Documentação do Oracle Cloud Infrastructure

Exportação em Massa de Eventos de Log de Auditoria

Descreve como exportar eventos de log de Auditoria em massa.

Se você fizer sua solicitação após 30 de junho de 2023, use o serviço Logging e o Service Connector Hub para solicitar uma exportação em massa de logs de auditoria. Para obter mais informações, consulte Cenário: Arquivando Logs no Serviço Object Storage.

Esta página descreve o processo anterior de como solicitar uma exportação em massa de logs de auditoria.

Destaques

  • Os administradores têm controle total dos buckets e podem permitir o acesso a outros usuários por meio de instruções de política do serviço IAM.

  • Os logs exportados permanecem disponíveis indefinidamente.

    Dica

    Você pode gerenciar automaticamente o arquivamento e a exclusão de logs usando o serviço Object Storage. Consulte Usando o Object Lifecycle Management.
  • Especifique todas as regiões que deseja exportar na sua solicitação. Caso solicite apenas algumas regiões, você poderá adicionar outras regiões posteriormente. Para isso, será necessário fazer outra solicitação.
  • Para desativar a sua exportação em massa, entre em contato com o suporte técnico da Oracle. Novos logs não serão mais adicionados ao bucket, e os logs de auditoria só estarão disponíveis por meio da Console, com base no período de retenção definido.

Política do Serviço IAM Obrigatória

Para acessar o bucket de onde o sistema Oracle exporta os logs de auditoria, você deverá ser membro do grupo Administradores. Consulte Grupo Administradores e Política

Solicitando uma Exportação de Logs de Auditoria

Observação

Se você fizer sua solicitação após 30 de junho de 2023, use o serviço Logging e o Service Connector Hub para solicitar uma exportação em massa de logs de auditoria. Para obter mais informações, consulte Cenário: Arquivando Logs no Serviço Object Storage.

Para clientes que já usaram esse workflow, um membro do grupo Administradores da sua tenancy deve criar um ticket no My Oracle Support e fornecer as seguintes informações: 

  • Nome do ticket: Exportar Logs de Auditoria - <your_company_name>
  • OCID da Tenancy
  • Regiões

Por exemplo:

  • Nome do ticket: Exportar Logs de Auditoria - ACME
  • OCID da Tenancy: ocid1.tenancy.oc1. <unique_ID>
  • Regiões: Leste dos EUA (Ashburn), identificador de região= us-ashburn-1; (Oeste dos EUA (Phoenix)), identificador de região = us-phoenix-1
Observação

Talvez sejam necessários de 5 a 10 dias úteis para que o seu ticket no My Oracle Support seja concluído e para que os logs estejam disponíveis para você.

Detalhes dos Buckets e Objetos

Esta seção especifica as convenções de nomenclatura do bucket e dos objetos que você recebe.

Formato do Nome do Bucket

O suporte técnico da Oracle cria buckets para exportações de log de auditoria usando o seguinte formato de nomenclatura: 

oci-logs. _audit. <compartment_OCID>

  • oci-logs identifica que o sistema Oracle criou esse bucket.
  • _audit identifica que o bucket contém eventos de auditoria.
  • <compartment_OCID> identifica o compartimento onde os eventos de auditoria foram gerados.

Por exemplo: 

oci-logs._audit.ocid1compartment.oc1..<unique_ID>
Importante

Se o OCID do compartimento que gerou o log de auditoria contiver dois-pontos, o nome do seu bucket não corresponderá ao OCID. Para criar um bucket, o sistema Oracle deve substituir os caracteres de dois-pontos (:) no OCID por caracteres de ponto (.) no nome do bucket.

Formato do Nome do Objeto

Os objetos utilizam o seguinte formato de nomenclatura: 

<region>/<ad>/<YYYY-MM-DDTHH:MMZ>[_<seqNum>]. log.gz

  • <region> identifica a região onde os eventos de auditoria foram gerados.
  • <ad> identifica o domínio de disponibilidade em que os eventos de auditoria foram gerados.
  • <YYYY-MM-DDTHH:MMZ> identifica o horário inicial do primeiro evento de auditoria listado no objeto.
  • [_<seqNum>] identifica um número de sequência condicional. Se estiver presente, esse número significa que um evento ocorreu tardiamente ou que o objeto se tornou muito grande para ser gravado. Os números de sequência começam em dois. Aplique vários números de sequência ao objeto original na ordem listada.

Por exemplo: 

us-phoenix-1/ad1/2019-03-21T00:00Z.log.gz
us-phoenix-1/ad1/2019-03-21T00:00Z_2.log.gz

Formato de Arquivo

Os arquivos listam um único evento de auditoria por linha. Para obter mais informações, consulte Conteúdo de um Evento de Log de Auditoria.

Observação

A auditoria introduziu um esquema de versão 2 dos logs de Auditoria, mas no momento a exportação em massa só está disponível para logs de esquema de versão 1.