Documentazione dell'infrastruttura Oracle Cloud

Includi log da altri servizi OCI mediante connettore servizio

Puoi analizzare i log per risolvere i problemi, monitorare lo stato e le prestazioni e osservare i task operativi nei servizi Oracle Cloud Infrastructure includendo i log in Oracle Log Analytics.

Utilizza il connettore servizio per identificare il servizio Oracle Cloud Infrastructure come origine dei log e Oracle Log Analytics come destinazione. Per informazioni sul funzionamento di Service Connector Hub, vedere Panoramica di Service Connector Hub nella Documentazione di Oracle Cloud Infrastructure.

Nota

Dopo la creazione del connettore servizio, viene creata automaticamente un'entità per l'elaborazione dei log. Per garantire la corretta raccolta dei log, l'entità non deve essere eliminata.

Nel caso dei log di Oracle Operator Access Control, l'entità non viene creata automaticamente. Per creare un'entità, vedere Creare un'entità per rappresentare la risorsa che invia il log.

Argomenti

Importante: Oracle consiglia di utilizzare il flusso di lavoro di inclusione dati disponibile nella console di Log Analytics per includere rapidamente i log da altri servizi OCI. Andare a Log Analytics Home o Explorer log, fare clic su Compassa e fare clic su Aggiungi dati.

  • Per tutti i tipi di log dai servizi OCI ad eccezione dei log di audit OCI e dei log di audit IDCS, espandere la sezione Monitorare le risorse OCI e fare clic su Configura raccolta log per le risorse OCI.
  • In caso di Log di audit OCI o Log di audit IDCS, espandere la sezione Sicurezza e conformità e fare clic sui log desiderati. In questo flusso di lavoro vengono create automaticamente tutte le risorse necessarie, ad esempio criteri, gruppo di log e connettore servizio.

Seguire i passi intuitivi del flusso di lavoro per avviare l'inclusione dei log. Come prerequisito, assicurarsi di disporre delle autorizzazioni necessarie per completare i passi. Per una rapida panoramica dei passaggi, guarda il Video: Come inserire rapidamente i log in Log Analytics da altri servizi OCI in Oracle Cloud Observability and Management Platform.

In alternativa, è possibile impostare manualmente la raccolta di log eseguendo i passi riportati di seguito.

Informazioni aggiuntive

  • Elenco delle origini definite da Oracle per la raccolta dei log: per la lista delle origini definite da Oracle per raccogliere i log dai servizi Oracle Cloud Infrastructure, vedere Origini definite da Oracle e cercare le origini con il titolo OCI...

  • Tipi di log del servizio che è possibile raccogliere: per i tipi di log che è possibile raccogliere dai servizi Oracle Cloud Infrastructure, i parser, ad esempio il contenuto del log, i campi e il percorso JSON, vedere Dettagli parser OCI.

  • Filtrare i log raccolti tramite il connettore servizio: l'OCID del connettore servizio viene mappato al campo Log Origin. Per visualizzare i log che passano dal connettore di servizio a Oracle Log Analytics, filtrare i log in base al campo Log Origin. Vedere Filtrare i log in base agli attributi e ai campi bloccati.

Consenti raccolta di log dal servizio di log OCI

In base al tipo di log del servizio che si desidera includere, è necessario creare criteri per consentire a Oracle Log Analytics di ottenere le informazioni sulle risorse e creare un'entità per ogni risorsa.

Dopo aver creato il criterio, l'entità creata verrà associata automaticamente a tutti i log raccolti da tale risorsa. Se il criterio non viene creato, i log vengono comunque inclusi ma l'entità non viene creata.

Le autorizzazioni seguenti consentono di caricare i log in Oracle Log Analytics dal connettore del servizio. Viene richiesto di aggiungere queste istruzioni dei criteri quando si crea il connettore del servizio tramite OCI Console. In alternativa, è possibile creare manualmente il criterio che include le istruzioni dei criteri seguenti: 

allow any-user to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in compartment id <Log_Group_Compartment_OCID> where all {request.principal.type = 'serviceconnector', target.loganalytics-log-group.id = '<Log_Group_OCID>', request.principal.compartment.id = '<Service_Connector_Compartment_OCID>'}
allow group <userGroup> to MANAGE serviceconnectors in tenancy
allow group <userGroup> to READ logging-family in tenancy

Nelle suddette istruzioni,

  • Log_Group_Compartment_OCID: l'OCID del compartimento del gruppo di log in Oracle Log Analytics in cui devono essere memorizzati i log.

  • Log_Group_OCID: l'OCID del gruppo di log in Oracle Log Analytics in cui devono essere memorizzati i log.

  • Service_Connector_Compartment_OCID: OCID compartimento dell'hub connettore servizio.

Nota

Se Oracle Log Analytics è stato abilitato utilizzando l'interfaccia utente di inserimento disponibile quando si passa al servizio per la prima volta, alcuni criteri vengono già creati. Vedere Criteri creati durante l'inserimento di Log Analytics.

Criterio per ogni tipo di log del servizio

Oracle Log Analytics crea un'entità che rappresenta la risorsa OCI di base quando vengono ricevuti nuovi log tramite il connettore del servizio. Per ottenere le informazioni necessarie dalla risorsa OCI, è necessario fornire a Oracle Log Analytics un accesso minimo di read alla risorsa OCI. Ad esempio, per leggere le informazioni su un bucket nello storage degli oggetti, puoi scrivere uno dei criteri seguenti:

Dichiarazione dei criteri con READ PRIVILEGE della risorsa OCI: 

allow resource loganalyticsvrp LogAnalyticsVirtualResource to {BUCKET_READ} in compartment <specify_compartment>

O

Istruzione criterio con il verbo read per OCI RESOURCE: 

allow resource loganalyticsvrp LogAnalyticsVirtualResource to read buckets in compartment <specify_compartment>

Le istruzioni dei criteri riportate sopra limitano l'accesso read a un compartimento. Per estendere l'accesso all'intera tenancy, è possibile modificare l'istruzione dei criteri di conseguenza.

Le risorse OCI riportate di seguito sono supportate in Oracle Log Analytics per la raccolta dei log tramite il connettore del servizio. È possibile creare il criterio utilizzando il verbo di lettura per la risorsa OCI o utilizzare il privilegio di lettura per la risorsa come illustrato sopra.

Descrizione risorsa OCI Risorsa OCI Privilegio di lettura
Access Governance agcs-instance (usare read verb)
Recipe misura correttiva ADM adm-remediation-recipes ADM_REMEDIATION_RECIPE_READ
Istanza di Analytics Cloud analytics-instances ANALYTICS_INSTANCE_READ
Gateway API api-gateways API_GATEWAY_READ
Dominio APM apm-domains APM_DOMAIN_READ
Compute Cloud@Customer ccc-infrastructure CCC_INFRASTRUCTURE_READ
Container Engine per Kubernetes clusters CLUSTER_READ
Flusso di dati (applicazione) dataflow-application DATAFLOW_APPLICATION_READ
Area di lavoro di Data Integration dis-workspaces DIS_WORKSPACE_READ
Job di Data Science data-science-jobs DATA_SCIENCE_JOB_READ
Distribuzioni di modelli di Data Science data-science-model-deployments DATA_SCIENCE_MODEL_DEPLOYMENT_READ
Pipeline di build DevOps devops-build-pipeline DEVOPS_BUILD_PIPELINE_READ
Fase della pipeline di build DevOps devops-build-pipeline-stage DEVOPS_BUILD_PIPELINE_STAGE_READ
Esecuzione build DevOps devops-build-run DEVOPS_BUILD_RUN_READ
Distribuzione DevOps devops-deployment DEVOPS_DEPLOY_DEPLOYMENT_READ
DevOps Pipeline di distribuzione devops-deploy-pipeline DEVOPS_DEPLOY_PIPELINE_READ
DevOps Fase di distribuzione devops-deploy-stage DEVOPS_DEPLOY_STAGE_READ
Resolver DNS dns-resolvers DNS_RESOLVER_READ
Servizio di consegna e-mail approved-senders APPROVED_SENDER_READ
Servizio degli eventi cloudevents-rules EVENTRULE_READ
Funzioni (app FN) fn-app FN_APP_READ
Funzioni (funzione FN) fn-function FN_FUNCTION_READ
Distribuzione di GoldenGate goldengate-deployments GOLDENGATE_DEPLOYMENT_READ
Istanza instances INSTANCE_READ
Tunnel IPSec ipsec-connections IPSEC_CONNECTION_READ
Load balancer load-balancers LOAD_BALANCER_READ
Workflow multimediale media-workflow MEDIA_WORKFLOW_READ
Job workflow multimediale media-workflow-job MEDIA_WORKFLOW_JOB_READ
Firewall di rete network-firewall NETWORK_FIREWALL_READ
Storage degli oggetti (bucket) buckets BUCKET_READ
Cache OCI redis-clusters REDIS_CLUSTER_READ
Database OCI con PostgreSQL postgres-db-systems POSTGRES_DB_SYSTEM_READ
Istanza OIC integration-instance INTEGRATION_INSTANCE_READ
Controllo operatore operator-control-family -
Connettore servizio serviceconnectors SERVICE_CONNECTOR_READ
Vault vaults VAULT_READ
VCN - VNIC vnics, vcns, subnets VNIC_READ, VCN_READ, SUBNET_READ
Web Application Firewall web-app-firewall WEB_APP_FIREWALL_READ
Nota

Se Oracle Log Analytics è stato abilitato utilizzando l'interfaccia utente di inserimento disponibile quando si passa al servizio per la prima volta, alcuni criteri vengono già creati. Vedere Criteri creati durante l'inserimento di Log Analytics.

Impostare il connettore servizio per includere i log

Prima di impostare il connettore del servizio per includere i log, assicurarsi che il compartimento e il gruppo di log siano identificati per i log che si desidera includere.

Nell'esempio riportato di seguito, i passi mostrano come raccogliere i log del servizio VCN dal servizio Oracle Cloud Infrastructure Logging.

  1. Questo è un passaggio suggestivo per mostrarti come abilitare i log nel servizio Oracle Cloud Infrastructure Logging.

    Vai al servizio Oracle Cloud Infrastructure Log e vai a Log.

    Fare clic su Abilita log risorse per abilitare i log del servizio VCN. Viene aperta la finestra di dialogo.

    1. Selezionare il compartimento risorsa.
    2. Selezionare il servizio, ad esempio Virtual Cloud Network (subnets).
    3. Selezionare la risorsa, ad esempio la risorsa VCN.
    4. In Configura log selezionare la categoria di log, ad esempio Flow Logs, e il nome del log.
    5. In Posizione log selezionare il compartimento e il gruppo di log da cui Oracle Log Analytics farà riferimento ai log.

    Fare clic su Abilita log.

  2. Impostare il connettore del servizio specificando il servizio di origine dei log e la destinazione come Oracle Log Analytics. Puoi impostarlo dal servizio di origine integrato con Oracle Cloud Infrastructure Service Connector Hub, ad esempio il servizio Oracle Cloud Infrastructure Logging, o direttamente da Oracle Cloud Infrastructure Service Connector Hub.

    Andare al servizio Oracle Cloud Infrastructure Log, andare a Service Connectors e fare clic su Crea connettore.

    In alternativa, andare al servizio Oracle Cloud Infrastructure Service Connector Hub e fare clic su Crea connettore servizio.

    Viene visualizzata la pagina Crea connettore servizio.

    1. Immettere un nome per il connettore e fornire una descrizione.
    2. Selezionare il compartimento risorsa in cui deve essere creata la risorsa connettore.
    3. In Configura connettore servizio specificare Logging come servizio Origine e Logging Analytics come servizio Destinazione.
    4. In Configura connessione di origine, fornire i dettagli dei log da raccogliere dal servizio, ad esempio i log del servizio VCN.

      Selezionare il nome del compartimento, il gruppo di log a cui appartengono i log e il nome dei log configurati nel passo 1.

    È possibile configurare lo stesso connettore di servizio per raccogliere più log. Fare clic su Altro log e ripetere il passo 2-d.

    Facoltativamente, è possibile creare filtri in Configura task.

    Fare clic su Crea connettore.

Dopo aver creato il connettore del servizio, è possibile verificare che i log selezionati siano disponibili in Oracle Log Analytics.

Consenti raccolta log cross-tenancy dal servizio di log OCI

Lascia che Source_Tenant sia il tenant del servizio di origine, ad esempio Oracle Cloud Infrastructure Logging, da cui vengono raccolti i log. Lascia che Target_Tenant sia il tenant in cui viene creato il connettore del servizio. Il connettore del servizio viene configurato con Oracle Log Analytics come destinazione per i log raccolti dal servizio di origine. Si presuppone che l'hub connettore servizio e Oracle Log Analytics siano disponibili sullo stesso tenant di destinazione.

Impostare i criteri riportati di seguito per configurare la raccolta di log da una tenancy diversa dalla tenancy in cui viene creato il connettore del servizio.

Criteri da aggiungere nel tenant di origine

Di seguito è riportato un esempio di istruzioni dei criteri che consentono a qualsiasi utente della tenancy dell'hub connettore del servizio di disporre dell'accesso READ al servizio di log. 

define tenancy <Target_Tenant> as <Target_Tenant_OCID>
define group <Common_User_Group> as <Common_User_Group_OCID>
admit any-user of tenancy <Target_Tenant> to read logging-family IN TENANCY WHERE ALL {request.principal.type = 'serviceconnector'}
admit group <Common_User_Group> of tenancy <Target_Tenant> to read logging-family IN TENANCY

Inoltre, per leggere i log degli eventi di audit sono necessarie le autorizzazioni riportate di seguito.

admit group <Common_User_Group> of tenancy <Target_Tenant> to read audit-events in TENANCY
admit any-user of tenancy <Target_Tenant> to read audit-events IN tenancy WHERE ALL {request.principal.type = 'serviceconnector'}

Assicurarsi di impostare il criterio per il tipo di log del servizio da raccogliere dal servizio di origine. Vedere Consenti raccolta di log dal servizio di log OCI.

Criteri da aggiungere nel tenant di destinazione

Di seguito è riportato un esempio di istruzioni dei criteri che consentono a qualsiasi utente di accedere al servizio Log tramite l'hub del connettore del servizio e al gruppo IAM di destinazione Common_User_Group di disporre dell'accesso MANAGE all'hub del connettore del servizio. 

define tenancy <Source_Tenant> as <Source_Tenant_OCID>
endorse any-user to read logging-family IN tenancy <Source_Tenant> WHERE ALL {request.principal.type = 'serviceconnector'}
endorse group <Common_User_Group> to read logging-family IN tenancy <Source_Tenant>

Inoltre, per leggere i log degli eventi di audit di origine sono necessarie le autorizzazioni riportate di seguito.

endorse group <Common_User_Group> to read audit-events in tenancy <Source_Tenant>
endorse any-user to read audit-events in tenancy <Source_Tenant> WHERE ALL {request.principal.type = 'serviceconnector'}

Le autorizzazioni seguenti consentono di caricare i log in Oracle Log Analytics dal connettore del servizio. Assicurarsi di creare manualmente il criterio che include le istruzioni dei criteri riportate di seguito. 

allow any-user to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in compartment id <Log_Group_Compartment_OCID> where all {request.principal.type = 'serviceconnector', target.loganalytics-log-group.id = '<Log_Group_OCID>', request.principal.compartment.id = '<Service_Connector_Compartment_OCID>'}
allow group <Common_User_Group> to MANAGE serviceconnectors in tenancy

Nelle suddette istruzioni,

  • Log_Group_OCID: l'OCID del gruppo di log di Oracle Log Analytics.

  • Log_Group_Compartment_OCID: l'OCID del compartimento in cui si trova il gruppo di log di Oracle Log Analytics.

  • Service_Connector_Compartment_OCID: l'OCID compartimento del connettore del servizio.

  • Common_User_Group: il gruppo di utenti che crea il connettore del servizio.

Creare un connettore tra i tenant di origine e di destinazione

Dopo aver creato i criteri necessari per i tenant di origine e di destinazione, creare un connettore di servizio utilizzando l'interfaccia CLI. Il comando CLI di esempio riportato di seguito specifica Log come origine e Oracle Log Analytics come destinazione per la creazione del connettore del servizio cross-tenancy. 

oci --profile <Target_Profile> sch service-connector create 
    --display-name XTenancyConnector 
    --compartment-id <Connector_Compartment_OCID> 
    --source '{ "kind": "logging", "logSources": 
        [ { "compartmentId": "<Logging_LogGroup_Compartment_OCID>", 
            "logGroupId": "<Logging_LogGroup_OCID>" } ] }' 
    --target '{ "kind": "loggingAnalytics", "logGroupId": "<LogAnalytics_LogGroup_OCID>" }'

Il comando sopra è formattato per una migliore leggibilità. Rimuovere i caratteri quali nuova riga, scheda e altri spazi prima di eseguirlo.

Nel comando CLI precedente,

  • Target_Profile: il profilo nel file .oci/config mappato alla tenancy di destinazione.

  • Connector_Compartment_OCID: l'OCID del compartimento in cui viene creata la risorsa connettore servizio.

  • Logging_LogGroup_Compartment_OCID: l'OCID del compartimento a cui appartiene il gruppo di log di Oracle Cloud Logging. Questo è nel tenant di origine.

  • Logging_LogGroup_OCID: l'OCID del gruppo di log di Oracle Cloud Logging. Questo è nel tenant di origine.

  • LogAnalytics_LogGroup_OCID: l'OCID del gruppo di log di Oracle Log Analytics. Si trova nel tenant di destinazione.

Per ulteriori informazioni sul comando CLI, vedere CLI Command Reference - Create.

Dopo aver creato il connettore del servizio, è possibile verificare che i log selezionati siano disponibili in Oracle Log Analytics.

Interrompi raccolta dei log dal connettore servizio

Se è stato impostato un connettore servizio per raccogliere continuamente i log da OCI Logging a Oracle Log Analytics, è possibile arrestare la raccolta di log disattivando il connettore o eliminandolo.

Se è necessario arrestare temporaneamente la raccolta di log ma conservare la configurazione del connettore in modo da poter riavviare la raccolta di log in un secondo momento, Disattivare il connettore.

Se si desidera arrestare definitivamente la raccolta di log dal connettore del servizio, eliminare il connettore.

  1. Identificare il connettore servizio impostato per la raccolta dei log: passare al servizio Hub connettore ed elencare i connettori nel compartimento. Vedere Elenca connettori.

    Fare clic sul nome del connettore per visualizzare i dettagli e la configurazione del connettore. Identificare il connettore di servizio corretto impostato per la raccolta di log.

  2. Arresta raccolta log: a seconda delle esigenze, fare clic su Disattiva o su Elimina. Vedere Disattivazione di un Connettore e Eliminazione di un Connettore.

    In questo modo si arresta il flusso di dati dal servizio OCI specifico a Oracle Log Analytics.

Se il connettore è stato disattivato e si desidera riavviare la raccolta log, riattivarlo. Vedere Attivazione di un connettore.