ロギング概要

Oracle Cloud Infrastructureロギング・サービスは、テナント内のすべてのログの拡張性が高く、完全に管理された単一のガラス・ペインです。ロギングにより、Oracle Cloud Infrastructureリソースからログにアクセスできます。これらのログには、リソースのパフォーマンスおよびアクセス方法を説明する重要な診断情報が含まれます。

ロギングの動作方法

「ロギング」を使用して、ログを有効化、管理および検索します。次の3種類のログがあります。

  • 監査ログ: Oracle Cloud Infrastructure Auditサービスによって発行されたイベントに関連するログ。これらのログは、「ロギング監査」ページから使用するか、ログの残りの部分とともに「検索」ページで検索できます。
  • サービス・ログ: OCIネイティブ・サービス(APIゲートウェイイベントファンクションロード・バランシングオブジェクト・ストレージ、VCNフロー・ログなど)によって発行されます。これらのサポートされている各サービスには、それぞれのリソースで有効または無効にできる事前定義済のロギング・カテゴリがあります。
  • カスタム・ログ:カスタム・アプリケーション、他のクラウド・プロバイダまたはオンプレミス環境の診断情報を含むログ。カスタム・ログは、APIを介して、または統合されたモニタリング・エージェントを構成することによって取得できます。OCIコンピュート・インスタンス/リソースを構成して、統合されたモニタリング・エージェントを介してカスタム・ログを直接アップロードできます。カスタム・ログは、仮想マシンとベア・メタルの両方のシナリオでサポートされます。

ログは、特定のコンテキストで収集されたログ・イベントを格納および取得する最初のクラスOracle Cloud Infrastructureリソースです。たとえば、サブネットでフロー・ログを有効にすると、独自の専用ログが作成されます。各ログにはOCIDがあり、ログ・グループに格納されます。ログ・グループは、コンパートメントに格納されているログのコレクションです。ログおよびログ・グループは、検索可能、アクション可能およびトランスポータブルです。

開始するには、リソースのログを有効にします。サービスは、リソースに使用可能な様々なタイプのログのログ・カテゴリを提供します。たとえば、Object Storageサービスでは、ストレージ・バケットに対して読取りおよび書込みアクセス・イベントのログ・カテゴリがサポートされます。読取りアクセス・イベントはダウンロード・イベントを取得し、書込みアクセス・イベントは書込みイベントを取得します。サービスごとに、リソースのログ・カテゴリを変えることができます。あるサービスのログ・カテゴリは、別のサービスのログ・カテゴリとは関係ありません。その結果、関数サービスはObject Storageサービスとは異なるログ・カテゴリを使用します。

ログを有効にする場合は、作成するログ・グループに追加する必要があります。ログ・グループは、ログの論理コンテナです。ログ・グループを使用して、IAMポリシーを適用するか、分析のためにログをグループ化することで、ログの管理を編成および合理化します。詳細は、「ログおよびログ・グループの管理」を参照してください。

ログはシステム内で索引付けされ、コンソール、APIおよびCLIを介して検索できます。「ロギング検索」ページでログを表示および検索できます。ログを検索する場合、多数のログを同時に関連付けることができます。たとえば、複数のログ、複数のログ・グループ、またはコンパートメント全体の結果を1つの問合せで表示できます。ログをフィルタ、集計および視覚化できます。詳細は、ログの検索を参照してください。

ログを有効にすると、ログ・エントリがログの詳細ページに表示されます(詳細は、リソースのロギングの有効化を参照してください)。アーカイブのサポートが必要な場合は、サービス・コネクタ・ハブ(オブジェクト・ストレージへのアーカイブ、ストリームへの書込みなど)を使用できます。サービス・ログの詳細は、サービス・ログ・リファレンスおよびサービス・コネクタ・ハブを参照してください。

注意Cost and Usage Reports」にアクセスすると、ロギングの使用状況レポートの詳細を表示

できます。

ロギング・ワークショップ

環境の設定、サービス・ログの有効化、カスタム・アプリケーション・ログの作成、ログの検索およびオブジェクト・ストレージへのログ・コンテンツのエクスポートの詳細は、OCIロギング・ワークショップを参照してください。

ロギングAPI

Oracle Cloud Infrastructure Loggingでは、次のAPIを使用できます。

各APIに固有のロギング操作の詳細は、(ロギング管理) APIの使用カスタム・ログへの(ロギング・インジェーション) APIの使用および(ロギング検索) APIの使用を参照してください。

ロギングの概念

ロギングを使用するには、次の概念が不可欠です。

サービス・ログ
サポートされているOracle Cloud Infrastructureサービスからのクリティカルな診断情報。サポートされるサービスを参照してください。
カスタム・ログ
カスタム・アプリケーション、他のクラウド・プロバイダまたはオンプレミス環境からの診断情報。カスタム・ログを収集するには、APIを直接コールするか、統合モニタリング・エージェントを構成します。
監査ログ
分析および検索用に提供されている、監査サービスからの読取り専用ログ。監査ログは、テナンシ全体でパブリック・エンドポイントに対して行われたAPIコールに関する情報を取得します。これには、コンソール、コマンドライン・インタフェース(CLI )、ソフトウェア開発キット(SDK )、カスタム・クライアントまたはその他のOracle Cloud Infrastructureサービスによって行われるAPIコールが含まれます。
ログ・グループ
ログ・グループは、ログの論理コンテナです。IAMポリシーの適用やログ・セットの検索など、ログ管理を合理化するには、ログ・グループを使用します。あるコンパートメントから別のコンパートメントにログ・グループを移動でき、ログ・グループに含まれるすべてのログも一緒に移動します。
サービス・ログ・カテゴリ
サービスは、リソースに使用可能な様々なタイプのログのログ・カテゴリを提供します。たとえば、Object Storageサービスでは、ストレージ・バケットに対して読取りおよび書込みアクセス・イベントのログ・カテゴリがサポートされます。読取りアクセス・イベントはダウンロード・イベントを取得し、書込みアクセス・イベントは書込みイベントを取得します。サービスごとに、リソースのログ・カテゴリを変えることができます。あるサービスのログ・カテゴリは、別のサービスのログ・カテゴリとは関係ありません。
サービス・コネクタ・ハブ

サービス・コネクタ・ハブは、ロギング・データをOracle Cloud Infrastructureの他のサービスに移動します。たとえば、サービス・コネクタ・ハブを使用して、ログ・データのアラームデータベースへのログ・データの送信およびオブジェクト・ストレージへのログ・データのアーカイブを行います。詳細は、サービス・コネクタ・ハブを参照してください。

統合モニタリング・エージェント
顧客がカスタム・ログを収集するのに役立つ、顧客マシン(OCIインスタンス)で実行されるFluentdベースのエージェント。
エージェント構成
カスタム・ログの収集方法を指定する統合監視エージェントの構成。

ログの暗号化

OCIログは、次のように暗号化されます。
  • ログは、進行中、つまりOracle Cloud Infrastructure Loggingへの収集中に暗号化されます。
  • ログは、システムに保存された後、商用環境のディスク・レベルの暗号化で暗号化されます。
  • ログは、アーカイブ時および記憶域内でも暗号化されます。

リソース識別子

ほとんどのタイプのOracle Cloud Infrastructureリソースには、Oracle Cloud ID (OCID)と呼ばれる一意のOracle割当て識別子があります。OCID形式およびリソースを識別するその他の方法の詳細は、「リソース識別子」を参照してください。

Oracle Cloud Infrastructureへのアクセス方法

Oracle Cloud Infrastructureには、コンソール(ブラウザベースのインタフェース)またはREST APIを使用してアクセスできます。コンソールおよびAPIの手順は、このガイド全体のトピックに含まれています。使用可能なSDKのリストは、「ソフトウェア開発キットおよびコマンドライン・インタフェース」を参照してください。

コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。コンソールのサインイン・ページに移動するには、このページ上部のナビゲーション・メニューを開き、「インフラストラクチャ・コンソール」をクリックします。クラウド・テナント、ユーザー名およびパスワードの入力を求められました。

認証および認可

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されます。

組織の管理者は、どのユーザーがどのサービスとリソースにアクセスできるか、およびアクセスのタイプを制御する、グループコンパートメントおよびポリシーを設定する必要があります。たとえば、ポリシーは、新しいユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの起動、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、ポリシーの開始を参照してください。異なる各サービスに対するポリシーの記述の詳細は、ポリシー・リファレンスを参照してください。

企業が所有するOracle Cloud Infrastructureリソースを使用する必要がある通常のユーザー(管理者ではない)の場合は、管理者に連絡してユーザーIDを設定してください。管理者は、使用するコンパートメントを確認できます。

管理者の場合:次のトピックを使用して、ロギングのIAMポリシーの例を見つけます。