group OCID>",_ "log-id": "<Tenancy A _Log-ID OCID_>" } ] }
Remarque : l'exemple
source.json
ci-dessus comporte deux sources de journal : la première configure OCI Connector Hub pour collecter les journaux d'audit à partir du compartiment racine et de tous les sous-compartiments. Le second configure OCI Connector Hub pour collecter des journaux spécifiques à partir d'un groupe de journaux (défini parlog-id
etlog-group-id
), comme un journal de sous-réseau. Vous pouvez ajouter ou enlever des sources de journal de cette configuration, si nécessaire. -
Target.json
: définit le bucket dans la location de destination (location C), où les journaux seront archivés.{ "kind": "objectStorage", "bucketName": "<Tenancy C bucket name>", "namespace": "<Tenancy C namespace where bucket was created>" }
Remarque : vous pouvez obtenir l'espace de noms de bucket à partir des détails de bucket.
-
-
Exécutez la commande suivante .
oci sch service-connector create --compartment-id <Compartment OCID where SCH will be placed in Tenancy A> --display-name <Display name> --source file://Source.json --target file://Target.json
Remarque : les fichiers
source.json
ettarget.json
doivent être accessibles. -
Répétez les étapes 1 à 3 pour toutes les autres locations source, le cas échéant. Pour plus d'options de cible OCI Connector Hub, vous pouvez consulter la référence ObjectStorageTargetDetails.
-
Vérifiez les résultats.
-
Un hub de connecteur OCI sera créé dans la location source avec les sources définies et le bucket de destination.
-
Le bucket de destination contiendra une entrée pour chaque instance OCI Connector Hub.
-
Liens connexes
Remerciements
- Auteurs - Jaime Rojas (ingénieur LAD A-Team), Michel Roitman (ingénieur LAD A-Team Cloud)
Ressources de formation supplémentaires
Parcourez d'autres ateliers sur docs.oracle.com/learn ou accédez à davantage de contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, rendez-vous sur education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.
Pour obtenir de la documentation sur le produit, visitez Oracle Help Center.
Centralize Logs from Multiple Oracle Cloud Infrastructure Tenancies into a Central Oracle Cloud Infrastructure Tenancy Bucket
F96828-01
April 2024