주:

• 이 사용지침서에서는 Oracle Cloud에 액세스해야 합니다. 무료 계정에 등록하려면 Oracle Cloud Infrastructure Free Tier 시작하기를 참조하십시오.
• Oracle Cloud Infrastructure 인증서, 테넌시 및 구획에 대한 예제 값을 사용합니다. 실습을 마칠 때는 이러한 값을 클라우드 환경과 관련된 값으로 대체하십시오.

Oracle Database 감사 로그를 Oracle Data Safe에서 OCI 로깅으로 익스포트

소개

Oracle Data Safe는 데이터 보안에 집중된 완전히 통합된 클라우드 서비스입니다. Oracle Database에서 민감한 데이터 및 규제된 데이터를 보호하기 위한 완전하고 통합된 기능 집합을 제공합니다. 기능에는 보안 평가, 사용자 평가, 데이터 검색, 데이터 마스킹 및 작업 감사가 포함됩니다.

OCI(Oracle Cloud Infrastructure) 로깅 서비스는 테넌시의 모든 로그에 대해 확장성이 뛰어난 완전 관리형 단일 인터페이스를 제공합니다. 로깅을 사용하여 모든 OCI 리소스의 로그에 액세스하고 이를 사용으로 설정, 관리 및 검색합니다.

OCI Functions는 확장성이 뛰어난 완전 관리형 다중 테넌트, 온디맨드 FaaS(Functions-as-a-Service) 플랫폼입니다. 엔터프라이즈급 OCI를 기반으로 구축되었으며 Fn 프로젝트 오픈 소스 엔진에 의해 구동됩니다.

목표

• 확장 가능하고 자동화된 아키텍처를 사용하여 Oracle Database 통합 감사 로그를 Oracle Data Safe에서 OCI Logging으로 익스포트합니다.

  배치할 구조는 다음과 같습니다.

  

필요 조건

환경을 배치하기 전에 다음 요구 사항이 필요합니다.

• Oracle Database에서 데이터베이스 감사 이벤트를 가져오도록 Oracle Data Safe를 구성합니다.

• OCI 레지스트리 사용자(OCI 사용자 이름) 및 OCI 레지스트리 사용자 비밀번호(OCI 사용자 인증 토큰)를 구성합니다.

• OCI 레지스트리 사용자가 사용할 Python 함수의 이미지를 푸시할 수 있도록 OCI IAM(Oracle Cloud Infrastructure Identity and Access Management) 정책을 생성하고 확인합니다.

• OCI 테넌시에서 IAM 정책, 동적 그룹, VCN, 서비스 게이트웨이, 경로 테이블, 보안 목록, 서브넷, 함수, 모니터링 알람, 통지 등의 리소스 유형을 관리하는 권한입니다.

참고: 배포를 간소화하려면 여기에서 제공되는 Terraform 스크립트를 사용하여 OCI Resource Manager를 통해 배포를 수행하는 것이 좋습니다.

필요 조건 1: Oracle Data Safe에서 데이터베이스 등록 및 구성

참조 아키텍처를 생성하기 전에 Oracle Databases로부터 모니터링할 감사 이벤트를 수신하도록 Oracle Data Safe를 구성해야 합니다.

이 자습서에서는 이전에 생성된 OCI 테넌트의 Oracle Autonomous Database에서 Oracle Data Safe를 구성합니다. 그러나 온프레미스, 인스턴스 등 다양한 여러 환경에서 Oracle 데이터베이스의 감사를 구성할 수 있습니다. Oracle Data Safe 구성을 위한 가능한 시나리오에 대한 자세한 내용은 Data Safe를 참조하십시오.

Oracle Autonomous Database 감사는 데이터베이스 서비스 페이지 또는 OCI 콘솔을 통해 직접 구성할 수 있습니다. OCI 콘솔을 통해 이 작업을 수행합니다.

1. OCI 콘솔로 이동하여 Oracle Database, Data Safe - 데이터베이스 보안 순으로 누릅니다.

   

2. 데이터베이스를 등록하려면 대상 데이터베이스를 누르고 데이터베이스를 등록할 구획을 선택한 다음 데이터베이스 등록을 누릅니다.

   

3. Data Safe 구성 페이지에서 다음 세부정보를 입력하고 등록을 누른 다음 구성이 완료될 때까지 기다립니다.

   • 데이터베이스 유형: 구성할 데이터베이스 유형을 선택합니다. 이 자습서에서는 유형이 Autonomous Database입니다. 지원되는 Oracle Database 유형에 대한 자세한 내용은 지원되는 대상 데이터베이스를 참조하십시오.

   • < 구획 >에서 데이터베이스 선택: Oracle Data Safe에서 모니터할 데이터베이스를 선택합니다.

   • 설명: 선택적으로 Oracle Data Safe에 데이터베이스를 등록하기 위한 설명을 입력할 수 있습니다.

   • 구획: Oracle Data Safe 등록이 수행될 구획을 선택합니다.

   

   Oracle Data Safe 구성에 대한 자세한 내용은 Oracle Live Labs 포털의 Oracle Data Safe 기초 시작하기에서 제공하는 단계별 지침을 따르십시오.

필요 조건 2: OCI 레지스트리 사용자 구성

필요에 따라 환경을 생성하려면 OCI IAM 사용자에게 OCI 레지스트리 내에서 이미지를 푸시할 수 있는 권한이 부여되어야 합니다. 이 사용자는 Data Safe 로그 수집을 자동화하는 데 사용할 함수의 이미지를 제공하므로 OCI 레지스트리에 대한 올바른 권한이 필요합니다. 환경 구축 요구 사항에 따라 OCI 레지스트리에 대한 OCI IAM 사용자의 액세스 인증서를 구성합니다.

1. OCI 레지스트리에 액세스할 사용자와 함께 OCI 콘솔에 로그인하고 내 프로파일을 누릅니다.

   

2. 사용자 세부정보 창에서 인증 토큰, 토큰 생성 순으로 누릅니다.

   

3. 생성된 토큰에 대한 설명을 입력하고 토큰 생성을 누릅니다.

   

   인증 토큰이 생성됩니다. 인증 토큰은 OCI Resource Manager 내에서 스택을 구성하기 위한 매개변수로 사용되므로 유의하십시오.

주: OCI 레지스트리를 생성하고 소비하는 데 사용되는 사용자는 반드시 OCI 리소스 관리자를 통해 인프라를 배치할 사용자와 동일할 필요는 없습니다. 배치 중 레지스트리에 액세스할 사용자의 사용자 이름 및 인증 토큰 정보가 요청됩니다.

필요 조건 3: OCI 레지스트리에 액세스하기 위한 OCI IAM 정책 생성

OCI IAM 사용자가 OCI 레지스트리 서비스에 액세스할 수 있으려면 사용자가 환경이 생성될 구획의 저장소를 관리하거나 최소 권한 정책을 사용할 수 있도록 허용해야 합니다. 사용자가 구획의 저장소를 업데이트할 수 있도록 허용해야 합니다. 따라서 아래 두 가지 옵션 중 하나를 적용하여 OCI 레지스트리에 대한 액세스를 구성하십시오.

• 저장소에 대한 정책 관리

  Allow group <group_name> to manage repos in compartment <compartment_name>
  

• 저장소에 대한 정책 업데이트

  Allow group <group_name> to manage repos in compartment <compartment_name> where ANY {request.permission = 'REPOSITORY_READ', request.permission = 'REPOSITORY_UPDATE', request.permission = 'REPOSITORY_CREATE'}
  

  • REPOSITORY_READ: 저장소를 읽을 수 있는 사용자 권한, 즉 이미지를 풀링할 수 있는 사용자 권한입니다.

  • REPOSITORY_UPDATE: 이미지를 저장소(즉, 이미지 푸시)로 전송할 수 있는 사용자 권한입니다.

필요 조건 4: 구조 배치를 위한 OCI IAM 정책

사용 가능한 설명서에 따르면 이 인프라를 배치할 사용자는 IAM 정책, 동적 그룹, VCN, 서비스 게이트웨이, 경로 테이블, 보안 목록, 서브넷, 함수, 모니터링 알람 및 통지와 같은 OCI 서비스에 대한 관리 권한이 있어야 합니다.

접근 방법 1: OCI Resource Manager를 사용하여 Terraform을 통해 배포

Oracle Data Safe를 통해 확장 가능한 데이터베이스 감사 로그 수집을 위한 참조 아키텍처를 구현하려면 OCI 콘솔에 대한 액세스 권한이 있는 OCI IAM 사용자를 사용하여 fn-datasafe-dbaudit-to-oci-logging GitHub 저장소에서 사용 가능한 Terraform을 실행하고, 이전에 통보된 대로 필요한 권한을 가진 그룹을 포함합니다. 저장소에 제공되는 설명서에 따르면 OCI Resource Manager 또는 Terraform CLI를 통해 솔루션을 설치할 수 있습니다.

주: 환경 배치를 간소화하려면 OCI Resource Manager를 통해 배치를 수행하는 것이 좋습니다.

1. 로그 수집을 위해 참조 아키텍처를 자동으로 설치 및 구성하려면 배치에 사용할 사용자로 테넌트 OCI 콘솔에 로그인하고 환경을 설치할 영역을 선택합니다.

   

   다른 탭에서 fn-datasafe-dbaudit-to-oci-logging의 GitHub에 있는 저장소 페이지에 액세스합니다.

   

2. 테넌트 OCI 콘솔 및 GitHub 저장소 페이지가 열리면 저장소 페이지 아래로 스크롤하여 OCI 리소스 관리자를 사용하여 배치 섹션을 찾고 설치를 시작하려면 Oracle Cloud에 배치를 누릅니다.

   

3. OCI 리소스 관리자 페이지가 OCI 콘솔 내에서 열립니다. 아래와 같은 정보를 입력하고 다음을 누릅니다.

   • Oracle Terms of Use: I have reviewed and accept the Oracle Terms of Use 상자를 읽고 선택합니다.
   • 이름: 선택 사항, 환경 설치를 식별하는 이름을 지정합니다.
   • 구획에 생성: 환경이 생성될 구획을 선택합니다.

   

4. 다음 창에서 다음 정보를 입력하고 다음을 누릅니다.

   • OCIR 사용자 이름: 기반 구조를 배치하는 데 사용되는 사용자의 사용자 이름을 입력합니다. 사용자는 이미지를 생성하고 저장소에 업로드할 수 있는 권한이 있어야 합니다.
   • OCIR 사용자 비밀번호: 이전에 필요 조건에 생성된 인증 토큰을 입력합니다.
   • 배치 모드: 환경을 생성할 방법을 입력합니다. 이 경우 test를 사용합니다.
   • VCN CIDR: 환경 배치를 위해 생성할 VCN의 CIDR을 입력합니다. 이 항목은 선택 사항이며 필요에 따라 변경할 수 있습니다.

   

5. 다음 페이지에서 생성을 눌러 구조를 생성하고 OCI 리소스 관리자가 환경을 생성할 때까지 기다립니다.

   

접근 방식 2: OCI 콘솔을 사용하여 Terraform을 통해 배포

OCI 콘솔을 통한 수동 배포를 수행하려면 구체적이고 순차적인 단계별 절차를 따라야 합니다. 시작하려면 환경이 생성될 구획을 선택하십시오. 이 구획에서 새 VCN을 생성하거나 기존 VCN을 사용합니다.

태스크 1: VCN 및 서브넷 생성

1. 환경의 VCN을 생성하려면 OCI 콘솔로 이동하여 네트워킹 및 가상 클라우드 네트워크로 이동합니다.

   

2. VCN이 생성될 구획을 선택한 다음 VCN 마법사 시작을 누릅니다.

   

3. 마법사 페이지에서 인터넷 접속으로 VCN 생성을 선택하고 VCN 마법사 시작을 누릅니다.

   

4. 인터넷 접속을 통한 VCN 생성 페이지에서 다음 정보를 입력하여 VCN을 생성합니다.

   • VCN 이름: 만들려는 VCN의 이름을 입력합니다.
   • 구획: VCN이 생성될 구획을 선택합니다.
   • VCN IPv4 CIDR 블록: VCN에 대해 원하는 CIDR을 입력하거나 툴에서 이미 채워진 CIDR을 사용합니다.
   • 공용 서브넷 IPv4 CIDR 블록: 공용 서브넷에 대해 원하는 CIDR을 입력하거나 이미 자동으로 채워진 CIDR을 사용합니다.
   • 전용 서브넷 IPv4 CIDR 블록: 전용 서브넷에 대해 원하는 CIDR을 입력하거나 이미 자동으로 채워진 CIDR을 사용합니다.

   

   

5. 다음을 누르고 VCN이 생성될 때까지 기다립니다.

   

작업 2: OCI 레지스트리 저장소 생성

이 서비스는 Data Safe 감사 로그를 수집할 Python 함수의 이미지를 호스트합니다.

1. OCI 콘솔로 이동하여 개발자 서비스 및 컨테이너 레지스트리로 이동합니다.

   

2. 컨테이너 레지스트리 서비스 페이지에서 컨테이너 레지스트리가 생성될 구획을 선택하고 저장소 생성을 누릅니다.

   

3. 저장소를 생성하는 데 필요한 정보를 입력하고 생성을 누릅니다.

   • 구획에 생성: 저장소가 생성될 구획을 선택합니다.
   • 액세스: 전용 저장소(인터넷을 통해 액세스할 수 없음)가 되도록 private을 선택합니다.
   • 저장소 이름: 저장소에 지정할 이름을 입력합니다.

   

   생성이 완료되면 저장소를 사용하여 세부정보를 볼 수 있습니다.

   

   주: 저장소에 대해 생성된 네임스페이스를 기록해 두십시오. 이 네임스페이스는 이후 작업에서 사용됩니다.

작업 3: OCI 버킷을 생성하여 신호 제어

제안된 환경의 토폴로지에 표시된 대로 OCI 버킷을 생성하여 함수 코드의 실행을 제어하는 데 사용되는 텍스트 파일을 수신해야 합니다. 이 버킷의 이름은 OCI 함수 구성 및 환경에 대해 구성될 정책에도 사용됩니다.

1. 버킷을 생성하려면 OCI 콘솔로 이동하여 스토리지, 버킷을 누릅니다.

   

2. 구획을 선택하고 버킷 생성을 누릅니다.

   

3. 버킷 이름을 입력하고 생성을 누릅니다.

   

   주: 버킷 이름은 정책을 작성하고 OCI 함수를 구성할 때 사용됩니다.

작업 4: 사용자 정의 로그 생성

Oracle Data Safe에서 수집된 로그의 대상은 모니터링되는 데이터베이스에서 캡처된 감사 레코드를 수신하기 위해 특별히 생성된 사용자정의 로그를 포함할 OCI 로깅 그룹이어야 합니다.

1. OCI 콘솔로 이동하여 관찰성 및 관리로 이동하고 로그 그룹을 누릅니다.

   

2. OCI 함수에서 사용되는 사용자정의 로그를 보관하기 위해 로그 그룹이 생성됩니다. 로그 그룹이 생성될 구획을 선택하고 로그 그룹 생성을 누릅니다.

   

3. 다음 정보를 입력하고 생성을 눌러 로그 그룹을 생성합니다.

   • 이름: 로그 그룹의 이름을 입력합니다.
   • 설명: 로그 그룹에 대한 설명을 입력합니다.

   

4. 로그, 사용자정의 로그 생성 순으로 누릅니다.

   

5. 다음 정보를 입력하여 Oracle Data Safe에서 모니터되는 데이터베이스에서 감사 로그를 수신할 사용자정의 로그를 생성하고 사용자정의 로그 생성을 누릅니다.

   • 사용자정의 로그 이름: 사용자정의 로그의 이름을 입력합니다.
   • 구획: 사용자정의 로그가 생성될 구획을 선택합니다.
   • 로그 그룹: 위 단계에서 방금 생성한 로그 그룹을 선택합니다.

   

   주: 에이전트 구성은 생성하지 않습니다.

6. 사용자정의 로그 생성 페이지는 에이전트 구성을 생성할 수 있는 워크플로우입니다. 이 경우 에이전트 구성을 생성하지 않습니다. 따라서 취소를 누릅니다.

   

   로그 그룹 페이지가 다시 로드되고 생성된 사용자정의 로그가 포함됩니다.

   주: 생성된 사용자정의 로그의 OCID(Oracle Cloud 식별자)는 OCI 함수를 구성할 때 사용됩니다.

   

작업 5: OCI 함수 생성

OCI Functions 이미지가 저장되어야 하는 저장소를 생성한 후 Data Safe 감사 로그를 수집하려면 OCI Functions를 생성해야 합니다.

1. OCI 콘솔로 이동하여 개발자 서비스 및 애플리케이션으로 이동합니다.

   

2. 애플리케이션이 생성될 구획을 선택하고 애플리케이션 생성을 누릅니다.

   

3. 다음 정보를 입력하여 애플리케이션을 생성하고 생성을 누릅니다.

   • 이름: 애플리케이션 이름을 입력합니다.
   • < 구획 >의 VCN: 애플리케이션을 생성할 VCN을 선택합니다.
   • < 구획 >의 서브넷: 애플리케이션이 생성될 서브넷을 선택합니다.
   • 구성: 응용 프로그램이 생성될 구조를 선택합니다. 이 예제에서는 GENERIC_X86를 사용합니다.

   

작업 6: OCI 함수 구성

애플리케이션이 생성되면 페이지가 자동으로 로드됩니다. 이 페이지에는 OCI Functions를 생성할 수 있도록 OCI Cloud Shell 또는 로컬 설정을 통해 수행할 권장되는 단계별 가이드가 있습니다. 이 사용지침서에서는 OCI Cloud Shell을 통해 제안된 단계별 지침이 사용됩니다.

1. Cloud Shell 설정을 선택합니다.

   

   참고: Cloud Shell 설정에 제공된 예제는 간단한 Java 코드를 나타냅니다. 이 실습에서 Python 코드를 사용할 예정이므로 아래는 Python에서 OCI Functions를 시작하는 데 대한 참조입니다.

2. Cloud Shell을 누르고 OCI 함수에 대해 원하는 구성에 따라 세부정보를 입력합니다.

   

   fn list context
   
   fn use context <REGION>
   
   fn update context oracle.compartment-id <OCID_Compartment>
   
   fn update context registry <REPO_URL>/<namespace>/[repo-name-prefix]
   

   • < 지역 >: OCI 함수가 생성될 지역을 입력합니다. 이 경우 sa-saopaulo-1를 사용합니다. OCI 리전 목록은 지역 및 가용성 도메인에서 확인할 수 있습니다.
   • < OCID 구획 >: 함수가 생성될 구획의 OCID를 입력합니다.
   • < REPO_URL >/< 네임스페이스 >/[ repo-name-prefix]: 저장소 URL은 저장소가 생성된 영역의 키와 이 생성된 저장소의 이름으로 구성됩니다. 따라서 이 자습서의 경우 전체 URL은 다음과 같습니다.
     • REPO_URL: < region-key >.ocir.io로 구성된 문자열입니다. sa-saopaulo-1 영역을 사용하므로 URL은 gru.ocir.io입니다(해당 지역의 영역 키는 지역 및 가용성 도메인에서 찾을 수 있음).
     • 이름 공간: axyxxqi24xxx(작업 2.4에 표시됨).
     • repo-name-prefix: 생성된 저장소의 이름입니다.

작업 7: OCI 레지스트리에 로그인하기 위한 인증 토큰 생성

이 프로시저를 수행하는 데 사용된 유저가 생성된 OCI 레지스트리에 로그인할 수 있도록 인증 토큰을 생성해야 합니다. 자세한 내용은 Getting an Auth Token을 참조하십시오.

작업 8: OCI 함수 생성 및 배치

1. 인증 토큰이 생성되면 Docker 명령을 통해 저장소에 로그인해야 합니다. 로그인에 대한 자세한 내용은 Oracle Cloud Infrastructure Registry에 로그인을 참조하십시오.

   docker login -u '<namespace>/<username>' <repo-domain-url>
   

2. 저장소에 로그인한 후에는 함수를 초기화하고 배포를 위해 Python 코드를 편집할 수 있습니다. 다음 명령을 실행합니다.

   fn list apps
   
   fn init --runtime python fndatasafelogs
   
   cd fndatasafelogs
   
      >> Edit function.py to insert the function code
      >> Edit requirements.txt to insert requirements as needed for the role
      >> Edit function.yaml to make it as needed
   
   fn -v deploy --app <app_name>
   

   주: 파일을 편집해야 하는 단계가 있습니다. function.py, requirements.txt 및 function.yaml 파일의 내용은 여기에서 확인할 수 있습니다.

작업 9: OCI 함수 작동 매개변수 구성

OCI Functions가 생성되면 Data Safe 로그를 올바르게 수집하도록 구성해야 합니다.

1. OCI 콘솔로 이동하여 개발자 서비스 및 애플리케이션으로 이동합니다.

   

2. 이 프로젝트에 대한 애플리케이션이 생성된 구획을 선택하고 애플리케이션을 누릅니다.

   

3. 함수에서 구성하기 위해 생성된 함수를 누릅니다.

   

4. 구성을 누르고 함수가 작동하도록 다음 정보를 입력합니다.

   • ociOSTrackerBucketName: 작업 3.3에서 생성된 제어 버킷의 이름을 입력합니다.
   • ociDataSafeCompartmentOCID: 사용된 OCI 테넌트(루트 테넌트)의 OCID를 입력합니다.
   • ociLoggingLogOCID: 작업 4.6에서 생성된 사용자정의 로그의 OCID를 입력합니다.

   

   이제 정책을 완료하여 Oracle Data Safe 로그 수집 기능을 구성합니다.

작업 10: 동적 그룹 생성

Data Safe 로그 수집에 필요한 서비스에 대한 OCI 함수 액세스 권한을 부여하려면 동적 그룹을 생성합니다.

1. OCI 콘솔에서 ID, 도메인, <Your_Domain>, 동적 그룹으로 이동하고 동적 그룹 생성을 누릅니다.

   

   주: 이 예에서는 ID 도메인 기본값을 사용합니다. 환경에 사용된 ID 도메인을 확인하고 올바르게 액세스합니다.

2. 다음 정보를 입력하고 동적 그룹 생성을 누릅니다.

   • 이름: 동적 그룹의 이름을 입력합니다.

   • 설명: 동적 그룹에 대한 설명을 입력합니다.

   • 규칙 1: 생성된 OCI 함수를 식별할 동적 그룹 일치 규칙을 입력합니다.

     사용된 일치 규칙은 다음과 같습니다. ALL {resource.type = 'fnfunc', resource.compartment.id = '<Compartment_ID>'}

     • Compartment_ID: 함수가 생성된 구획의 OCID를 입력합니다.

   

   주: 생성된 동적 그룹의 이름을 기록해 두십시오. OCI IAM 정책 구성 중에 사용됩니다.

작업 11: OCI 함수 작동을 위한 OCI IAM 정책 생성

Data Safe 로그를 수집하는 기능이 제대로 작동하려면 필요한 모든 액세스 권한을 생성해야 합니다.

1. OCI 콘솔에서 ID 및 보안 및 정책으로 이동합니다.

   

   정책을 생성하려면 환경이 생성되고 있는 구획 레벨과 테넌시 레벨에서 모두 수행해야 합니다. 테넌시 레벨에서는 단일 정책을 생성해야 합니다. 이 정책을 사용하면 생성된 함수가 Oracle Data Safe 이벤트가 발생할 때마다 해당 이벤트를 모두 읽을 수 있습니다.

2. 구획에 정책을 생성하려면 정책 생성을 누릅니다.

   

3. 다음 정보를 입력하고 생성을 누릅니다.

   

   • 이름: 정책 이름을 입력합니다.

   • 설명: 정책에 대한 설명을 입력합니다.

   • 구획: 정책이 생성될 구획을 선택합니다. 이 첫번째 정책은 환경이 생성된 구획에 생성할 수 있습니다.

   • 정책 작성기: 키를 눌러 고급 정책 채우기 모드를 활성화합니다.

   • 정책: 정책을 텍스트 형식으로 입력합니다.

     환경 작동에 필요한 정책은 다음과 같습니다.

     Allow dynamic-group 'Default'/'<Dynamic_Group_Name>' to manage buckets in compartment <Compartment_Name> where target.bucket.name='<Bucket_Name>'
     
     Allow dynamic-group 'Default'/'<Dynamic_Group_Name>' to manage objects in compartment <Compartment_Name> where target.bucket.name='<Bucket_Name>'
     
     Allow dynamic-group 'Default'/'<Dynamic_Group_Name>' to use log-content in compartment <Compartment_Name>
     
     Allow dynamic-group 'Default'/'<Dynamic_Group_Name>' to manage objects in compartment <Compartment_Name>
     
     Allow dynamic-group 'Default'/'<Dynamic_Group_Name>' to read objectstorage-namespaces in compartment <Compartment_Name>
     
     Allow dynamic-group 'Default'/'<Dynamic_Group_Name>' to read buckets in compartment <Compartment_Name>
     

   • 테넌트 수준에서는 함수가 Data Safe 이벤트를 읽을 수 있도록 정책을 생성하기만 하면 됩니다.

     Allow dynamic-group 'Default'/'<Dynamic_Group_Name>' to read data-safe-audit-events in tenancy
     

     • Dynamic_Group_Name: OCI 함수에 대해 생성된 동적 그룹의 이름을 입력합니다.
     • Compartment_Name: 이 프로시저에 대한 환경이 생성된 구획의 이름을 입력합니다.
     • Bucket_Name: 생성된 OCI 버킷의 이름을 입력합니다.

   주: 이러한 정책과 이 프로시저에 대한 전체 환경은 환경의 기본 ID 도메인에 생성되었습니다. ID 도메인에 대한 자세한 내용은 ID 도메인을 참조하십시오.

   정책이 생성되면 네임스페이스가 식별되도록 함수를 실행할 수 있습니다. 이 네임스페이스는 OCI 모니터링에서 알람을 생성하는 데 사용됩니다.

4. 함수를 실행하려면 Cloud Shell을 열고 다음 명령을 실행합니다.

   fn list apps
   

   이 연습을 위해 생성된 앱의 이름을 복사하고 다음 명령을 실행합니다.

   fn invoke <app_name> <function_name>
   

   

   주: 실행 상태가 ok인지 확인합니다. 이것은 함수가 환경에서 완벽하게 실행될 수 있음을 보여줍니다.

이제 기능이 작동하므로 OCI 통지 토픽 및 OCI 모니터링 알람을 생성하여 구성을 완료합니다.

작업 12: OCI 통지 항목 생성

OCI 함수가 배치되면 Data Safe 로그를 반복적으로 수집할 Python 코드 실행을 호출하도록 OCI 통지 서비스를 구성할 수 있습니다.

1. OCI 콘솔에서 개발자 서비스 및 통지로 이동합니다.

   

2. 항목 생성을 눌러 통지 토픽을 생성합니다.

   

3. 다음 정보를 입력하여 통지 토픽을 생성하고 생성을 누릅니다.

   • 이름: 생성할 토픽의 이름을 입력합니다.
   • 설명: 선택 사항 항목에 대한 설명을 입력합니다.

   

4. 토픽의 함수에 가입할 수 있습니다. 즉, 토픽이 시간 알람에 의해 트리거될 때 토픽이 Python 코드를 실행하여 Data Safe 로그를 수집할 수 있습니다. 토픽에 대한 OCI 함수 구독을 구성하려면 새로 생성된 토픽의 이름을 누르십시오.

   

5. 항목 페이지에서 가입 생성을 눌러 구성을 수행합니다.

   

6. 구성 페이지에서 다음 정보를 입력하고 생성을 누릅니다.

   • 프로토콜: 함수를 선택합니다.
   • 함수 구획: OCI 함수가 생성된 구획을 선택합니다.
   • Oracle Functions 애플리케이션: 태스크 5에서 생성된 애플리케이션을 선택합니다.
   • 함수: 작업 6에서 생성한 함수를 선택합니다.

   

   성공한 함수 구독으로 토픽이 업데이트됩니다.

   

작업 13: OCI 모니터링으로 알람 생성

토픽이 구성되고 함수가 추가되면 알람을 생성해야 합니다. 알람은 통지를 트리거하고 결과적으로 함수를 트리거합니다.

1. OCI 콘솔에서 관찰성 및 관리 및 알람 정의로 이동합니다.

   

2. 알람을 생성하려면 알람 생성을 누릅니다.

   

3. 알람을 생성하려면 다음 정보를 입력하십시오.

   1. 알람 정의 필드에 다음 정보를 입력합니다.

      • 알람 이름: 알람 이름을 입력합니다.
      • 알람 심각도: 알람 심각도에 대해 "info"를 선택합니다.

      

   2. 측정항목 설명 필드에 다음 정보를 입력합니다.

      • 구획: 알람이 생성될 구획을 선택합니다.
      • 측정 단위 이름 공간: oci_faas.
      • 측정 단위 이름: FunctionInvocationCount.
      • 간격: 1 day.
      • 통계: Count.

      

   3. 트리거 규칙 필드에 다음 정보를 입력합니다.

      • 연산자: greater then.
      • 값: 0.
      • 트리거 지연 시간(분): 1.

      

   4. 알람 통지 정의 필드에 다음 정보를 입력합니다.

      • 대상 서비스: Notifications.
      • 구획: OCI 통지 토픽이 생성된 구획을 선택합니다.
      • 토픽: 생성된 토픽의 이름을 선택합니다.
      • 통지 반복?: OCI 통지가 여러 번 트리거될 수 있도록 하려면 이 상자를 선택합니다.
      • 통지 빈도: 1.
      • 통지 빈도: minutes.

      

   5. 이 알람 사용?을 선택하고 알람 저장을 누릅니다.

      

이 작업이 완료되면 환경이 Data Safe 로그를 수집할 준비가 됩니다. 생성된 사용자정의 로그에 Data Safe 로그가 표시되기 시작할 때까지 잠시 기다립니다.

관련 링크

• Oracle Data Safe 기초 시작하기

• Getting an Auth Token

• Oracle Cloud Infrastructure Registry에 로그인

• 지원되는 대상 데이터베이스

확인

• 작성자 - Rodrigo Pace de Barros
• 기여자 - Fabrizio Zarri

추가 학습 자원

docs.oracle.com/learn에서 다른 실습을 살펴보거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스하십시오. 또한 education.oracle.com/learning-explorer를 방문하여 Oracle Learning Explorer가 되십시오.

제품 설명서는 Oracle Help Center를 참조하십시오.

---

제목 및 저작권 정보

Export Oracle Database Audit Logs from Oracle Data Safe to OCI Logging

F92082-01

February 2024

Copyright © 2024, Oracle and/or its affiliates.