Documentazione dell'infrastruttura Oracle Cloud

Risoluzione dei problemi di Cloud Guard

Utilizza le informazioni di risoluzione dei problemi per identificare e risolvere i problemi comuni che possono verificarsi durante l'utilizzo del servizio Oracle Cloud Guard.

Nessun problema rilevato

Risolvi i problemi di abilitazione che impediscono a Cloud Guard di rilevare i problemi.

I passi in Abilitazione di Cloud Guard sono stati completati e dopo circa 30-60 minuti non vengono visualizzati problemi nella pagina Problemi.

Assicurarsi che una ricetta del rilevatore venga aggiunta alla destinazione

I passi in Abilitazione di Cloud Guard costringono a definire una destinazione specificando Compartimenti da monitorare nella tenancy OCI. Se non è stata selezionata anche una ricetta del rilevatore di configurazione OCI o una ricetta del rilevatore di attività OCI, alla destinazione non sono stati aggiunti rilevatori. Senza aggiungere almeno un rilevatore alla destinazione, non è possibile segnalare problemi.

Vedere Modifica di una destinazione OCI e delle relative ricette collegate.

Alcune categorie di problemi non rilevati

Risolvi i problemi di abilitazione che impediscono a Cloud Guard di rilevare tutte le categorie di problemi.

I passi in Abilitazione di Cloud Guard sono stati completati e i problemi vengono visualizzati nella pagina Problemi, ma non viene ancora visualizzata un'intera categoria di problemi.

Assicurarsi che una ricetta del rilevatore venga aggiunta alla destinazione per ogni categoria

Se si salta la selezione di una ricetta del rilevatore per una determinata categoria di problemi in Abilitazione di Cloud Guard, una ricetta del rilevatore per tale categoria di problemi non viene aggiunta alla destinazione. Se un rilevatore per una determinata categoria di problemi non viene aggiunto alla destinazione, Cloud Guard non rileva problemi per tale categoria.

Vedere Modifica di una destinazione OCI e delle relative ricette collegate.

Nessun evento generato

Risolvere i problemi di abilitazione che impediscono a Cloud Guard di generare eventi.

I passi in Abilitazione di Cloud Guard sono stati completati e i problemi vengono visualizzati nella pagina Problemi, ma non viene generato alcun evento per il servizio di notifiche da riprendere (vedere Configurazione delle notifiche).

Nota

Solo i nuovi problemi rilevati da Cloud Guard per rilevare le notifiche degli eventi trigger. Per attivare le notifiche degli eventi per i problemi meno recenti:
  1. Individuare la riga del problema nella pagina Problemi.

    Vedere Lista dei problemi e recupero dei dettagli.

  2. Selezionare la casella di controllo all'estremità sinistra della riga per il problema.

    È possibile selezionare un problema aggiuntivo da elaborare in un'unica operazione.

  3. selezionare Contrassegna come risolto nella parte superiore dell'elenco dei problemi.

    Viene attivato un trigger per la regola evento contrassegnata come risolta se vengono soddisfatte le condizioni per classificarla come nuovo problema. Vedere Ciclo di vita del problema.

Assicurarsi che la ricetta del rispondente OCI venga aggiunta alla destinazione

I passi in Abilitazione di Cloud Guard costringono a definire una destinazione specificando Compartimenti da monitorare nella tenancy OCI. Se non è stata selezionata anche la ricetta del rispondente OCI, la regola del rispondente all'evento cloud nella ricetta del rispondente OCI non è in grado di inviare eventi al servizio Notifiche.

Vedere Modifica di una destinazione OCI e delle relative ricette collegate.

Impossibile elaborare i problemi PSM

Non è possibile chiudere o risolvere i problemi correlati al compartimento PaaS Service Manager (PSM) (denominato ManagedCompartmentForPaaS).

Sono stati completati i passi in Abilitazione di Cloud Guard e tutte le categorie di problemi vengono visualizzate nella pagina Problemi. È possibile chiudere o risolvere tutti i problemi, ad eccezione dei problemi relativi al compartimento PSM.

Per ulteriori informazioni sul compartimento ManagedCompartmentForPaaS, vedere Risorse create nella tenancy da Oracle.

Creare un ticket di supporto per fornire privilegi speciali

Il servizio PSM controlla l'accesso al compartimento PSM nella tenancy OCI, pertanto i criteri richiesti da Cloud Guard non influiscono sull'accesso tramite Cloud Guard alle risorse nel compartimento PSM. Per ottenere i privilegi necessari per chiudere o risolvere i problemi relativi al compartimento PSM:

  1. Crea un ticket per il supporto Oracle.
  2. Fornire i dettagli riportati di seguito sul modo in cui questi privilegi sono necessari per Cloud Guard:
    • ID tenancy OCI
    • OCID dei problemi di Cloud Guard che si sta tentando di chiudere
  3. Il PSM e il team OCI Identity aggiungono quindi il criterio seguente:

    allow group administrators to use cloud-guard-problems in compartment managedcompartmentforpaas

    Nota

    Si tratta di un compartimento speciale per il quale la possibilità di risolvere i problemi di Cloud Guard può essere concessa solo a un gruppo amministrativo.
  4. Dopo che il team di supporto ti ha informato che ha aggiunto il criterio, puoi chiudere e risolvere i problemi con il compartimento PSM.

"Eccezione non autorizzata o non trovata" nella chiamata API

Chiamata API non riuscita con errore NotAuthorizedOrNotFoundException.

Nota

Questi problemi riguardano l'area di reporting di Cloud Guard.

L'area di reporting di Cloud Guard NON è la stessa dell'area di origine OCI.

Per visualizzare l'area di reporting, nel pannello delle opzioni di Cloud Guard a sinistra selezionare Impostazioni.

Per visualizzare l'area in cui ci si trova, visualizzare l'elenco a discesa delle aree nella parte superiore della pagina.

Situazione 1: quando si effettuano chiamate API al di fuori dell'area di reporting della tenancy Cloud Guard:

  • Chiamate API READ riuscite.
  • Tutte le chiamate CREATE, UPDATE e DELETE non riescono con l'errore NotAuthorizedOrNotFoundException.

Situazione 2: quando si eseguono chiamate API LIST che non specificano l'area di reporting, alcune chiamate non riescono con l'errore NotAuthorizedOrNotFoundException.

Situazione 1: effettuare chiamate API CREATE, UPDATE e DELETE solo nell'area Reporting

Per progettazione, le chiamate API CREATE, UPDATE e DELETE sono consentite solo nell'area di reporting. Evita di effettuare questi tipi di chiamate API al di fuori dell'area di reporting.

Situazione 2: quando si effettuano chiamate API LIST, specificare l'area di reporting

Sebbene alcune chiamate API LIST non richiedano il passaggio dell'area di reporting come parametro, è possibile evitare l'errore NotAuthorizedOrNotFoundException passando sempre l'area di reporting nelle chiamate API LIST.

Se si ottiene l'errore NotAuthorizedOrNotFoundException in una chiamata API LIST in cui non è stata superata l'area di reporting, la riemissione della chiamata con l'area di reporting passata dovrebbe cancellare l'errore.

Risorse gestite da Oracle non visibili

Dopo aver abilitato Cloud Guard tramite l'API o l'interfaccia CLI di Cloud Guard, nella console Cloud Guard non vengono visualizzate risorse gestite da Oracle.

Se la chiamata API o il comando CLI che abilita Cloud Guard passa selfManageResources come true, nessuna delle ricette predefinite del rilevatore gestito da Oracle, delle ricette del rispondente o delle liste gestite viene visualizzata nell'interfaccia utente della console Cloud Guard.

Non è possibile annullare l'effetto dell'abilitazione di Cloud Guard con selfManageResources come true, pertanto sono disponibili solo due opzioni per risolvere il problema:

  • Disabilitare e riabilitare Cloud Guard.
    1. Disabilitare Cloud Guard tramite la console. Vedere Gestione delle impostazioni di Cloud Guard.
    2. Riabilitare Cloud Guard tramite la console. Vedere Passi per abilitare Cloud Guard.

      In alternativa, puoi abilitare di nuovo Cloud Guard tramite l'API o l'interfaccia CLI.

    Questo approccio è in genere ottimale, soprattutto se si rileva il problema subito dopo l'abilitazione di Cloud Guard e prima che siano stati inclusi molti dati.

  • Creare versioni gestite dall'utente delle risorse gestite da Oracle utilizzando le chiamate API Cloud Guard o i comandi CLI. Vedere la procedura nella sezione successiva.

    Questo approccio è ottimale se hai abilitato intenzionalmente Cloud Guard con selfManageResources come true.

Utilizzo dell'API o dell'interfaccia CLI di Cloud Guard per creare risorse gestite dall'utente

I dettagli riportati di seguito sono specifici per l'uso dell'API Cloud Guard.

  1. Utilizzare UpdateConfiguration per abilitare Cloud Guard impostando in modo esplicito selfManageResources su true.

  2. Richiamare le seguenti operazioni per elencare le risorse includendo il parametro di query resourceMetadataOnly come true:
  3. Utilizzare il valore del campo id della risposta API precedente quando si richiamano le seguenti operazioni di creazione:

    Il campo id della risposta all'operazione di creazione è l'OCID della risorsa gestita da Oracle: ricetta del rilevatore, lista gestita o ricetta del rispondente.

    Gli OCID generati nei passi precedenti possono essere utilizzati durante la configurazione della destinazione. Vedere CreateTarget.