Documentazione dell'infrastruttura Oracle Cloud

Log di audit nella ricerca con OpenSearch

I log di audit acquisiscono un record completo di accesso, operazioni e modifiche a un cluster e ai dati del cluster.

Questa funzione consente di monitorare le attività, risolvere i problemi e garantire la conformità ai criteri di sicurezza per un cluster. Per ulteriori informazioni, vedere OpenSearch log di controllo.

Requisiti indispensabili

  • La versione OpenSearch per il cluster deve essere 2.11.

Abilitazione dei log di audit per un cluster

Prima di poter utilizzare i log di audit, è necessario abilitare la funzionalità dal dashboard OpenSearch del cluster.

  1. Connettersi ai dashboard OpenSearch del cluster e selezionare Sicurezza.

  2. Fare clic su Log di audit nel menu di navigazione sul lato sinistro.

  3. Attivare Abilita log di audit da Disabilitato a Abilitato.

Impostazioni generali

Le impostazioni generali sono le impostazioni di configurazione generali per i log di audit, incluso se la funzione è abilitata o disabilitata per un'impostazione, nonché la granularità dei dati registrati.

Impostazioni livello

È possibile abilitare o disabilitare i log di audit per il livello REST e il livello di trasporto.

  • Layer REST: se abilitato, tutte le richieste REST al cluster vengono registrate.

    Le categorie disabilitate per REST sono:

    • AUTENTICATO: le richieste autenticate, ma non necessariamente autorizzate, non vengono registrate.
    • GRANTED_PRIVILEGES: le richieste autenticate ma non necessariamente autorizzate non vengono registrate.

  • Transport Layer: se abilitato, le richieste da nodo a nodo all'interno di un cluster vengono registrate.

    Le categorie di trasporto disabili sono:

    • AUTENTICATED: le richieste Node-to-node autenticate ma non necessariamente autorizzate non vengono registrate.
    • GRANTED_PRIVILEGES: le richieste da nodo a nodo alle quali sono stati concessi determinati privilegi non vengono registrate.

Impostazioni attributi

Le impostazioni degli attributi specificano le parti di una richiesta da registrare.

  • Richieste di massa: se abilitate, le richieste di massa vengono registrate.

  • Corpo della richiesta: se abilitato, il corpo delle richieste viene registrato.

  • Risolvi indici: se abilitato, i nomi effettivi degli indici a cui si accede nella richiesta vengono risolti e registrati.

  • Intestazioni riservate: se abilitate, vengono registrate le intestazioni che potrebbero contenere informazioni riservate, ad esempio i token di autenticazione.

Ignora impostazioni

Specifica se escludere gli utenti o le richieste dalla registrazione.

  • Utenti ignorati: specifica un elenco di utenti le cui azioni non sono registrate.

  • Richieste ignorate: specifica un elenco di pattern di richieste non registrati.

Impostazioni conformità

Queste sono le impostazioni di configurazione generali per la funzione di log della conformità. Specifica se il log di conformità è abilitato e la granularità dei dati registrati.

Modalità conformità

Specifica se il cluster opera in una modalità in cui OpenSearch applica determinati comportamenti correlati alla conformità. Se l'opzione Compliance Logging è abilitata, potrebbe applicare controlli di sicurezza più rigorosi, log e così via, in base alle altre impostazioni di conformità configurate.

Configura

Specifica se vengono registrati aggiornamenti di configurazione OpenSearch. Include quanto riportato di seguito.

  • Log configurazione interna: se abilitato, le modifiche alla configurazione OpenSearch interna vengono registrate. Può essere utile per tenere traccia delle modifiche alle configurazioni, ai ruoli, alle autorizzazioni e così via di sicurezza.

  • Log configurazione esterna: se abilitato, le modifiche alle configurazioni esterne, ad esempio le configurazioni memorizzate al di fuori di OpenSearch, in un file o in un servizio esterno, vengono registrate.

Lettura

Specifica la configurazione di log per le operazioni di lettura.

  • Lettura metadati: se abilitata, vengono registrati solo i metadati delle operazioni di lettura, i dati effettivi da leggere non vengono registrati. Ciò è utile per monitorare i pattern di accesso senza registrare i dati sensibili.

  • Utenti ignorati: specifica un elenco di utenti le cui operazioni di lettura non sono registrate.

  • Campi osservati: specifica i campi all'interno degli indici da monitorare per le operazioni di lettura.

Scrivi

Specifica la configurazione di log per le operazioni di scrittura.

  • Scrivi metadati: se abilitato, vengono registrati solo i metadati delle operazioni di scrittura, i dati effettivi che vengono scritti non vengono registrati. Ciò è utile per tenere traccia dei modelli di modifica dei dati senza registrare il contenuto dei dati.

  • Log Diffs: se abilitato, vengono registrate le differenze tra i vecchi dati e i nuovi dati nelle operazioni di scrittura. Se disabilitato, le differenze non vengono registrate, viene registrato solo il fatto che si è verificata un'operazione di scrittura.

  • Utenti ignorati: specifica un elenco di utenti le cui operazioni di lettura non sono registrate.

  • Indici osservati: specifica gli indici da monitorare per le operazioni di scrittura.

Uso dei log di controllo

Dopo aver abilitato i log di audit per un cluster, OpenSearch inizia a popolare gli indici del log di audit con i dati. Per accedere a tali dati, è necessario creare un modello di indice che punti ai dati di log. Un pattern di indice fa riferimento a uno o più indici, flussi di dati o alias di indice.

Crea pattern indice

  1. Connettersi ai dashboard OpenSearch del cluster e selezionare Gestione.

  2. Fare clic su Gestione stack nel menu di navigazione sul lato sinistro, quindi selezionare Pattern di indice.

  3. Fare clic su Crea pattern indice.

  4. Specificare il nome pattern indice per la corrispondenza. Per impostazione predefinita, i nomi degli indici dei log di audit iniziano con security, pertanto è possibile specificare security* per includere tutti i log di audit. Se non si utilizza la configurazione predefinita, specificare il pattern di indice corrispondente alla configurazione personalizzata.
  5. Fare clic su Passo successivo.
  6. Selezionare @timestamp per Passo 2: Configura impostazioni, quindi fare clic su Crea pattern indice.

Ricerca dei log di audit

  1. Accedere ai dashboard OpenSearch del cluster e selezionare Trova.

  2. Selezionare il pattern di indice security* o un altro pattern di indice creato per fare riferimento ai dati del log di audit dal menu a discesa in alto a sinistra.

A questo punto, è possibile aggiungere, eliminare o modificare i campi dati per cercare i dati di log.

Caratteristiche principali

  • Filtra e cerca:

    • Intervallo di date: utilizzare il selettore data per limitare gli eventi specificando una data di inizio e una data di fine.
    • Ricerca di testo libero: utilizza la barra di ricerca per cercare termini o azioni specifiche.
    • Filtri basati su campi: applica filtri basati su campi specifici quali audit_category, audit_request_origin e così via.

  • Visualizzazione dei dettagli del log

    In genere, le voci del log di audit includono le seguenti:
    • Indicatore orario: indica quando l'evento si è verificato.
    • Categoria di audit: il tipo di evento, ad esempio AUTHENTICATED, FAILED_LOGIN e così via.
    • Utente: dettagli sull'utente che ha attivato l'evento.
    • Origine della richiesta: da dove proviene la richiesta, ad esempio REST, TRANSPORT e così via.
    • IP remoto: l'indirizzo IP da cui è stato attivato l'evento.

Esportazione dei log di controllo

Per esportare i log di audit per l'analisi o il backup esterno:

  1. Utilizzare gli strumenti di ricerca e filtro per filtrare i log che si desidera esportare. Vedere Ricerca dei dati e Filtro dei dati.

  2. Fare clic su Condividi in alto a destra e selezionare il formato di esportazione che si desidera utilizzare.

Procedure ottimali

  • Criterio di conservazione: impostare i criteri del ciclo di vita degli indici per gestire la conservazione e l'eliminazione dei vecchi log di audit.
  • Monitoraggio: esaminare regolarmente i log di audit per individuare pattern insoliti o attività sospette.
  • Controllo dell'accesso: limitare l'accesso ai log di controllo solo al personale autorizzato.