Documentazione di Oracle Cloud Infrastructure

Gestione e ricerca dei log con il controllo dell'accesso operatore

Imparare ad abilitare i log per visualizzare la lista dei controlli operatore creati e in uso in un compartimento. Inoltre, per monitorare le attività dell'operatore in una gabbia.

Abilitazione dei log e creazione di gruppi di log con il controllo dell'accesso operatore

Per tenere traccia delle attività degli operatori Oracle nel sistema, imparare ad abilitare i log e creare gruppi di log per gestire i log.

Per eseguire l'audit delle azioni eseguite da un operatore Oracle nel sistema, è possibile creare un log di audit per un compartimento e un servizio specifico in cui si desidera monitorare le azioni degli operatori Oracle.
  1. Nel menu di navigazione a sinistra selezionare Log, quindi selezionare Log.
  2. Fare clic su Abilita log servizio. Viene visualizzata la finestra Abilita log risorse.
  3. Nella sezione Seleziona risorsa fornire le informazioni per ciascuno dei campi riportati di seguito.
    • Compartimento risorsa: selezionare il compartimento in cui si desidera creare il log.
    • Servizio: selezionare Servizio di controllo dell'accesso operatore per il quale si desidera abilitare il log.
    • Risorsa: selezionare un controllo operatore per il quale si desidera abilitare il log.
  4. Nella sezione Configura log fornire informazioni per i campi riportati di seguito.
    • Categoria log: selezionare Log degli accessi.
    • Nome log: fornire un nome per il log che si desidera creare.
  5. (Facoltativo) Fare clic su Mostra opzioni avanzate.
  6. (Facoltativo) Nella sezione Posizione log fornire informazioni per i campi riportati di seguito.
    • Compartimento: selezionare un compartimento se si desidera che i file di log vengano posizionati in un compartimento diverso da quello per il quale si sta creando un log di audit.
    • Gruppo di log: selezionare il gruppo di log al quale si desidera aggiungere il log. Un gruppo di log è un contenitore logico per i log. Utilizza i gruppi di log per semplificare la gestione dei log, inclusa l'applicazione di criteri o l'analisi di gruppi di log. Se si desidera creare un nuovo gruppo di log, fare clic su Crea nuovo gruppo e fornire informazioni per i campi riportati di seguito.
      • Compartimento Selezionare il compartimento in cui si desidera posizionare il gruppo di log.
      • Nome: fornire un nome per il gruppo di log.
      • Descrizione: fornire una descrizione per lo scopo del gruppo di log.
    • Nel campo Spazio di nomi tag valutare la possibilità di aggiungere uno spazio di nomi tag (una stringa di testo di identificazione applicata a un set di compartimenti) o di assegnare un tag al controllo con uno spazio di nomi tag esistente.
  7. Nella sezione Conservazione log selezionare un periodo di conservazione dei log.
  8. Una volta completate ed esaminate le selezioni, fare clic su Abilita log. Il log relativo al controllo operatore è abilitato.

Formato log per controllo accesso operatore

Informazioni sui campi contenuti in un log di audit pubblicato nel servizio di log.

Tabella 6-1 Campi log di audit

Campo descrizione;

data

Contiene tutti i dati ottenuti dai log di audit Exadata.

data.accessRequestId

Contiene l'OCID (Oracle Cloud Identifier) della richiesta di accesso. Questo identificativo viene ottenuto dalla pagina dell'elenco delle richieste di accesso nella console.

data.message

Contiene il log di audit nel formato raw. Il formato del log di controllo segue il formato di log di controllo come output del comando ausearch.

Per ulteriori informazioni, vedere le pagine del manuale ausearch(8).

data.systemOcid

OCID (Oracle Cloud Identifier) del sistema Exadata dal quale è stato raccolto il log.

data.timestamp

Indicatore orario, in genere nel fuso orario UTC (Universal Time Coordinated), in cui è stata eseguita l'azione rappresentata dal log.

source

Il servizio che sta pubblicando il log. L'origine del log è OperatorAccessControl per questo servizio.

Nota

Sono disponibili alcuni campi aggiuntivi, principalmente a scopo contabile del servizio.

Esempio di log di controllo dell'accesso operatore 6-1

{
  "logContent": {
    "data": {
      "accessRequestId": "ocid1.opctlaccessrequest.oc1.ap-chuncheon-1.aaaaaaaaqk67mpzb74nsssg4ppwk7cyg46dwoxegtvhopdp7lxbktpymk4kq",
      "message": "type=PROCTITLE msg=audit(09/08/2021 09:01:24.335:34495595) : proctitle=ps -ef \ntype=PATH msg=audit(09/08/2021 09:01:24.335:34495595) : item=1 name=/lib64/ld-linux-x86-64.so.2 inode=2546207 dev=fc:00 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 \ntype=PATH msg=audit(09/08/2021 09:01:24.335:34495595) : item=0 name=/usr/bin/ps inode=33619160 dev=fc:00 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 \ntype=CWD msg=audit(09/08/2021 09:01:24.335:34495595) : cwd=/home/b9dc42d68f6e4e26a1d843a4c5e70187 \ntype=EXECVE msg=audit(09/08/2021 09:01:24.335:34495595) : argc=2 a0=ps a1=-ef \ntype=SYSCALL msg=audit(09/08/2021 09:01:24.335:34495595) : arch=x86_64 syscall=execve success=yes exit=0 a0=0x1848d50 a1=0x184c360 a2=0x184c040 a3=0x7ffeec95b760 items=2 ppid=94699 pid=95635 auid=b9dc42d68f6e4e26a1d843a4c5e70187 uid=b9dc42d68f6e4e26a1d843a4c5e70187 gid=opctl_facc1 euid=b9dc42d68f6e4e26a1d843a4c5e70187 suid=b9dc42d68f6e4e26a1d843a4c5e70187 fsuid=b9dc42d68f6e4e26a1d843a4c5e70187 egid=opctl_facc1 sgid=opctl_facc1 fsgid=opctl_facc1 tty=pts0 ses=813000 comm=ps exe=/usr/bin/ps key=(null) \n",
      "status": "",
      "systemOcid": "ocid1.exadatainfrastructure.oc1.ap-chuncheon-1.ab4w4ljr46tyytihmindrbshch3jjhrxxpctq4eiaksakp4kqamluuwkzdga",
      "target": "",
      "timestamp": "2021-09-08T09:01:24.000Z"
    },
    "id": "b3b102aa-daee-4861-8e2c-9014faac9de2",
    "oracle": {
      "compartmentid": "ocid1.tenancy.oc1..aaaaaaaazxdmffivtoe32kvio5e2dcgz24re5rqbkis3452yi2e7tc3x2erq",
      "ingestedtime": "2021-09-08T16:02:26.182Z",
      "loggroupid": "ocid1.loggroup.oc1.ap-chuncheon-1.amaaaaaajobtc3ia3iypuri32bhvrgmosztobwi72wgdofkpfdbyfg4yxlrq",
      "logid": "ocid1.log.oc1.ap-chuncheon-1.amaaaaaajobtc3iahnkkwizgpoakdafmrttikohparjl7icmcfjzkechekfq",
      "tenantid": "ocid1.tenancy.oc1..aaaaaaaazxdmffivtoe32kvio5e2dcgz24re5rqbkis3452yi2e7tc3x2erq"
    },
    "source": "OperatorAccessControl",
    "specversion": "1.0",
    "time": "2021-09-08T16:01:52.989Z",
    "type": "com.oraclecloud.opctl.audit"
  },
  "datetime": 1631116912989
}

Ricerca dei log

Per eseguire una ricerca sui log, utilizzare questa procedura per specificare i campi, l'intervallo di tempo e le stringhe di testo per i log da cercare.

Il log viene abilitato in base a controlli operatore specifici. Quindi questi formano il filtro di livello superiore per le ricerche di log. Inoltre, è possibile cercare nei log gli ID delle richieste di accesso, i sistemi Exadata in cui si è verificata l'azione dell'operatore o l'ora in cui si è verificata l'azione.

Gli esempi riportati di seguito consentono di comprendere come cercare un campo specifico.

  1. Nel menu di navigazione a sinistra selezionare Log, quindi selezionare Log.
  2. Scegliere il compartimento in cui vengono memorizzati i log.

    Verrà fornito un elenco di log abilitati.

  3. Fare clic sul log a cui si è interessati. Viene visualizzata la pagina dei dettagli del log.

    Questi log sono sempre correlati a un singolo controllo operatore.

  4. Fare clic sul collegamento Esplora con ricerca log per cercare log specifici.
  5. Caso 1: ricerca di azioni eseguite utilizzando l'approvazione per una richiesta di accesso specifica, ocid.opctlaccessrequest.x durante un periodo da T a T-end relativo a un controllo operatore, ocid.opctl.x.
    1. Scegliere Personalizzato dal campo Filtra per ora.
    2. Selezionare Data di inizio e Data di fine.
    3. Fare clic su Cerca.

      Dopo aver scelto, sarà possibile visualizzare un set di log.

    4. Ora, ad esempio, aggiungere i seguenti criteri di ricerca nel campo Filtra per campo o ricerca testo.
      data.accessRequestId='ocid.opctlaccessrequest.x'

      Verranno elencati i log corrispondenti ai criteri di ricerca.

  6. Caso 2: durante la ricerca di azioni su sistemi Exadata, ocid.exadata.x durante un periodo da T-start a T-end relativo a un controllo operatore, ocid.opctl.x.
    1. Scegliere Personalizzato dal campo Filtra per ora.
    2. Fare clic su Cerca.

      Dopo aver scelto, sarà possibile visualizzare un set di log.

    3. Ora, ad esempio, aggiungere i seguenti criteri di ricerca nel campo Filtra per campo o ricerca testo.
      data.systemOcid ='ocid.exadata.x'

      Verranno elencati i log corrispondenti ai criteri di ricerca.

  7. È anche possibile cercare i log in base al contenuto. Utilizzare il campo log-content. Per ulteriori informazioni, vedere Ricerca nei log.
  8. Per cercare comandi linux specifici eseguiti, utilizzare la modalità avanzata.
    1. Creare una ricerca di base utilizzando gli esempi riportati sopra (caso 1 o caso 2), quindi passare alla modalità avanzata.
      Ad esempio, per cercare tutti i log con l'azione vi, aggiungere i criteri riportati di seguito.
      and text_contains(data.message, 'proctitle=vi ', true)
  9. Quando si esegue una ricerca nella pagina Ricerca log, è possibile fare clic su Mostra modalità avanzata per immettere query di ricerca log personalizzate.
    Ad esempio:
    search "ocid1.compartment.oc1..x/ocid1.loggroup.oc1.iad.loggroup_x/ocid1.log.oc1.iad.log_x"
 | data.systemOcid='ocid1.exadata.x' and text_contains(data.message, 'proctitle=vi ', true)
 | sort by datetime desc