Exibindo Eventos de Log de Auditoria
Descreve como exibir eventos de log de Auditoria.
O serviço Audit fornece registros de operações da API executadas com serviços suportados como lista de eventos de log. O serviço registra eventos nos níveis de tenant e compartimento.
Ao exibir os eventos registrados pelo serviço Audit, talvez você esteja interessado em atividades específicas que ocorreram na tenancy ou no compartimento e que foram responsáveis pela atividade. Para exibir uma lista de eventos de log que inclui a atividade em questão, você precisará saber a hora e a data aproximadas e o compartimento em que algo aconteceu. Liste os eventos de log especificando um intervalo de 24 horas em GMT (Greenwich Mean Time), calculando o deslocamento do seu fuso horário local, conforme apropriado. A nova atividade é anexada à lista existente, normalmente em 15 minutos após a chamada da API, embora o tempo de processamento possa variar.
Política do Serviço IAM Obrigatória
Para usar o Oracle Cloud Infrastructure, um administrador deve ser membro de um grupo ao qual foi concedido acesso de segurança em uma política por um administrador da tenancy. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Se você receber uma mensagem informando que não tem permissão ou está não autorizado, verifique com o administrador da tenancy qual tipo de acesso você tem e qual compartimento seu acesso funciona.
Para administradores: A seguinte instrução de política oferece ao grupo especificado (Auditores) a capacidade de exibir todos os logs de evento de Auditoria na tenancy:
Allow group Auditors to read audit-events in tenancyPara permitir que o grupo acesse os logs de evento de Auditoria apenas em um compartimento específico (ProjectA), crie uma política como a seguinte:
Allow group Auditors to read audit-events in compartment ProjectASe você tiver pouca experiência com políticas, consulte Conceitos Básicos de Políticas e Políticas Comuns. Para obter mais detalhes sobre políticas para o serviço Audit, consulte Detalhes do Serviço Audit.
Pesquisando e Filtrando na Console
Quando você navega até Audit in the Console, uma lista de resultados é gerada para o compartimento atual. Os logs de auditoria são organizados por compartimento, portanto, se estiver procurando um evento específico, você deverá saber em qual compartimento ele ocorreu. Você pode filtrar a lista de todas as seguintes maneiras:
- Data e horário
- Tipos de Ação de Solicitação (operações)
- Palavras-chave
Por exemplo, os usuários começam a relatar que sua tentativa de conexão está falhando. Você deseja usar o serviço Audit para pesquisar o problema. Ajuste a data e o horário para procurar falhas correspondentes durante um período que começa um pouco antes de os eventos terem sido reportados. Procure falhas correspondentes e operações semelhantes precedentes às falhas para correlacioná-las com um motivo.
O serviço registra os eventos no momento em que eles são processados. Pode haver um atraso entre o momento em que uma operação ocorre e quando ela é processada.
Você pode filtrar os resultados por ações de solicitação para se concentrar somente nos eventos com operações do seu interesse. Por exemplo, digamos que você só deseja saber sobre as instâncias excluídas durante um período específico. Selecione um filtro de ação de solicitação de exclusão para ver somente os eventos com operações de exclusão.
Você também pode filtrar por palavras-chave. Os filtros de palavra-chave são muito eficazes quando combinados com os valores dos campos de evento de auditoria. Por exemplo, digamos que você saiba o nome de usuário de uma conta e deseja obter uma lista de todas as atividades com base nessa conta em um período específico. Faça uma pesquisa usando o nome de usuário como filtro de palavra-chave.
Cada evento de auditoria contém os mesmos campos, portanto, procure os valores desses campos. Para entender melhor quais valores estão disponíveis, consulte Conteúdo de um Evento de Log de Auditoria.