Oracle Cloud Infrastructureドキュメント

クラウド・ガードのトラブルシューティング

トラブルシューティング情報を使用して、Oracle Cloud Guardサービスの操作中にエラーが発生しました。

問題が検出されません

クラウド・ガードによる問題の検出を妨げている有効化の問題を修正します。

クラウド・ガードの有効化のステップが完了し、約30-60分後に問題が「問題」ページに表示されなくなります。

ディテクタ・レシピがターゲットに追加されていることを確認

クラウド・ガードの有効化のステップでは、OCIテナンシでモニターするコンパートメントを指定して、ターゲットを定義する必要があります。同時にOCI構成ディテクタ・レシピまたはOCIアクティビティ・ディテクタ・レシピを選択しなかった場合、ディテクタはターゲットに追加されていません。少なくとも1つのディテクタをターゲットに追加しないと、問題はレポートされません。

「OCIターゲットおよびそのアタッチされたレシピの編集」を参照してください。

一部のカテゴリの問題が検出されません

クラウド・ガードによるすべてのカテゴリの問題の検出を妨げている有効化の問題を修正します。

クラウド・ガードの有効化のステップが完了し、問題が「問題」ページに表示されていますが、問題のカテゴリ全体がまだ表示されていません。

ディテクタ・レシピが各カテゴリのターゲットに追加されていることを確認

クラウド・ガードの有効化で特定の問題カテゴリのディテクタ・レシピの選択をスキップした場合、その問題カテゴリのディテクタ・レシピはターゲットに追加されません。特定の問題カテゴリのディテクタがターゲットに追加されていない場合、クラウド・ガードではそのカテゴリの問題が検出されません。

「OCIターゲットおよびそのアタッチされたレシピの編集」を参照してください。

イベントは生成されませんでした

クラウド・ガードによるイベントの生成を妨げている有効化の問題を修正します。

クラウド・ガードの有効化のステップを完了し、問題が「問題」ページに表示されていますが、通知サービスが取得するイベントが生成されていません(通知の構成を参照)。

ノート

クラウド・ガードがトリガー・イベント通知を検出する新しい問題のみ。古い問題のイベント通知をトリガーするには:
  1. 「問題」ページで問題の行を見つけます。

    問題のリストとその詳細の取得を参照してください。

  2. 問題の行の左端にあるチェックボックスを選択します。

    1回の操作で処理する追加の問題を選択できます。

  3. 問題リストの上部にある「解決済としてマーク」をクリックします。

    新規問題として分類するために条件が満たされた場合、解決済としてマークしたイベント・ルールに対してトリガーが起動されます。Problem Lifecycleを参照してください。

OCIレスポンダ・レシピがターゲットに追加されていることを確認

クラウド・ガードの有効化のステップでは、OCIテナンシでモニターするコンパートメントを指定して、ターゲットを定義する必要があります。OCIレスポンダ・レシピも選択しなかった場合、OCIレスポンダ・レシピのクラウド・イベント・レスポンダ・ルールは、通知サービスにイベントを送信できません。

「OCIターゲットおよびそのアタッチされたレシピの編集」を参照してください。

PSMの問題を処理できません

PaaSサービス・マネージャ(PSM)・コンパートメント(ManagedCompartmentForPaaSという名前)に関連する問題を終了または解決できません。

クラウド・ガードの有効化のステップが完了し、すべてのカテゴリの問題が「問題」ページに表示されています。PSMコンパートメントに関連する問題を除き、すべての問題を終了または解決できます。

ManagedCompartmentForPaaSコンパートメントの詳細は、Oracleによってテナンシに作成されるリソースを参照してください。

特別な権限を付与するためのサポート・チケットを作成

PSMサービスは、OCIテナンシ内のPSMコンパートメントへのアクセスを制御するため、クラウド・ガードで必要とされるポリシーは、クラウド・ガードを介したPSMコンパートメント内のリソースへのアクセスに影響しません。PSMコンパートメントに関連する問題を終了または解決するために必要な権限を取得するには:

  1. Oracleサポート・チケットを作成します。
  2. これらの権限がクラウド・ガードに必要な理由について、次の詳細を提供します:
    • OCIテナンシID
    • 終了しようとしているクラウド・ガードの問題のOCID
  3. PSMおよびOCIアイデンティティ・チームは、次のポリシーを追加します:

    allow group administrators to use cloud-guard-problems in compartment managedcompartmentforpaas

    ノート

    これは、クラウド・ガードの問題を解決する権限を管理グループに付与できるだけの特別なコンパートメントです。
  4. ポリシーを追加したことがサポート・チームから通知されたら、PSMコンパートメントの問題を終了および解決できます。

APIコールでの「未認可または未検出の例外」

APIコールはNotAuthorizedOrNotFoundExceptionエラーで失敗します。

ノート

これらの問題には、クラウド・ガード・レポート・リージョンが含まれます。

クラウド・ガード・レポート・リージョンは、OCIホーム・リージョンとは異なります。

レポート・リージョンを表示するには、左側のクラウド・ガード・オプション・パネルで、「設定」を選択します。

自分がいるリージョンを表示するには、ページの上部にあるリージョン・リストをドロップダウンします。

状況1:クラウド・ガード・テナンシのレポート・リージョンの外部でAPIコールを実行する場合:

  • API READコールが成功します。
  • すべてのCREATEUPDATEおよびDELETEコールがNotAuthorizedOrNotFoundExceptionエラーで失敗します。

状況2:レポート・リージョンを指定しないAPI LISTコールを行う場合、一部のコールはNotAuthorizedOrNotFoundExceptionエラーで失敗します。

状況1: レポート・リージョンでのみCREATE、UPDATEおよびDELETE APIをコールする

設計では、CREATEUPDATEおよびDELETE APIコールはレポート・リージョンでのみ許可されます。レポート・リージョンの外部でこれらのタイプのAPIコールを実行することは避けてください。

状況2: LIST APIコールを行う際のレポート・リージョンの指定

一部のLIST APIコールでは、レポート・リージョンをパラメータとして渡す必要がありませんが、LIST APIコールで常にレポート・リージョンを渡すことによって、NotAuthorizedOrNotFoundExceptionエラーを回避できます。

レポート・リージョンを渡さなかったAPI LISTコールでNotAuthorizedOrNotFoundExceptionエラーが発生した場合は、レポート・リージョンが渡されたコールを再発行すると、エラーがクリアされます。

Oracle管理リソースが表示されない

クラウド・ガードAPIまたはCLIを使用してクラウド・ガードを有効にすると、クラウド・ガード・コンソールにOracle管理リソースは表示されません。

クラウド・ガードを有効にするAPIコールまたはCLIコマンドがselfManageResourcestrueとして渡した場合、Oracle管理のデフォルト・ディテクタ・レシピ、レスポンダ・レシピまたは管理対象リストはいずれもクラウド・ガード・コンソールUIに表示されません。

selfManageResourcestrueとして、クラウド・ガードを有効にした場合の影響を元に戻すことはできないため、この問題を解決するオプションは2つのみです。

  • クラウド・ガードを無効化して再有効化します。
    1. コンソールを使用してクラウド・ガードを無効にします。クラウド・ガード設定の管理を参照してください。
    2. コンソールを使用してCloud Guardを再度有効にします。クラウド・ガードを有効にするステップを参照してください。

      または、APIまたはCLIを使用してクラウド・ガードを再度有効にできます。

    通常、このアプローチは最適です。特に、クラウド・ガードが有効になった直後に、多くのデータが取り込まれる前に問題を捕捉する場合に最適です。

  • クラウド・ガードAPIコールまたはCLIコマンドを使用して、Oracle管理リソースのユーザー管理バージョンを作成します。次の項のステップを参照してください。

    この方法は、selfManageResourcestrueとして意図的に有効にした場合に最適です。

クラウド・ガードAPIまたはCLIを使用したユーザー管理リソースの作成

次のステップの詳細は、クラウド・ガードAPIの使用に固有です。

  1. selfManageResourcesを明示的にtrueに設定して、UpdateConfigurationを使用してクラウド・ガードを有効にします。

  2. resourceMetadataOnly問合せパラメータをtrueとして含めることで、次の操作を起動してリソースをリストします。
  3. 次の作成操作を起動する場合は、前のAPIレスポンスのidフィールドの値を使用します:

    作成操作のレスポンスのidフィールドは、Oracle管理リソース(ディテクタ・レシピ、管理対象リストまたはレスポンダ・レシピ)のOCIDです。

    前述のステップで生成されたOCIDsは、ターゲットの構成時に使用できます。CreateTargetを参照してください。