Visualizzazione degli eventi del log audit
Descrive come visualizzare gli eventi del log di audit.
Audit fornisce i record delle operazioni API eseguite sui servizi supportati come elenco di eventi di log. Il servizio registra gli eventi sia a livello di tenant che a livello di compartimento.
Quando si visualizzano gli eventi registrati da Audit, è possibile che l'utente sia interessato ad attività specifiche che si sono verificate nella tenancy o nel compartimento e a chi era responsabile dell'attività. Dovrai conoscere l'ora e la data approssimativa in cui si è verificato un evento e il compartimento in cui è successo visualizzare una lista di eventi di log che include l'attività in questione. Elencare gli eventi del log specificando un intervallo temporale di 24 ore nel fuso di Greenwich (GMT), calcolando l'offset del fuso orario locale a seconda dei casi. La nuova attività viene aggiunta all'elenco esistente, in genere entro 15 minuti dalla chiamata API, anche se il tempo di elaborazione può variare.
Criterio IAM necessario
Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario, indipendentemente dal fatto che si stia utilizzando la console o l'API REST con un SDK, un'interfaccia CLI o unaltro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.
Per gli amministratori: la seguente istruzione dei criteri consente al gruppo specificato (Auditor) di visualizzare tutti i log degli eventi di audit nella tenancy:
Allow group Auditors to read audit-events in tenancyPer concedere al gruppo l'accesso ai log degli eventi di audit solo in un compartimento specifico (ProjectA), scrivere un criterio simile al seguente:
Allow group Auditors to read audit-events in compartment ProjectASe non si ha familiarità con i criteri, vedere Introduzione ai criteri e Criteri comuni. Per ulteriori dettagli sui criteri per l'audit, vedere Dettagli per il servizio di audit.
Ricerca e applicazione di filtri nella console
Quando si passa ad Audit nella console, viene generata una lista di risultati per il compartimento corrente. I log di audit sono organizzati per compartimento. Pertanto, se si sta cercando un evento specifico, è necessario sapere in quale compartimento si è verificato l'evento. È possibile filtrare l'elenco nei seguenti modi:
- Data e ora
- Tipi di azione richiesta (operazioni)
- Parola chiave
Ad esempio, gli utenti iniziano a segnalare che il tentativo di accesso non riesce. Si desidera utilizzare Audit per ricercare il problema. Regolare la data e l'ora in modo da cercare gli errori corrispondenti durante una finestra di tempo che inizia poco prima della segnalazione degli eventi. Cercare gli errori corrispondenti e operazioni simili che precedono gli errori per correlare un motivo degli errori.
Il servizio registra gli eventi al momento dell'elaborazione. Può verificarsi un ritardo tra il momento in cui si verifica un'operazione e il momento in cui viene elaborata.
È possibile filtrare i risultati in base alle azioni di richiesta in base ai soli eventi con operazioni di interesse. Ad esempio, si supponga di voler conoscere solo le istanze eliminate durante un intervallo di tempo specifico. Selezionare un filtro azione di eliminazione richiesta per visualizzare solo gli eventi con operazioni di eliminazione.
Puoi anche filtrare per parole chiave. I filtri per parole chiave sono efficaci se combinati con i valori dei campi degli eventi di audit. Ad esempio, si supponga di conoscere il nome utente di un account e di voler elencare tutte le attività di tale account in un determinato intervallo di tempo. Eseguire una ricerca utilizzando il nome utente come filtro di parole chiave.
Ogni evento di audit contiene gli stessi campi, quindi cercare i valori da tali campi. Per una migliore comprensione dei valori disponibili, vedere Contenuto di un evento di log di audit.