1. Autonomous Transaction Processingデータベースの監査ログの監視
  2. Autonomous Transaction Processingデータベースの監査ログの監視について学習

Autonomous Transaction Processingデータベースの監査ログの監視について学習

Autonomous Transaction Processing (ATP)データベースから監査ログをモニターするために使用されるマーケットプレイス・アプリケーションは、Oracle Logging Analyticsで分析のためにOracle ATPデータベース監査ログの処理を開始するために必要な構成を自動化します。これには、OCI Marketplaceから取得可能な自動Terraformデプロイメント・スクリプトのコレクションが含まれます。

OCI Marketplaceアプリケーションは、リソース・マネージャを使用して、1つのボタンをクリックするだけで、アプリケーションで指定されたクラウド・インフラストラクチャとサービスを作成およびデプロイします。これにより、導入が大幅に簡素化され、ユーザーは迅速にオンボーディングできます。

このアプリケーションは、OCIリソース・マネージャ・スタックを作成します。このスタックは、顧客のテナンシで実行されているATPインスタンスからログ・アナリティクスに統合データベース監査ログを取り込むように構成された新しいコンピュート・インスタンス上のOCI管理エージェントで構成されます。このアプリケーションは、ATPを監視するためのリソース・マネージャ・スタック構造を示し、本番デプロイメントの複数のATPインスタンスの監視を可能にするように拡張できます。

ログ・アナリティクスを使用すると、そのすべてのRAW ATPインスタンス・データをインサイトに簡単に変換できます。オペレータは、問題を調査するのではなく、問題の修正に費やすことができます。データ自体だけでなく、ログ・データの意味を明らかにする即時利用可能なログ・エンリッチメントを提供します。また、何千万ものログ・エントリにまたがる、事前チューニングされた運用用に最適化された機械学習とビジュアライゼーションを提供することで、質問を簡単に行うことができます。これらはすべてボタンを押すだけで利用できます

ノート:

OCIロギング・アナリティクスは、このスタックが起動されるリージョンで、必要なポリシーとともにテナンシにオンボードする必要があります。詳細は、後述の「詳細の参照」トピックで参照されているOCIクイック・スタート・ガイドを参照してください。

作成するリソースのレビュー

Marketplaceアプリは次のリソースを(順番に)作成します:

  • コンピュート・エージェントおよび管理エージェントの動的グループ。
  • ログ・アナリティクス・ログのアップロード、OCI Vault読取りの読取りおよび資格証明ウォレットの作成を行うためのIAMポリシー。
  • 管理エージェントを実行するためのコンピュート・インスタンス
  • 管理エージェント
  • ログ・アナリティクス・エンティティ

これらが作成されたら、すべてを確認してから、このソリューションの残りの部分に進みます。

アプリの利用可能状況を確認

このソリューションに関連付けられているアプリケーションは、次のソースから入手できます。両方のリンクは、このプレイブックの他の場所にある「詳細を見る」にあります。

  • Marketplaceアプリケーション

    Autonomous Transaction Processing (ATP) Database Audit Logs Monitoringは、OCIマーケットプレイスから入手できます。このツールは、ATPインスタンスからデータベース監査ログを取得し、ログ・アナリティクス・ダッシュボードに表示するのに役立ちます。

  • Github

    管理エージェントのTerraformスクリプト- クイック・スタートは、GitHubで入手できます。これらのスクリプトを使用して、特定の監視要件を満たすようにリソースをカスタマイズおよび作成します。

このプレイブックで使用される用語の理解

このソリューションを試す前に、次の用語を理解してください。

  • リソース・マネージャおよびスタック

    OCI Resource Managerは、Terraformスクリプトのコレクション(スタックとも呼ばれる)を実行するための簡易ユーザー・インタフェース(UI)を提供します。また、リソース・マネージャには、問題のトラブルシューティングに役立つ予行演習(計画)を実行する機能や、使用されなくなったリソースを削除(破棄)するオプションがあります。

  • Terraform

    これは、リソース・マネージャがクラウド・サービスやインフラストラクチャを開発およびデプロイするために使用する基礎となるテクノロジです。

  • Management Agent

    管理エージェントは、OCIとその他のデータ・ソース間の低レイテンシの対話型通信およびデータ収集を提供します。このアプリケーションでは、指定したターゲットからログ・データを収集するために使用されます。

  • OCI動的グループおよびIdentity and Access Managementポリシー

    動的グループを使用すると、OCIコンピュート・インスタンスまたはその他のリソース(この場合は管理エージェント)を(ユーザー・グループと同様に)プリンシパル・アクターとしてグループ化できます。このグループのポリシーを作成して、プリンシパル・アクターがOCIサービスに対してAPIコールを実行できるようにします。動的グループを使用すると、一致ルールのセットを定義してグループ・メンバーを定義できるため、メンバーをグループに明示的に追加する必要がなくなります。

  • ATPインスタンスおよび統合DB監査ログ

    このアプリケーションは、このアプリケーションのATPインスタンスからDB監査ログを取得し、ログ・アナリティクス・ダッシュボードにそれらのログを表示します。

  • ログ・アナリティクス・ダッシュボード

    Oracle Cloud Infrastructure Logging Analyticsダッシュボードには、検索データをより理解し、分析するのに役立つフォームが表示されます。また、このアプリケーションで取得されたDB監査ログにアクセスするためのカスタマイズされたダッシュボードへのアクセスも提供されます。

このユース・ケースを実装するための前提条件を満たす

このソリューションを開始する前に、次の前提条件を満たしていることを確認してください。次を実行する必要があります。

  • 管理グループの一部にするか、リソース・マネージャ・スタックを起動するために必要な権限を持ちます。必要なポリシーについては、次のセクションを参照してください。
  • ログ・アナリティクスによる完全なオンボーディング。
  • VCNを含むテナンシと、コンピュート・インスタンスを作成するサブネットがあります。
  • モニターするATPインスタンスにアクセスできます。
  • ATPインスタンスのログへのアクセスに使用するATPユーザー・パスワードでボールト・シークレットを作成します。

必須ポリシーの確認

ユーザーが管理グループに属していない場合、リソース・マネージャ・スタックを起動するには、次の権限が必要です。ユーザー・グループの作成および管理の詳細は、このプレイブックの他の場所にある「詳細を見る」からアクセスできるグループの管理に関する項を参照してください。

# Policies required to manage stacks and jobs in OCI Resource Manager

ALLOW GROUP User-Group TO MANAGE orm-stacks IN TENANCY
ALLOW GROUP User-Group TO MANAGE orm-jobs IN TENANCY

# Policies required to read and manage IAM resources

ALLOW GROUP User-Group TO READ compartments IN TENANCY
ALLOW GROUP User-Group TO READ tenancies IN TENANCY
ALLOW GROUP User-Group TO MANAGE dynamic-groups IN TENANCY
ALLOW GROUP User-Group TO MANAGE policies IN TENANCY

# Policies required to read ATP and Vault Secret

ALLOW GROUP User-Group TO INSPECT autonomous-databases IN TENANCY
ALLOW GROUP User-Group TO INSPECT secrets IN TENANCY

# Policies required to create the Compute Instance

ALLOW GROUP User-Group TO READ vcns IN TENANCY
ALLOW GROUP User-Group TO MANAGE subnets IN TENANCY
ALLOW GROUP User-Group TO MANAGE instance-family IN TENANCY

# Policies required to manage Oracle Cloud Agent plugins and enable Management Agent

ALLOW GROUP User-Group TO MANAGE instance-agent-plugins IN TENANCY
ALLOW GROUP User-Group TO USE volume-family IN TENANCY
ALLOW GROUP User-Group TO USE virtual-network-family IN TENANCY
ALLOW GROUP User-Group TO MANAGE management-agents IN TENANCY
ALLOW GROUP User-Group TO READ metrics IN TENANCY

# Policies required to access and manage the Logging Analytics resources

ALLOW GROUP User-Group TO MANAGE loganalytics-features-family IN TENANCY
ALLOW GROUP User-Group TO MANAGE loganalytics-resources-family IN TENANCY