Abilita accesso a Log Analytics e alle relative risorse
Impostare la tenancy Oracle Cloud Infrastructure in modo che utilizzi Oracle Log Analytics eseguendo questi task di configurazione dei prerequisiti.
Oracle Log Analytics è un servizio regionale. Prima di iniziare, selezionare un'area che si desidera utilizzare. È possibile seguire questi passi per ogni area che si desidera impostare, ma ogni area sarà un'istanza diversa. Selezionare l'area utilizzando il selettore area nell'angolo in alto a destra della console.
argomenti:
-
Identificare i compartimenti OCI per posizionare le risorse di Log Analytics
-
Crea gruppi di utenti per implementare il controllo dell'accesso
Per i criteri per eseguire task specifici e un riferimento completo ai requisiti dei criteri in Log Analytics, vedere IAM Policies Catalog for Log Analytics.
È possibile utilizzare i modelli prontamente disponibili per creare un criterio per un gruppo di utenti o un gruppo dinamico per eseguire un'operazione specifica o una raccolta di operazioni. Vedere Modelli di criteri definiti da Oracle per casi d'uso comuni.
Se Oracle Log Analytics è stato abilitato utilizzando l'interfaccia utente di inserimento disponibile quando si passa al servizio per la prima volta, alcuni criteri vengono già creati. Vedere Criteri creati durante l'inserimento di Log Analytics.
Abilita accesso da Log Analytics alla famiglia di funzioni
Per consentire il funzionamento del servizio Oracle Log Analytics, è necessario creare un criterio IAM a livello di servizio. Crea criteri utilizzando i criteri Oracle Cloud Infrastructure IAM standard e aggiungi la seguente istruzione criteri.
Istruzione criteri | descrizione; |
---|---|
allow service loganalytics to READ loganalytics-features-family in tenancy |
Consenti al servizio Oracle Log Analytics di leggere i diritti di accesso della famiglia loganalytics-features-family in tutta la tenancy. |
Alcune delle istruzioni dei criteri di cui sopra sono incluse nei modelli di criteri definiti da Oracle immediatamente disponibili. Si consiglia di prendere in considerazione l'utilizzo del modello per il caso d'uso. Vedere Modelli di criteri definiti da Oracle per casi d'uso comuni.
Per i criteri per eseguire task specifici e un riferimento completo ai requisiti dei criteri in Log Analytics, vedere IAM Policies Catalog for Log Analytics.
Se Oracle Log Analytics è stato abilitato utilizzando l'interfaccia utente di inserimento disponibile quando si passa al servizio per la prima volta, alcuni criteri vengono già creati. Vedere Criteri creati durante l'inserimento di Log Analytics.
Identificare i compartimenti OCI per posizionare le risorse di Log Analytics
Utilizzare i compartimenti per creare risorse di Oracle Log Analytics come entità e gruppi di log. Ottimizza l'accesso ai compartimenti per migliorare il controllo dell'accesso degli utenti.
È possibile utilizzare compartimenti esistenti oppure crearne di nuovi in modo specifico forOracle Log Analytics. È possibile creare più compartimenti per concedere a set diversi di utenti l'accesso a parti diverse del prodotto o ai dati di log. Per ulteriori indicazioni sul funzionamento dei compartimenti, vedere Gestione dei compartimenti in Documentazione di Oracle Cloud Infrastructure.
Le risorse in Oracle Log Analytics devono risiedere nei compartimenti. Quando si crea una delle risorse seguenti, è necessario selezionare il compartimento in cui si troveranno:
Risorsa | Controllo dell'accesso mediante i criteri Oracle IAM |
---|---|
Entità |
È possibile controllare chi può abilitare o disabilitare la raccolta di log per un'entità specifica |
Gruppi di log |
È possibile controllare chi può eseguire ricerche nei log dopo che sono stati raccolti, arricchiti e indicizzati. |
Criteri di rimozione |
È possibile controllare chi può interrompere o modificare la definizione del criterio di rimozione. |
Regole di raccolta dello storage degli oggetti |
È possibile controllare chi può arrestare o modificare la regola di raccolta. |
Per i criteri per eseguire task specifici e un riferimento completo ai requisiti dei criteri in Log Analytics, vedere IAM Policies Catalog for Log Analytics.
Se Oracle Log Analytics è stato abilitato utilizzando l'interfaccia utente di inserimento disponibile quando si passa al servizio per la prima volta, alcuni criteri vengono già creati. Vedere Criteri creati durante l'inserimento di Log Analytics.
Crea gruppi di utenti per implementare il controllo dell'accesso
Creare uno o più gruppi di utenti per concedere diversi livelli di accesso agli utenti a seconda di come si desidera utilizzare Oracle Log Analytics.
Un utente membro del gruppo Amministratori avrà accesso completo a tutte le funzioni di Oracle Log Analytics. Vedere Gruppi di amministratori, criteri e ruoli di amministratore.
Gruppi di utenti consigliati
Per iniziare, è consigliabile creare gruppi di utenti simili ai seguenti esempi:
- Utenti di analitica log: gli utenti aggiunti a questo gruppo potranno eseguire query sui log e visualizzare varie configurazioni. Tuttavia, non possono abilitare o disabilitare la raccolta dei log, la modifica delle configurazioni o l'eliminazione dei log.
- Log-Analytics-Admins: gli utenti aggiunti a questo gruppo disporranno dei privilegi Log-Analytics-Users e potranno inoltre creare o modificare origini, parser, entità e gruppi di log. Questi utenti possono anche abilitare o disabilitare la raccolta di log. Tuttavia, non possono rimuovere i log.
- Log-Analytics-SuperAdmins: gli utenti di questo gruppo dispongono dei privilegi di Log-Analytics-Admins e possono inoltre eseguire attività del ciclo di vita quali l'onboarding e l'offboarding da Oracle Log Analytics e la rimozione dei log.
Tenere presente che i gruppi precedenti vengono visualizzati come esempi e verranno utilizzati per creare criteri IAM nella presente documentazione. Tuttavia, è possibile creare i gruppi di utenti in base alle proprie esigenze.
Aggrega tipi di risorse in Log Analytics
Le due famiglie seguenti consentono di concedere l'accesso in blocco senza dover assegnare autorizzazioni individuali a ciascun gruppo di utenti. Per la maggior parte dei casi, è possibile utilizzarli per semplificare la gestione dei criteri Oracle Log Analytics.
- loganalytics-features-family: per controllare le funzioni a cui un utente ha accesso e le azioni che l'utente può eseguire utilizzando la console, l'API REST, l'interfaccia CLI o l'SDK.
loganalytics-features-family e le risorse in esso contenute possono essere impostate solo a livello di tenancy, non per compartimento.
- loganalytics-resources-family per controllare l'accesso di cui dispone l'utente per creare, leggere, aggiornare ed eliminare le risorse, ad esempio entità, gruppi di log, criteri di rimozione e regole di raccolta dell'area di memorizzazione degli oggetti.
A questa famiglia e alle risorse in essa contenute può essere concesso l'accesso per l'intera tenancy o per un compartimento specifico.
Per i criteri per eseguire task specifici e un riferimento completo ai requisiti dei criteri in Log Analytics, vedere IAM Policies Catalog for Log Analytics.
Se Oracle Log Analytics è stato abilitato utilizzando l'interfaccia utente di inserimento disponibile quando si passa al servizio per la prima volta, alcuni criteri vengono già creati. Vedere Criteri creati durante l'inserimento di Log Analytics.
Consenti accesso a gruppi di utenti
Crea criteri utilizzando i criteri IAM Oracle Cloud Infrastructure standard per definire in che modo i gruppi di utenti possono utilizzare Oracle Log Analytics.
Se si desidera provare rapidamente Oracle Log Analytics senza gestire gruppi e criteri, un utente membro del gruppo Amministratori avrà accesso completo a tutte le funzioni. Vedere Gruppi di amministratori, criteri e ruoli di amministratore.
Per impostare il criterio in base ai gruppi di esempio in Crea gruppi di utenti per implementare il controllo di accesso, applicare i set di criteri riportati di seguito.
Per il gruppo di utenti Log-Analytics-SuperAdmins:
Criteri | descrizione; |
---|---|
|
Consentire al gruppo Log-Analytics-SuperAdmins di disporre dei diritti di accesso MANAGE della famiglia loganalytics-features-family in tutta la tenancy. Questo criterio abiliterà i diritti per eseguire ogni task del servizio, inclusi licenziamento, eliminazione dei log, impostazione dell'archiviazione e così via. |
oppure
|
Consentire al gruppo Log-Analytics-SuperAdmins di disporre dei diritti di accesso MANAGE della famiglia loganalytics-resources-family nella tenancy o in un compartimento specifico. Questo criterio abilita i diritti per eseguire qualsiasi task del servizio su qualsiasi tipo di risorsa appartenente alla famiglia loganalytics-resources-family. |
|
Consentire al gruppo Log-Analytics-SuperAdmins di disporre di tutti i diritti di accesso per la famiglia di risorse di Management Dashboard nella tenancy. È possibile passare dalla tenancy a compartimenti specifici. |
|
Consentire al gruppo Log-Analytics-SuperAdmins di ottenere la lista dei compartimenti disponibili per i gruppi di log a cui il gruppo può accedere. Obbligatorio per l'utilizzo di Log Explorer. |
Per il gruppo di utenti Log-Analytics-Admins:
Criteri | descrizione; |
---|---|
|
Consenti al gruppo Log-Analytics-Admins di disporre dei diritti di accesso USE della famiglia loganalytics-features-family in tutta la tenancy. |
oppure
|
Consenti al gruppo Log-Analytics-Admins di disporre dei diritti di accesso USE della famiglia loganalytics-resources-family nella tenancy o in un compartimento specifico. Consentire a questo gruppo di visualizzare, creare, modificare o eliminare le risorse della famiglia loganalytics-resources-family. |
oppure
|
Consentire al gruppo Log-Analytics-Admins di disporre di tutti i diritti di accesso per la famiglia di risorse del dashboard di gestione nella tenancy. È possibile passare dalla tenancy a compartimenti specifici. |
|
Consentire al gruppo Log-Analytics-Admins di ottenere la lista dei compartimenti disponibili per i gruppi di log a cui il gruppo può accedere. Obbligatorio per l'utilizzo di Log Explorer. |
Per il gruppo di utenti Log-Analytics-Users:
Criteri | descrizione; |
---|---|
|
Consenti al gruppo Log-Analytics-Users di disporre dei diritti di accesso READ della famiglia loganalytics-features-family in tutta la tenancy. |
oppure
|
Consenti al gruppo Log-Analytics-Users di disporre dei diritti di accesso READ della famiglia loganalytics-resources-family in tutta la tenancy. È possibile passare dalla tenancy a compartimenti specifici. Consentire a questo gruppo di visualizzare i dettagli delle risorse nella famiglia loganalytics-resources-family. L'utente non può creare, modificare o eliminare alcuno di essi. |
oppure
|
Consentire al gruppo Utenti-analitica-log di disporre dei diritti di accesso USE per la famiglia di risorse Management Dashboard nella tenancy. È possibile passare dalla tenancy a compartimenti specifici. |
|
Consente al gruppo Log-Analytics-Users di ottenere la lista dei compartimenti disponibili per i gruppi di log a cui il gruppo può accedere. Obbligatorio per l'utilizzo di Log Explorer. |
È possibile aggiungere istruzioni criteri specifiche del compartimento per qualsiasi numero di compartimenti che si desidera creare per organizzare le risorse, ad esempio entità e gruppi di log. Queste risorse possono trovarsi anche in compartimenti diversi. Non è necessario che tutte le istanze di risorse di tipi diversi si trovino nello stesso compartimento. Tuttavia, potrebbe essere più facile da gestire se è possibile ridurre al minimo il numero di compartimenti utilizzati.
Anziché utilizzare la famiglia di risorse, è inoltre possibile specificare un criterio a livello di singola risorsa. Ad esempio:
Criteri | descrizione; |
---|---|
|
Gli utenti del gruppo DBA possono creare, modificare o eliminare entità e abilitare o disabilitare la raccolta di log per le entità nel compartimento Database. |
|
Gli utenti del gruppo DBA possono creare, modificare o eliminare i gruppi di log ed eseguire query sui log memorizzati nel compartimento Database. |
Alcune delle istruzioni dei criteri di cui sopra sono incluse nei modelli di criteri definiti da Oracle immediatamente disponibili. Si consiglia di prendere in considerazione l'utilizzo del modello per il caso d'uso. Vedere Modelli di criteri definiti da Oracle per casi d'uso comuni.
Per i criteri per eseguire task specifici e un riferimento completo ai requisiti dei criteri in Log Analytics, vedere IAM Policies Catalog for Log Analytics.
Se Oracle Log Analytics è stato abilitato utilizzando l'interfaccia utente di inserimento disponibile quando si passa al servizio per la prima volta, alcuni criteri vengono già creati. Vedere Criteri creati durante l'inserimento di Log Analytics.
Abilita Log Analytics
Dopo aver completato i task dei prerequisiti, ad esempio la creazione di gruppi di utenti, la creazione di compartimenti e la definizione dei criteri di accesso per i gruppi di utenti, è possibile accedere a Oracle Log Analytics e abilitarlo per l'uso.
Per abilitare Oracle Log Analytics, è necessario essere membri del gruppo Amministratori. Vedere Gruppi di amministratori, criteri e ruoli di amministratore.
-
Aprire il menu di navigazione, fare clic su Osservabilità e gestione, quindi su Log Analytics.
-
Se questa è la prima volta che si utilizza il servizio in quest'area, si atterrerà su una pagina di inserimento che fornirà alcuni dettagli di alto livello del servizio e un'opzione per iniziare a utilizzare il servizio Oracle Log Analytics. Fare clic su Start Using Log Analytics.
Viene visualizzata la finestra di dialogo Abilita Log Analytics. In questo caso, i criteri e il gruppo di log minimi richiesti vengono creati se non esistono già.
-
Successivo. La raccolta di log di audit OCI è configurata.
La casella di controllo Includi _Audit nei compartimenti secondari è abilitata per impostazione predefinita. È possibile disabilitarlo, se necessario. In base alle preferenze, vengono creati i criteri e vengono eseguite le azioni appropriate.
Successivo.
-
Al termine della formazione iniziale, fare clic su Portami a Log Explorer.
Ora puoi esplorare Oracle Log Analytics.
Per visualizzare la lista dei criteri creati nel processo precedente, vedere Criteri creati durante l'inserimento di Log Analytics.