Oracle Cloud Infrastructureドキュメント

Log Analyticsとそのリソースへのアクセスの有効化

Set up your Oracle Cloud Infrastructure tenancy to use Oracle Log Analytics by performing these prerequisite configuration tasks.

Oracle Log Analyticsはリージョン別サービスです。開始する前に、使用するリージョンを選択します。設定するリージョンごとにこれらのステップに従うことができますが、各リージョンは異なるインスタンスになります。コンソールの右上隅にあるリージョン・セレクタを使用してリージョンを選択します。

トピック:

Log Analyticsで特定のタスクを実行するポリシーおよびポリシー要件の完全なリファレンスは、Log AnalyticsのIAMポリシー・カタログを参照してください。

すぐに使用できるテンプレートを使用して、特定の操作または一連の操作を実行するユーザー・グループまたは動的グループのポリシーを作成できます。一般的なユースケース用のOracle定義のポリシー・テンプレートを参照してください。

ノート

サービスに初めてナビゲートするときに使用可能なオンボーディングUIを使用してOracle Log Analyticsを有効にした場合、一部のポリシーがすでに作成されます。Log Analyticsのオンボーディング中に作成されたポリシーを参照してください。

Log Analyticsからその機能ファミリへのアクセスの有効化

Oracle Log Analyticsサービスが動作できるように、サービスレベルのIAMポリシーを作成する必要があります。標準のOracle Cloud Infrastructure IAMポリシーを使用してポリシーを作成し、それに次のポリシー・ステートメントを追加します。

ポリシー・ステートメント 説明
allow service loganalytics to READ loganalytics-features-family in tenancy

Oracle Log Analyticsサービスがテナンシ全体でファミリloganalytics-features-familyに対してREADアクセス権を持っていることを許可します。

前述のポリシー・ステートメントの一部は、すぐに使用可能なOracle定義のポリシー・テンプレートに含まれています。ユース・ケースにテンプレートを使用することを検討してください。一般的なユースケース用のOracle定義のポリシー・テンプレートを参照してください。

Log Analyticsで特定のタスクを実行するポリシーおよびポリシー要件の完全なリファレンスは、Log AnalyticsのIAMポリシー・カタログを参照してください。

ノート

サービスに初めてナビゲートするときに使用可能なオンボーディングUIを使用してOracle Log Analyticsを有効にした場合、一部のポリシーがすでに作成されます。Log Analyticsのオンボーディング中に作成されたポリシーを参照してください。

Log Analyticsリソースを配置するOCIコンパートメント

コンパートメントを使用して、エンティティやログ・グループなどのOracle Log Analyticsのリソースを作成します。コンパートメントへのアクセスを微調整して、ユーザー・アクセス制御を向上させます。

既存のコンパートメントを使用することも、forOracle Log Analytics専用の新規コンパートメントを作成することもできます。複数のコンパートメントを作成して、異なるユーザー・セットに製品またはログ・データの異なる部分へのアクセス権を付与できます。コンパートメントの動作方法の詳細なガイダンスは、Oracle Cloud Infrastructureドキュメントコンパートメントの管理を参照してください。

Oracle Log Analyticsのリソースはコンパートメントに存在する必要があります。次のいずれかのリソースを作成する場合、それらが存在するコンパートメントを選択する必要があります:

リソース Oracle IAMポリシーを使用したアクセス制御

エンティティ

特定のエンティティのログ収集を有効または無効にできるユーザーを制御できます

ログ・グループ

ログを収集、エンリッチおよび索引付けした後で、ログを検索できるユーザーを制御できます。

パージ・ポリシー

パージ・ポリシー定義を停止または変更できるユーザーを制御できます。

オブジェクト・ストレージ収集ルール

収集ルールを停止または変更できるユーザーを制御できます。

Log Analyticsで特定のタスクを実行するポリシーおよびポリシー要件の完全なリファレンスは、Log AnalyticsのIAMポリシー・カタログを参照してください。

ノート

サービスに初めてナビゲートするときに使用可能なオンボーディングUIを使用してOracle Log Analyticsを有効にした場合、一部のポリシーがすでに作成されます。Log Analyticsのオンボーディング中に作成されたポリシーを参照してください。

アクセス制御を実装するためのユーザー・グループの作成

Oracle Log Analyticsの使用方法に応じて、1つ以上のユーザー・グループを作成し、様々なレベルのアクセス権を権限を付与します。

トピック:

管理者グループのメンバーであるユーザーは、Oracle Log Analyticsのすべての機能に対する完全なアクセス権を持ちます。「管理者グループ、ポリシーおよび管理者ロール」を参照してください

推奨ユーザー・グループ

開始するには、次の例のようなユーザー・グループを作成することをお薦めします:

  • Log-Analytics-Users: このグループに追加されたユーザーは、ログを問い合せたり、様々な構成を表示することができます。ただし、ログ収集の有効化または無効化、構成の変更、またはログの削除はできません。
  • Log-Analytics-Admins: このグループに追加されたユーザーは、Log-Analytics-Users権限を持ち、さらにソース、パーサー、エンティティおよびログ・グループを作成または編集できます。これらのユーザーは、ログ収集を有効または無効にすることもできます。ただし、ログのパージはできません。
  • Log-Analytics-SuperAdmins: このグループのユーザーは、Log-Analytics-Adminsの権限を持ち、Oracle Log Analyticsからのオンボーディングやオフボーディング、ログのパージなどのライフサイクル・アクティビティをさらに実行できます。

前述のグループは、例として示されており、このドキュメントでIAMポリシーを作成するために使用されます。ただし、各自のニーズに基づいてユーザー・グループを作成できます。

Log Analyticsでのリソース・タイプの集計

次の2つのファミリによって、各ユーザー・グループに個別の権限を割り当てなくても、一括してアクセス権を付与することができます。ほとんどの場合、これらを使用してOracle Log Analyticsポリシーの管理を簡素化できます。

  • loganalytics-features-familyでは、ユーザーがアクセスできる機能と、コンソール、REST API、CLIまたはSDKを使用してユーザーが実行できるアクションを制御します。

    loganalytics-features-familyとそれに含まれるリソースは、コンパートメント単位ではなくテナンシ・レベルでのみ設定できます。

  • loganalytics-resources-familyでは、エンティティ、ログ・グループ、パージ・ポリシー、オブジェクト・ストア収集ルールなどのリソースを作成、読取り、更新および削除するためにユーザーが保持するアクセス権を制御します。

    このファミリとそれに含まれるリソースには、テナンシ全体または特定のコンパートメントに対するアクセス権を付与できます。

Log Analyticsで特定のタスクを実行するポリシーおよびポリシー要件の完全なリファレンスは、Log AnalyticsのIAMポリシー・カタログを参照してください。

ノート

サービスに初めてナビゲートするときに使用可能なオンボーディングUIを使用してOracle Log Analyticsを有効にした場合、一部のポリシーがすでに作成されます。Log Analyticsのオンボーディング中に作成されたポリシーを参照してください。

ユーザー・グループへのアクセス権の付与

標準のOracle Cloud Infrastructure IAMポリシーを使用してポリシーを作成し、ユーザー・グループがOracle Log Analyticsを使用できる方法を定義します。

ノート

グループおよびポリシーを管理せずにOracle Log Analyticsをすぐに試してみると、管理者グループのメンバーであるユーザーは、すべての機能に対する完全なアクセス権を持ちます。「管理者グループ、ポリシーおよび管理者ロール」を参照してください

アクセス制御を実装するためのユーザー・グループの作成のグループ例に従ってポリシーを設定するには、次の一連のポリシーを適用します。

Log-Analytics-SuperAdminsユーザー・グループの場合:

ポリシー 説明

allow group Log-Analytics-SuperAdmins to MANAGE loganalytics-features-family in tenancy

グループLog-Analytics-SuperAdminsがテナンシ全体でファミリloganalytics-features-familyに対してMANAGEアクセス権を持つことを許可します。

このポリシーにより、オフボード、ログの削除、アーカイブの設定など、サービスのすべてのタスクを実行する権限が有効になります。

allow group Log-Analytics-SuperAdmins to MANAGE loganalytics-resources-familY in tenancy

または

allow group Log-Analytics-SuperAdmins to MANAGE loganalytics-resources-family in compartment myCompartment1

グループLog-Analytics-SuperAdminsがテナンシ全体または特定のコンパートメントでファミリloganalytics-resources-familyに対してMANAGEアクセス権を持つことを許可します。

このポリシーにより、ファミリloganalytics-resources-familyに属する任意のリソース・タイプに対してサービスの任意のタスクを実行する権限が有効になります。

allow group Log-Analytics-SuperAdmins to MANAGE management-dashboard-family in tenancy

グループLog-Analytics-SuperAdminsがテナンシでリソースの管理ダッシュボード・ファミリに対してすべてのアクセス権を持つことを許可します。テナンシから特定のコンパートメントに変更することもできます。

allow group Log-Analytics-SuperAdmins to read compartments in tenancy

グループLog-Analytics-SuperAdminsが、グループがアクセスできるログ・グループに使用可能なコンパートメントのリストを取得できるようにします。これは、ログ・エクスプローラを使用するために必要です。

Log-Analytics-Adminsユーザー・グループの場合:

ポリシー 説明

allow group Log-Analytics-Admins to use loganalytics-features-family in tenancy

グループLog-Analytics-Adminsがテナンシ全体でファミリloganalytics-features-familyに対してUSEアクセス権を持つことを許可します。

allow group Log-Analytics-Admins to use loganalytics-resources-family in tenancy

または

allow group Log-Analytics-Admins to use loganalytics-resources-family in compartment myCompartment1

グループLog-Analytics-Adminsがテナンシ全体または特定のコンパートメントでファミリloganalytics-resources-familyに対してUSEアクセス権を持つことを許可します。

このグループに、ファミリloganalytics-resources-familyのリソースの表示、作成、編集または削除を許可します。

allow group Log-Analytics-Admins to manage management-dashboard-family in tenancy

または

allow group Log-Analytics-Admins to manage management-dashboard-family in compartment myCompartment2

グループLog-Analytics-Adminsがテナンシでリソースの管理ダッシュボード・ファミリに対してすべてのアクセス権を持つことを許可します。テナンシから特定のコンパートメントに変更することもできます。

allow group Log-Analytics-Admins to read compartments in tenancy

グループLog-Analytics-Adminsが、グループがアクセスできるログ・グループに使用可能なコンパートメントのリストを取得できるようにします。これは、ログ・エクスプローラを使用するために必要です。

Log-Analytics-Usersユーザー・グループの場合:

ポリシー 説明

allow group Log-Analytics-Users to read loganalytics-features-family in tenancy

グループLog-Analytics-Usersがテナンシ全体でファミリloganalytics-features-familyに対してREADアクセス権を持つことを確認します。

allow group Log-Analytics-Users to read loganalytics-resources-family in tenancy

または

allow group Log-Analytics-Users to read loganalytics-resources-family in compartment myCompartment1

グループLog-Analytics-Usersがテナンシ全体でファミリloganalytics-resources-familyに対してREADアクセス権を持つことを許可します。テナンシから特定のコンパートメントに変更することもできます。

このグループに、ファミリloganalytics-resources-familyのリソースの詳細の表示を許可します。ユーザーは、それらを作成、編集または削除できません。

allow group Log-Analytics-Users to use management-dashboard-family in tenancy

または

allow group Log-Analytics-Users to use management-dashboard-family in compartment myCompartment2

グループLog-Analytics-Usersがテナンシでリソースの管理ダッシュボード・ファミリに対してUSEアクセス権を持つことを許可します。テナンシから特定のコンパートメントに変更することもできます。

allow group Log-Analytics-Users to read compartments in tenancy

グループLog-Analytics-Usersが、グループがアクセスできるログ・グループに使用可能なコンパートメントのリストを取得できるようにします。これは、ログ・エクスプローラを使用するために必要です。

エンティティやログ・グループなどのリソースを編成するために作成する任意の数のコンパートメントに対して、コンパートメント固有のポリシー・ステートメントを追加できます。これらのリソースは、まったく異なるコンパートメントに存在することもできます。異なるタイプのすべてのリソース・インスタンスが同じコンパートメント内に存在する必要はありません。ただし、使用するコンパートメントの数を最小限に抑えることができれば、管理が簡単になります。

リソース・ファミリを使用するかわりに、個々のリソース・レベルでポリシーを指定することもできます。例:

ポリシー 説明

allow group DBA to use loganalytics-entity in compartment Databases

DBAグループのユーザーは、Databasesコンパートメントのエンティティを作成、編集または削除したり、エンティティのログ収集を有効または無効にしたりできます。

allow group DBA to use loganalytics-log-group in compartment Databases

DBAグループのユーザーは、Databasesコンパートメントに格納されているログ・グループを作成、編集または削除したり、ログを問い合せたりできます。

前述のポリシー・ステートメントの一部は、すぐに使用可能なOracle定義のポリシー・テンプレートに含まれています。ユース・ケースにテンプレートを使用することを検討してください。一般的なユースケース用のOracle定義のポリシー・テンプレートを参照してください。

Log Analyticsで特定のタスクを実行するポリシーおよびポリシー要件の完全なリファレンスは、Log AnalyticsのIAMポリシー・カタログを参照してください。

ノート

サービスに初めてナビゲートするときに使用可能なオンボーディングUIを使用してOracle Log Analyticsを有効にした場合、一部のポリシーがすでに作成されます。Log Analyticsのオンボーディング中に作成されたポリシーを参照してください。

ログ・アナリティクスの有効化

ユーザー・グループの作成やコンパートメントの作成、ユーザー・グループのアクセス・ポリシーの定義など、前提条件タスクを完了すると、Oracle Log Analyticsにアクセスして使用可能にできます。

Oracle Log Analyticsを有効にするには、「管理者」グループのメンバーである必要があります。「管理者グループ、ポリシーおよび管理者ロール」を参照してください

  1. ナビゲーション・メニューを開き、「監視および管理」をクリックして、「Log Analytics」をクリックします。

  2. このリージョンで初めてサービスを使用する場合、サービスの概略的な詳細およびOracle Log Analyticsサービスの使用を開始するためのオプションが表示されるオンボード・ページにアクセスします。「Log Analyticsの使用の開始」をクリックします。

    「Log Analyticsの有効化」ダイアログ・ボックスが表示されます。ここで、最小限必要なポリシーおよびログ・グループを作成します(まだ存在しない場合)。

  3. 「次」をクリックします。OCI監査ログ収集が構成されます。

    「サブコンパートメントに_Auditを含める」チェック・ボックスは、デフォルトで有効になっています。必要に応じて、無効にできます。プリファレンスに基づいて、ポリシーが作成され、適切なアクションが実行されます。

    「次」をクリックします。

  4. オンボーディングが完了したら、「ログ・エクスプローラに移動」をクリックします。

Oracle Log Analyticsを確認できるようになりました。

ノート

前述のプロセスで作成されたポリシーのリストを表示するには、Log Analyticsのオンボーディング中に作成されたポリシーを参照してください。