Documentazione dell'infrastruttura Oracle Cloud

Uso chiave di monitoraggio

Scopri come monitorare l'uso delle chiavi in Oracle Cloud Infrastructure utilizzando i dati di log.

Il monitoraggio dell'uso delle chiavi per le operazioni di cifratura e decifrazione può essere utile per diversi casi d'uso, tra cui:

  • Gestione del ciclo di vita: comprendere quando è stata utilizzata l'ultima chiave è fondamentale per prendere decisioni di fidelizzazione informate. Le chiavi utilizzate di frequente, ad esempio quelle che supportano i carichi di lavoro del database, potrebbero comunque essere importanti a livello operativo nonostante le attività limitate. L'estensione della conservazione dei log tramite OCI Connector Hub consente una visibilità più approfondita dei modelli di utilizzo cronologici, consentendo ai team di prendere decisioni consapevoli del rischio sull'opportunità di conservare, ruotare o ritirare le chiavi.
  • Sicurezza: il monitoraggio dell'uso delle chiavi può avvisare l'utente di attività insolite.
  • Monitoraggio o analisi del comportamento dell'applicazione: la correlazione del funzionamento dell'applicazione con l'uso della chiave può fornire informazioni utili per risolvere i problemi con le applicazioni o migliorarne le prestazioni.

Questo argomento descrive in dettaglio come utilizzare i log di Oracle Cloud Infrastructure (OCI) per monitorare l'uso delle chiavi.

Dati di log disponibili

Il servizio di log OCI fornisce diversi tipi di log, tra cui:

Log di controllo

Log di audit: utilizzare i log di controllo per monitorare le operazioni di gestione quali:

  • Operazioni di creazione, aggiornamento ed eliminazione per la gestione di chiavi e vault
  • Ruota le operazioni per le chiavi

I log di audit non registrano operazioni crittografiche quali Decrypt o GenerateDataEncryptionKey (attività del piano dati), che vengono invece eventualmente registrate nei log dei servizi.

Log servizio

I log servizio devono essere abilitati dal cliente per essere utilizzati. Quando l'opzione è abilitata per Gestione chiavi, i log del servizio acquisiscono i metadati, tra cui:

  • Principio di chiamata (utente, funzione o istanza che avvia l'operazione chiave)
  • OCID chiave
  • Versione chiave
  • Tipo di operazione (ad esempio, Decrypt)
  • Indicatore orario
  • Dettagli vault e compartimento
Importante

I log del servizio non registrano informazioni riservate che potrebbero compromettere la sicurezza dei dati per l'organizzazione o i clienti. Vedere Dettagli per Key Management per i dettagli completi sui dati raccolti dai log del servizio per Key Management.

Abilitazione dei log di servizio per un vault

Per abilitare i log del servizio, sono necessarie le autorizzazioni IAM necessarie. Per informazioni, vedere Details for Logging nella documentazione del servizio IAM.

Tenere presente che i log del servizio sono abilitati a livello di vault. Ripetere i passi in questo argomento per ogni vault regionale per il quale si desidera abilitare il log.

Per ulteriori informazioni, vedere Abilitazione del log per una risorsa nella documentazione del servizio di log.

  1. Aprire il menu di navigazione e selezionare Osservabilità e gestione. In Log, selezionare Log.
  2. Selezionare Abilita log servizio.
  3. Configurare il log come indicato di seguito.
    • Compartimento: selezionare il compartimento contenente il vault per il quale si sta abilitando il log.
    • Servizio: gestione delle chiavi
    • Risorsa: selezionare il vault che si desidera monitorare utilizzando i log del servizio.
    • Categoria di log: operazioni di crittografia.
    • Nome log: immettere un nome per il log.
  4. Selezionare Abilita log.

Visualizza ed esegui query sui log KMS

  1. Aprire il menu di navigazione e selezionare Osservabilità e gestione. In Log, selezionare Log.
  2. Passare a un log del servizio creato per un vault nella vista elenco dei log. Per istruzioni, vedere Ottenere i dettagli di un log.
  3. Utilizzare i controlli Ordina e Filtra per ora per controllare quali voci di log vengono visualizzate nell'elenco di voci Esplora log. Nella colonna tipo viene visualizzato il tipo di operazione di crittografia rappresentato dalla voce. Ad esempio, una voce per un'operazione di decifrazione ha il tipo di voce seguente:

    keymanagementservice.vault.crypto.decrypt

    L'immagine seguente mostra un log di esempio con un elenco di voci di log:

    Immagine di una pagina dei dettagli di un log del servizio per le operazioni di crittografia KMS.
  4. Per visualizzare i dettagli completi di una voce di log, selezionare la freccia alla fine della riga per la voce per espandere la voce e visualizzare una vista in formato JSON dei dettagli della voce.

    L'immagine riportata di seguito mostra un esempio dei dettagli di una voce di log in formato JSON.

    Immagine di una voce di log del servizio KMS in formato JSON.
    {
  "datetime": 1754361617552,
  "logContent": {
    "data": {
      "clientIpAddress": "<example_ip>",
      "keyVersionId": "ocid1.keyversion.oc1.iad.<example_ocid>",
      "opcRequestId": "<example_request_id>",
      "principalId": "objectstorage-us-ashburn-1/<example_principle>",
      "requestAction": "DECRYPT",
      "statusCode": 200
    },
    "id": "51777c94-e29c-4e78-9121-946c77301f62",
    "oracle": {
      "compartmentid": "ocid1.tenancy.oc1.<example_ocid>",
      "ingestedtime": "2025-08-05T02:40:55.747Z",
      "loggroupid": "ocid1.loggroup.oc1.<example_ocid>",
      "logid": "ocid1.log.oc1.iad.<example_ocid>",
      "tenantid": "ocid1.tenancy.oc1.<example_ocid>"
    },
    "source": "ocid1.vault.oc1.iad.<example_ocid>",
    "specversion": "1.0",
    "subject": "ocid1.key.oc1.iad.<example_ocid>",
    "time": "2025-08-05T02:40:17.552Z",
    "type": "com.oraclecloud.keymanagementservice.vault.crypto.decrypt"
  },
  "regionId": "us-ashburn-1"
}
  5. Per cercare le voci in base a una query personalizzata, selezionare Azioni, quindi Esplora con ricerca log. La modalità base per la ricerca dei log viene visualizzata per impostazione predefinita e consente di digitare parole chiave (ad esempio "cifratura") o valori o stringhe univoci (ad esempio un valore principalId) nel campo Filtri personalizzati. È inoltre possibile selezionare Modalità avanzata e utilizzare la sintassi della query per cercare il log. Per ulteriori informazioni sulla ricerca dei log, vedere Recupero dei dettagli di un log e Ricerca di log.

Invio di log allo storage degli oggetti o a piattaforme esterne come SIEM

Per impostazione predefinita, i log del servizio vengono memorizzati per 30 giorni. Per la conservazione a lungo termine o l'analisi esterna, utilizzare Connector Hub per inoltrare i log alle destinazioni di destinazione, ad esempio:

  • Storage degli oggetti
  • Log Analytics
  • Destinazioni esterne come SIEM

Per ulteriori informazioni, vedere i seguenti argomenti: