Documentazione di Oracle Cloud Infrastructure

Gestione e ricerca dei log con il controllo dell'accesso operatore

Imparare ad abilitare i log per visualizzare la lista dei controlli operatore creati e in uso in un compartimento. Inoltre, per monitorare le attività dell'operatore in una gabbia.

Abilitazione dei log e creazione di gruppi di log con il controllo dell'accesso operatore

Per tenere traccia delle attività degli operatori Oracle nel sistema, scoprire come abilitare i log e come creare gruppi di log per gestire i log.

Per eseguire l'audit delle azioni eseguite da un operatore Oracle nel sistema, è possibile creare un log di audit per un compartimento e un servizio specifico in cui si desidera monitorare le azioni degli operatori Oracle.
  1. Eseguire il login alla tenancy Oracle Cloud Infrastructure.
  2. Aprire il menu di navigazione. In Oracle AI Database fare clic su Controllo dell'accesso operatore.
  3. Fare clic su Controlli operatore.
  4. Dall'elenco Controlli operatore, fare clic sul nome del controllo operatore che si desidera abilitare i log.
  5. Fare clic sulla scheda Log.

    È possibile abilitare i log degli accessi e i log hypervisor.

    Ad esempio, per abilitare i log degli accessi, effettuare le operazioni riportate di seguito.

    • Fare clic sul menu Azioni (tre punti) e selezionare l'opzione Abilita log
    • Compartimento: selezionare il compartimento in cui si desidera creare il log.
    • Gruppo di log: selezionare un gruppo di log a cui si desidera aggiungere il log. Un gruppo di log è un contenitore logico per i log che consente di semplificare la gestione dei log, ad esempio l'applicazione di criteri o l'analisi dei log correlati.

      Se si desidera creare un nuovo gruppo di log, fare clic su Crea nuovo gruppo e fornire informazioni per i campi riportati di seguito.

      • Compartimento Selezionare il compartimento in cui si desidera posizionare il gruppo di log.
      • Nome: fornire un nome per il gruppo di log.
      • Descrizione: fornire una descrizione per lo scopo del gruppo di log.
      • Tag: facoltativamente, aggiungere tag al gruppo di log.
    • Nome log: fornire un nome per il log che si desidera creare.
    • Abilita log di archiviazione precedenti: abilitare questa opzione per conservare e gestire i log di archiviazione.
    • (Facoltativo) Fare clic su Mostra le opzioni avanzate. Impostare il periodo Conservazione log. Impostazione predefinita: 30 giorni.
    • Una volta completate ed esaminate le selezioni, fare clic su Abilita log. Il log relativo al controllo operatore è abilitato.

Visualizzazione dei log abilitati in stato attivo

Informazioni su come visualizzare i log abilitati in stato attivo.

  1. Eseguire il login alla tenancy Oracle Cloud Infrastructure.
  2. Aprire il menu di navigazione. In Oracle AI Database fare clic su Controllo dell'accesso operatore.
  3. Fare clic su Controlli operatore.
  4. Dall'elenco Controlli operatore, fare clic sul nome del controllo operatore che si desidera abilitare i log.
  5. Fare clic sulla scheda Log.

Disabilitazione dei log abilitati

Informazioni su come disabilitare i log abilitati.

  1. Eseguire il login alla tenancy Oracle Cloud Infrastructure.
  2. Aprire il menu di navigazione. In Oracle AI Database fare clic su Controllo dell'accesso operatore.
  3. Fare clic su Controlli operatore.
  4. Dall'elenco Controlli operatore, fare clic sul nome del controllo operatore che si desidera abilitare i log.
  5. Fare clic sulla scheda Log.

    È possibile disabilitare i log degli accessi e i log di hypervisor.

    Ad esempio, per disabilitare i log degli accessi, fare clic sul menu Azioni (tre punti) e selezionare l'opzione Disabilita log.

Eliminazione dei log abilitati

Informazioni su come eliminare i log abilitati.

  1. Eseguire il login alla tenancy Oracle Cloud Infrastructure.
  2. Aprire il menu di navigazione. In Oracle AI Database fare clic su Controllo dell'accesso operatore.
  3. Fare clic su Controlli operatore.
  4. Dall'elenco Controlli operatore, fare clic sul nome del controllo operatore che si desidera abilitare i log.
  5. Fare clic sulla scheda Log.

    È possibile eliminare i log degli accessi e i log hypervisor.

    Ad esempio, per eliminare i log degli accessi, fare clic sul menu Azioni (tre punti) e selezionare l'opzione Elimina.

Formato log per controllo accesso operatore

Informazioni sui campi contenuti in un log di audit pubblicato nel servizio di log.

Tabella 6-1 Campi log di audit

Campo descrizione;

data

Contiene tutti i dati ottenuti dai log di audit Exadata.

data.accessRequestId

Contiene l'OCID (Oracle Cloud Identifier) della richiesta di accesso. Questo identificativo viene ottenuto dalla pagina dell'elenco delle richieste di accesso nella console.

data.message

Contiene il log di audit nel formato raw. Il formato del log di controllo segue il formato di log di controllo come output del comando ausearch.

Per ulteriori informazioni, vedere le pagine del manuale ausearch(8).

data.systemOcid

OCID (Oracle Cloud Identifier) del sistema Exadata dal quale è stato raccolto il log.

data.timestamp

Indicatore orario, in genere nel fuso orario UTC (Universal Time Coordinated), in cui è stata eseguita l'azione rappresentata dal log.

source

Il servizio che sta pubblicando il log. L'origine del log è OperatorAccessControl per questo servizio.

Nota

Sono disponibili alcuni campi aggiuntivi, principalmente a scopo contabile del servizio.

Esempio di log di controllo dell'accesso operatore 6-1

{
  "logContent": {
    "data": {
      "accessRequestId": "ocid1.opctlaccessrequest.oc1.ap-chuncheon-1.aaaaaaaaqk67mpzb74nsssg4ppwk7cyg46dwoxegtvhopdp7lxbktpymk4kq",
      "message": "type=PROCTITLE msg=audit(09/08/2021 09:01:24.335:34495595) : proctitle=ps -ef \ntype=PATH msg=audit(09/08/2021 09:01:24.335:34495595) : item=1 name=/lib64/ld-linux-x86-64.so.2 inode=2546207 dev=fc:00 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 \ntype=PATH msg=audit(09/08/2021 09:01:24.335:34495595) : item=0 name=/usr/bin/ps inode=33619160 dev=fc:00 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 \ntype=CWD msg=audit(09/08/2021 09:01:24.335:34495595) : cwd=/home/b9dc42d68f6e4e26a1d843a4c5e70187 \ntype=EXECVE msg=audit(09/08/2021 09:01:24.335:34495595) : argc=2 a0=ps a1=-ef \ntype=SYSCALL msg=audit(09/08/2021 09:01:24.335:34495595) : arch=x86_64 syscall=execve success=yes exit=0 a0=0x1848d50 a1=0x184c360 a2=0x184c040 a3=0x7ffeec95b760 items=2 ppid=94699 pid=95635 auid=b9dc42d68f6e4e26a1d843a4c5e70187 uid=b9dc42d68f6e4e26a1d843a4c5e70187 gid=opctl_facc1 euid=b9dc42d68f6e4e26a1d843a4c5e70187 suid=b9dc42d68f6e4e26a1d843a4c5e70187 fsuid=b9dc42d68f6e4e26a1d843a4c5e70187 egid=opctl_facc1 sgid=opctl_facc1 fsgid=opctl_facc1 tty=pts0 ses=813000 comm=ps exe=/usr/bin/ps key=(null) \n",
      "status": "",
      "systemOcid": "ocid1.exadatainfrastructure.oc1.ap-chuncheon-1.ab4w4ljr46tyytihmindrbshch3jjhrxxpctq4eiaksakp4kqamluuwkzdga",
      "target": "",
      "timestamp": "2021-09-08T09:01:24.000Z"
    },
    "id": "b3b102aa-daee-4861-8e2c-9014faac9de2",
    "oracle": {
      "compartmentid": "ocid1.tenancy.oc1..aaaaaaaazxdmffivtoe32kvio5e2dcgz24re5rqbkis3452yi2e7tc3x2erq",
      "ingestedtime": "2021-09-08T16:02:26.182Z",
      "loggroupid": "ocid1.loggroup.oc1.ap-chuncheon-1.amaaaaaajobtc3ia3iypuri32bhvrgmosztobwi72wgdofkpfdbyfg4yxlrq",
      "logid": "ocid1.log.oc1.ap-chuncheon-1.amaaaaaajobtc3iahnkkwizgpoakdafmrttikohparjl7icmcfjzkechekfq",
      "tenantid": "ocid1.tenancy.oc1..aaaaaaaazxdmffivtoe32kvio5e2dcgz24re5rqbkis3452yi2e7tc3x2erq"
    },
    "source": "OperatorAccessControl",
    "specversion": "1.0",
    "time": "2021-09-08T16:01:52.989Z",
    "type": "com.oraclecloud.opctl.audit"
  },
  "datetime": 1631116912989
}

Ricerca dei log

Per eseguire una ricerca sui log, utilizzare questa procedura per specificare i campi, l'intervallo di tempo e le stringhe di testo per i log da cercare.

Il log viene abilitato in base a controlli operatore specifici. Quindi questi formano il filtro di livello superiore per le ricerche di log. Inoltre, è possibile cercare nei log gli ID delle richieste di accesso, i sistemi Exadata in cui si è verificata l'azione dell'operatore o l'ora in cui si è verificata l'azione.

Gli esempi riportati di seguito consentono di comprendere come cercare un campo specifico.

  1. Eseguire il login alla console Observability & Management.
  2. Nel menu di navigazione a sinistra selezionare Log, quindi selezionare Log.
  3. Scegliere il compartimento in cui vengono memorizzati i log.

    Verrà fornito un elenco di log abilitati.

  4. Fare clic sul log di interesse.

    Viene visualizzata la pagina dei dettagli del log.

    Questi log sono sempre correlati a un singolo controllo operatore.

  5. Fare clic sulla scheda Esplora log.
  6. Fare clic su Esplora con ricerca log per cercare log specifici.
  7. Caso 1: ricerca di azioni eseguite utilizzando l'approvazione per una richiesta di accesso specifica, ocid.opctlaccessrequest.x durante un periodo da T a T-end relativo a un controllo operatore, ocid.opctl.x.
    1. Scegliere Personalizzato dal campo Filtra per ora.
    2. Selezionare Data di inizio e Data di fine.
    3. Fare clic su Cerca.

      Dopo aver scelto, sarà possibile visualizzare un set di log.

    4. Ora, ad esempio, aggiungere i criteri di ricerca riportati di seguito nel campo Filtri personalizzati.
      data.accessRequestId='ocid.opctlaccessrequest.x'

      Verranno elencati i log corrispondenti ai criteri di ricerca.

  8. Caso 2: durante la ricerca di azioni su sistemi Exadata, ocid.exadata.x durante un periodo da T-start a T-end relativo a un controllo operatore, ocid.opctl.x.
    1. Scegliere Personalizzato dal campo Filtra per ora.
    2. Fare clic su Cerca.

      Dopo aver scelto, sarà possibile visualizzare un set di log.

    3. Ora, ad esempio, aggiungere i criteri di ricerca riportati di seguito nel campo Filtri personalizzati.
      data.systemOcid ='ocid.exadata.x'

      Verranno elencati i log corrispondenti ai criteri di ricerca.

  9. È anche possibile cercare i log in base al contenuto. Utilizzare il campo log-content. Per ulteriori informazioni, vedere Ricerca nei log.
  10. Per cercare comandi Linux specifici eseguiti, utilizzare la modalità avanzata.
    1. Creare una ricerca di base utilizzando gli esempi riportati sopra (caso 1 o caso 2), quindi passare alla modalità avanzata.
      Ad esempio, per cercare tutti i log con l'azione vi, aggiungere i criteri riportati di seguito.
      and text_contains(data.message, 'proctitle=vi ', true)
  11. Quando si esegue una ricerca nella pagina Ricerca log, è possibile fare clic su Mostra modalità avanzata per immettere query di ricerca log personalizzate.
    Ad esempio:
    search "ocid1.compartment.oc1..x/ocid1.loggroup.oc1.iad.loggroup_x/ocid1.log.oc1.iad.log_x"
 | data.systemOcid='ocid1.exadata.x' and text_contains(data.message, 'proctitle=vi ', true)
 | sort by datetime desc