管理エージェントを使用した継続的なログ収集の許可

管理エージェントのインストールのステップで管理エージェントをデプロイするための前提条件を実行する場合、必要なコンパートメント、Log Analyticsユーザーのユーザー・グループを作成し、IAMポリシーを作成して管理エージェントをインストールします。前提条件の一部として、ユーザー・グループに対して次のポリシーが作成されていることを確認します。

ALLOW GROUP Log-Analytics-User-Group TO MANAGE management-agents IN COMPARTMENT <compartment_name>
ALLOW GROUP Log-Analytics-User-Group to MANAGE management-agent-install-keys IN TENANCY
ALLOW GROUP Log-Analytics-User-Group TO READ METRICS IN COMPARTMENT <compartment_name>
ALLOW GROUP Log-Analytics-User-Group TO READ USERS IN TENANCY

前述のポリシー・ステートメントの例では、Log-Analytics-User-Groupはユーザー・グループの例です。

また、管理エージェントに動的グループが存在しない場合は作成します(たとえば、Management-Agent-Dynamic-Group)。

ALL {resource.type='managementagent', resource.compartment.id='<management_agent_compartment_OCID>'}

Management-Agent-Dynamic-GroupのIAMポリシーを作成して、ログ収集およびメトリック生成を有効にします:

ALLOW DYNAMIC-GROUP Management-Agent-Dynamic-Group TO USE METRICS IN TENANCY
ALLOW DYNAMIC-GROUP Management-Agent-Dynamic-Group TO {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} IN TENANCY

動的グループがドメインの下にある場合は、そのドメインをポリシー・ステートメントに含めます。たとえば、

ALLOW DYNAMIC-GROUP <identity_domain_name>/Management-Agent-Dynamic-Group TO USE METRICS IN TENANCY
ALLOW DYNAMIC-GROUP <identity_domain_name>/Management-Agent-Dynamic-Group TO {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} IN TENANCY

前述のポリシー・ステートメントの一部は、すぐに使用可能なOracle定義のポリシー・テンプレートに含まれています。ユース・ケースにテンプレートを使用することを検討してください。一般的なユースケース用のOracle定義のポリシー・テンプレートを参照してください。