収集したログを格納するログ・グループを少なくとも1つ作成します。ログ・グループは、コンパートメントに配置され、そのログ・グループに格納されているログに対するユーザー・アクセス制御が提供されます。

異なるユーザーに異なるコンパートメントへのアクセス権を付与できますが、コンパートメント内では、ユーザーはそのコンパートメント内のすべてのログ・グループに対する同じアクセス権を持ちます。職務分掌セキュリティ・ポリシーが変更された場合、ログ・グループを別のコンパートメントに移動できます。

たとえば、myCompanyには、基本的な運用ログを格納するOperationsと、機密情報が含まれるためにアクセス制限が必要なログを含むSecured Contentという2つのコンパートメントがあります。各コンパートメントには、多数のログ・グループを含めることができます。たとえば、Operationsコンパートメントには、サーバー・ログとアクセス・ログが含まれます。Secured Contentコンパートメントには、監査とトランザクションが含まれます。OCI IAMポリシーを使用して、Operatorsユーザー・グループにOperationsコンパートメントへのアクセス権を付与し、Auditorsユーザー・グループにSecured Contentコンパートメントへのアクセス権を付与できます。各ユーザー・グループは、アクセス権を持つコンパートメントのログのみを表示できます。

1. ナビゲーション・メニューを開き、「監視および管理」をクリックします。「ログ・アナリティクス」で、「管理」をクリックします。「管理の概要」ページが開きます。

2. 使用可能なリソースのリストから「ログ・グループ」をクリックします。

3. 左側のコンパートメント・セレクタが、この新しいログ・グループの目的のコンパートメントを示していることを確認します。

4. 「作成」をクリックし、ログ・グループの「名前」を入力して、ログ・グループの「説明」を入力し、「保存」をクリックします。

   ログ・グループにコンパートメント間で異なる名前があることを確認してください。

前に設定した権限を確認して、ログ収集を有効にする必要があるユーザーが、このコンパートメントまたはテナンシのlog-analytics-log-groupリソースに対する少なくともUSE権限を持っていることを確認します。ログを問い合せるユーザーは、コンパートメントまたはテナンシでlog-analytics-log-groupに対してREADを持っている必要があります。個々のリソース・タイプlog-analytics-log-groupは、集約リソース・タイプloganalytics-resources-familyの一部です。集約リソース・タイプの包括ポリシーを作成する場合、log-analytics-log-groupも対象となります。ログ・アナリティクス・ポリシーのドキュメントは、ログ・アナリティクスのIAMポリシー・カタログを参照してください。ただし、個々のリソース・タイプに対してより詳細なアクセス制御を提供する場合は、ユーザーによるログ・グループに対するすべての操作の実行の許可を参照してください。

オンプレミス・ホストまたは仮想ホスト上の実際のアセットを参照し、そこからのログ収集を有効にするエンティティを作成します。管理エージェントを使用してログを収集する場合は、管理エージェントをインストールした後、ここに戻ってエンティティのエージェントを指定する必要があります。

他のOracle Cloud Infrastructureリソースと同様に、エンティティはコンパートメントに属します。エンティティ・アクセス制御は、Oracle Cloud Infrastructureポリシーによって管理されます。ユーザーに付与されるエンティティに対するアクセス制御を使用して、それらのユーザーがログ収集を有効にしたり、エンティティのログ・アナリティクスにログを送信したりできるようにします。ログ・データが収集されると、ログ・コンテンツを表示するアクセス権は、それらのログが存在するログ・グループによって決まります。エンティティ・アクセスは、収集したログ・データを表示できるユーザーを制御するためには使用されません。

1. ナビゲーション・メニューを開き、「監視および管理」をクリックします。「ログ・アナリティクス」で、「管理」をクリックします。「管理の概要」ページが開きます。

2. 使用可能なリソースのリストから「エンティティ」をクリックします。

3. 左側のコンパートメント・セレクタが、この新しいエンティティの目的のコンパートメントを示していることを確認します。

4. 「作成」をクリックします。エンティティ・タイプを選択し、名前を指定して、ファイル・パスを示すために使用できるプロパティがある場合はそれらのプロパティをエンティティに追加します。一部のエンティティ・タイプには、エンティティでOracle定義のログ・ソースを使用するために入力する必要があるパラメータがすでにあります。「保存」をクリックします。

   オプションで、管理エージェントを使用してログを収集する場合は、管理エージェントを選択してください。管理エージェントをまだインストールしていない場合は、最初にインストールしてからエンティティを作成する必要があります。

   または、最初にエンティティを作成し、後で編集して、エージェントのインストール後に管理エージェントを指定することもできます。

   Oracle定義のログ・ソースを使用して管理エージェントからログを収集する場合は、選択したエンティティ・タイプにすでに定義されているパラメータ値を指定することをお薦めします。パラメータ値を指定しない場合、ソースをこのエンティティに関連付けようとすると、パラメータ値の欠落が原因で失敗します。

ログ収集できるように前に権限を設定したユーザーが、このコンパートメントまたはテナンシでlog-analytics-entityリソースに対して少なくともUSE権限を持っていることを確認します。

特定のタスクを実行するポリシーおよびログ・アナリティクスのポリシー要件の完全な参照については、ログ・アナリティクスのIAMポリシー・カタログを参照してください。