Documentazione di Oracle Cloud Infrastructure

Log e gruppi di log

Utilizza Oracle Cloud Infrastructure Logging per gestire log e gruppi di log.

I log contengono informazioni di diagnostica critiche che indicano le prestazioni e l'accesso alle risorse. È possibile abilitare il log sulle risorse supportate. Per visualizzare la lista delle risorse supportate raggruppate per servizio, vedere Servizi supportati.

I gruppi di log sono contenitori logici per l'organizzazione dei log. I log devono essere sempre all'interno dei gruppi di log. È necessario creare un gruppo di log per abilitare un log.

Utilizzare i gruppi di log per limitare l'accesso ai log riservati con il criterio IAM. Con i gruppi di log, non è necessario fare affidamento su gerarchie compartimenti complesse per proteggere i log. Ad esempio, si supponga che il gruppo di log predefinito in un singolo compartimento sia il punto in cui vengono memorizzati i log per l'intera tenancy. Concedi l'accesso al compartimento agli amministratori dei log con il criterio IAM come normalmente faresti. Si supponga tuttavia che alcuni progetti contengano informazioni di identificazione personale (PII) e che tali log possano essere visualizzati solo da un gruppo selezionato di amministratori di log. I gruppi di log consentono di inserire i log che contengono PII in un gruppo di log distinto, quindi di utilizzare il criterio IAM per limitare l'accesso in modo che solo un set selezionato di amministratori di log disponga dell'accesso elevato.

Criteri IAM gruppi di log

Criteri IAM necessari

Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere un membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario se si utilizza la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.

Amministratori: per gli esempi di criteri specifici di log e gruppi di log, vedere Autorizzazioni obbligatorie per l'utilizzo di log e gruppi di log.

Se non si ha familiarità con i criteri, vedere Gestione dei domini di Identity e Criteri comuni. Per ulteriori informazioni sulla scrittura dei criteri per la registrazione, vedere Dettagli per la registrazione.

Autorizzazioni necessarie per l'utilizzo di log e gruppi di log

Per abilitare i log del servizio in una risorsa, è necessario concedere a un utente l'accesso manage sul gruppo di log e l'accesso alla risorsa. In generale, è sufficiente ispezionare l'accesso alla risorsa, ma verificare la presenza di risorse specifiche. L'accesso Ispeziona consente di aggiornare la risorsa e l'autorizzazione per il gruppo di log che contiene il log.

I log e i gruppi di log utilizzano il tipo di risorsa log-group, ma per cercare il contenuto dei log è necessario utilizzare un tipo di risorsa diverso.

Gestione dei gruppi di log e degli oggetti di log

Per gestire gruppi o oggetti, utilizzare i verbi per i gruppi di log:

Allow group A to use log-groups in compartment C
Allow group B to manage log-groups in compartment C
Allow group D to read log-groups in compartment C

Ciò consente agli utenti del gruppo A di creare, aggiornare o eliminare gruppi di log e oggetti di log nel compartimento C.

Per eseguire il provisioning delle configurazioni agente

Sono necessari tre diversi tipi di accesso:

  1. Accesso per operare sulle configurazioni.
  2. Accesso per operare sui gruppi di log.
  3. Ispezionare le funzionalità per gruppi o gruppi dinamici.
Per avere accesso alle configurazioni, il criterio deve essere:
Allow group B to use unified-configuration in compartment X
Per creare, aggiornare o eliminare i log personalizzati utilizzati come destinazione in una configurazione

Questo criterio consente agli utenti del compartimento B di creare, aggiornare o eliminare le configurazioni nel compartimento X.

Per fornire una destinazione per i log in entrata dalla configurazione, è necessario disporre dell'accesso log-groups:
Allow group B to use log-groups in compartment X
Per assegnare una configurazione a un set di istanze
Per assegnare una configurazione a un set di istanze, è necessario ispezionare l'accesso al gruppo dinamico o al gruppo che identifica le istanze:
Allow group B {IDENTITY_DYNAMIC_GROUP_INSPECT} in tenancy  / Allow group B {IDENTITY_GROUP_INSPECT} in tenancy
Abilitare le istanze per eseguire il push dei log nel servizio di log
Per consentire alle istanze di eseguire il PUSH dei log, le istanze devono avere accesso per ottenere una configurazione ed eseguire il PUSH dei log. log-content controlla questa autorizzazione (dove X è il compartimento in cui si trovano le configurazioni):
Allow dynamic-group production-fleet to use log-content in compartment X
Per visualizzare i log
Per visualizzare i log nella console (Cerca), è necessario quanto riportato di seguito.
Allow group Searchers to read log-content in compartment X
Criteri di ricerca log di esempio

Per consentire a un gruppo di leggere il contenuto dei log indicizzati:

allow group GroupA to read log-groups in tenancy
allow group GroupA to read log-content in tenancy
Criteri di esempio per i log e i gruppi di log

In questi esempi, le istruzioni dei criteri utilizzano GroupA come nome del gruppo.

Per consentire a un gruppo di visualizzare i gruppi di log nella tenancy (o in un compartimento), è necessario disporre dell'accesso inspect: 

allow group GroupA to inspect log-groups in tenancy

Per consentire a un gruppo di leggere i metadati per i log o i gruppi di log, è necessario disporre dell'accesso read: 

allow group GroupA to read log-groups in tenancy

Per consentire a un gruppo di aggiornare i gruppi di log o i relativi log, è necessario disporre dell'accesso use: 

allow group GroupA to use log-groups in tenancy

Per abilitare un log su una risorsa (o per creare ed eliminare i gruppi di log e i relativi log), è necessario disporre dell'accesso manage: 

allow group GroupA to manage log-groups in tenancy

Per consentire l'utilizzo di uno o più gruppi di log specifici, utilizzare una clausola where con la variabile target.loggroup.id. Ad esempio:

Allow group GroupA to manage loggroups in tenancy where 
target.loggroup.id='ocid1.loggroup.oc1.phx.<uniqueID>'

Per specificare più gruppi di log:

Allow group GroupA to manage log-groups in tenancy where any {target.loggroup.id='ocid1.loggroup'}
Log personalizzati

Per i log personalizzati è necessario effettuare le operazioni riportate di seguito. Questo criterio è necessario per consentire all'utente di cercare i log nella pagina Cerca della console:

allow group userGroup1 to read log-content in compartment c
Nota

Anche se questo criterio viene descritto per l'uso con i log personalizzati, il criterio è vero anche per tutti i log. LOG_CONTENT_READ consente di leggere i log dei servizi sia personalizzati che OCI. È identico nel comportamento a questa politica:
allow group GroupA to read log-content in tenancy

Per l'agente che utilizza il principal dell'istanza sulla virtual machine per l'invio dei log è necessario quanto riportato di seguito.

allow dynamic-group dynamicgroup1 to use log-content in compartment c
Nota

Se si utilizza un gruppo di utenti al posto di un gruppo dinamico per eseguire il push dei log personalizzati, sostituire il nome del gruppo dinamico con il nome del gruppo di utenti in questi criteri.

Per i log personalizzati, se si utilizza allow dynamic-group dynamicGroup1 to use log-content in compartment c, le istanze in tale gruppo dinamico ottengono l'autorizzazione per scaricare la configurazione, inviare i log e cercare i log.

Requisiti dei criteri IAM per le risorse

Oltre alle autorizzazioni per utilizzare il gruppo di log, per aggiungere i log del servizio a una risorsa è necessario disporre dell'autorizzazione di aggiornamento per la risorsa. Per molte risorse, l'autorizzazione di aggiornamento viene concessa con il verbo use. Ad esempio, gli utenti che possono utilizzare i bucket use in CompartmentA possono abilitare anche il log in un bucket in CompartmentA.

Tuttavia, alcune risorse non includono l'autorizzazione per aggiornare una risorsa con il verbo use. Ad esempio, per aggiornare una regola per il servizio Eventi, è necessario disporre dell'autorizzazione manage completa. Per abilitare un log in una regola Eventi o qualsiasi altra risorsa che non includa l'autorizzazione di aggiornamento con il verbo use, è necessario disporre dell'autorizzazione manage.

Per consentire a un gruppo di abilitare il log per queste risorse, senza concedere le autorizzazioni complete di manage, è possibile aggiungere un'istruzione criterio per concedere solo l'autorizzazione <RESOURCE>_UPDATE (o, nel caso del servizio Eventi, <RESOURCE>_MODIFY) dal verbo manage. Ad esempio, per consentire a un gruppo EventUsers di abilitare i log sulle regole Eventi in CompartmentA, è possibile scrivere un criterio simile al seguente:

Allow group EventUsers to read cloudevents-rules in compartment CompartmentA
Allow group EventUsers to manage cloudevents-rules in compartment CompartmentA 
 where request.permission='EVENTRULE_MODIFY'

Per informazioni sulle autorizzazioni delle risorse, vedere Riferimento ai criteri.

Criterio IAM dei log di flusso VCN

Oltre alle autorizzazioni necessarie per l'utilizzo dei log e dei gruppi di log, per la gestione dei log di flusso della VCN sono necessarie autorizzazioni di lettura e aggiornamento della subnet.

Per fornire le autorizzazioni della subnet, utilizzare uno dei criteri riportati di seguito, elencati in ordine che va dai privilegi più ampi a quelli limitati.

Allow group FlowLogsEnablers to manage virtual-network-family in tenancy

Oppure:

Allow group FlowLogsEnablers to manage subnets in tenancy

Oppure:

Allow group FlowLogsEnablers to {SUBNET_READ, SUBNET_UPDATE} in tenancy

Questo gruppo è simile a quanto descritto per EventUsers in Requisiti dei criteri IAM per le risorse.

Scenario di esempio

La società dispone di un reparto operazioni. All'interno del reparto Operazioni sono presenti diversi centri di costo. Si desidera poter contrassegnare le risorse appartenenti al reparto operazioni con il centro di costo appropriato.

  1. Creare un gruppo di log denominato "riservato". Evitare di inserire informazioni riservate.
  2. Aggiungere log con dati riservati al gruppo di log "riservato".

Un dipendente di nome Alice appartiene già al gruppo BucketManagers. Alice può gestire i bucket in CompartmentA. Si desidera che Alice e gli altri membri del gruppo BucketManagers siano in grado di abilitare i log sui bucket in CompartmentA.

Per concedere al gruppo BucketManagers l'accesso al gruppo di log dei dati riservati (e solo al gruppo di log dei dati riservati), aggiungere le seguenti istruzioni al criterio BucketManagers: 

Allow group BucketManagers to manage log-groups in compartment CompartmentA where 
target.loggroups.id='ocid1.lumloggroup.oc1.phx.<uniqueID>'

Alice ora può abilitare i log per raggruppare le risorse in CompartmentA.

Nomi gruppi di log e log

Per i nomi dei gruppi di log, il primo carattere deve iniziare con una lettera. In alternativa, è possibile applicare le linee guida indicate di seguito sia ai nomi dei gruppi di log che a quelli dei gruppi di log.

  • Utilizzare da 1 a 256 caratteri.
  • I caratteri validi sono lettere (maiuscole o minuscole), numeri, trattini, caratteri di sottolineatura e punti.
  • Per i nomi dei gruppi di log e di log viene fatta distinzione tra maiuscole e minuscole. Il log gestisce il log di scrittura e il log di scrittura come log separati.
  • Evitare di inserire informazioni riservate.