Documentação do Oracle Cloud Infrastructure

Monitorando o Uso da Chave

Saiba como monitorar o uso da chave no Oracle Cloud Infrastructure usando dados de log.

O monitoramento do uso de chaves para operações de criptografia e decriptografia pode ser útil para vários casos de uso, incluindo o seguinte:

  • Gerenciamento do ciclo de vida: Entender quando uma chave foi usada pela última vez é fundamental para tomar decisões de retenção informadas. Chaves usadas com pouca frequência, como aquelas que suportam cargas de trabalho de banco de dados, ainda podem ser operacionalmente importantes, apesar da atividade limitada. A extensão da retenção de logs por meio do OCI Connector Hub permite uma visibilidade mais profunda dos padrões históricos de uso, permitindo que as equipes tomem decisões com consciência de risco sobre reter, rotacionar ou retirar chaves.
  • Segurança: O monitoramento do uso da chave pode alertá-lo sobre uma atividade incomum.
  • Monitorando ou investigando o comportamento do aplicativo: Correlacionar o comportamento do aplicativo com o uso principal pode fornecer informações úteis para resolver problemas com seus aplicativos ou melhorar seu desempenho.

Este tópico detalha como você pode usar logs do OCI (Oracle Cloud Infrastructure) para monitorar o uso da chave.

Dados de Log Disponíveis

O Serviço de Log do OCI fornece vários tipos de logs, incluindo o seguinte:

Logs de Auditoria

Logs de Auditoria: Use logs de auditoria para monitorar operações de gerenciamento, como:

  • Operações de criação, atualização e exclusão para gerenciar chaves e vaults
  • Rotacionar operações para chaves

Os logs de auditoria não registram operações criptográficas, como Decrypt ou GenerateDataEncryptionKey (atividade do plano de dados), que são, em vez disso, opcionalmente registradas nos Logs de Serviço.

Logs de serviço

Os Logs de Serviço devem ser ativados pelo cliente para serem usados. Quando ativado para Gerenciamento de Chaves, os logs de serviço capturam metadados, incluindo:

  • Princípio de chamada (o usuário, a função ou a instância que instiga a operação de chave)
  • OCID da Chave
  • Versão da chave
  • Tipo de operação (por exemplo, Decrypt)
  • Timestamp
  • Detalhes do vault e do compartimento
Importante

Os logs de serviço não registram informações confidenciais que possam comprometer a segurança de dados da sua organização ou dos seus clientes. Consulte Detalhes do Serviço Key Management para obter detalhes completos sobre os dados que os logs de serviço coletam para o Serviço Key Management.

Ativando Logs de Serviço para um Vault

Para ativar logs de serviço, você precisa das permissões necessárias do serviço IAM. Consulte Detalhes do Serviço Logging na documentação do IAM Service para obter informações.

Observe que os logs de serviço são ativados no nível do vault. Repita as etapas deste tópico para cada vault regional para o qual você deseja ativar o registro em log.

Consulte Ativando o Registro em Log de um Recurso na documentação do Serviço Logging para obter mais informações.

  1. Abra o menu de navegação e selecione Observabilidade e Gerenciamento. Em Log, selecione Logs.
  2. Selecione Ativar Log de Serviço.
  3. Configure o log da seguinte forma:
    • Compartimento: Selecione o compartimento que contém o vault para o qual você está ativando o log.
    • Serviço: Gerenciamento de Chaves
    • Recurso: Selecione o vault que você deseja monitorar usando logs de serviço.
    • Categoria de Log: Operações de Criptografia.
    • Nome do Log: Informe um nome para o log.
  4. Selecione Ativar Log.

Exibir e Consultar Logs do KMS

  1. Abra o menu de navegação e selecione Observabilidade e Gerenciamento. Em Log, selecione Logs.
  2. Navegue até um log de serviço que você criou para um vault na view de lista de logs. Consulte Obtendo Detalhes de um Log se precisar de instruções.
  3. Use os controles Classificar e Filtrar por hora para controlar quais entradas de log são exibidas na lista de entradas Explorar Log. A coluna tipo exibe o tipo de operação de criptografia que a entrada representa. Por exemplo, uma entrada para uma operação de decriptografia tem o seguinte tipo de entrada:

    keymanagementservice.vault.crypto.decrypt

    A imagem a seguir mostra um exemplo de log com uma lista de entradas de log:

    Uma imagem de uma página de detalhes do log de serviço para operações de criptografia KMS.
  4. Para ver os detalhes completos de uma entrada de log, selecione a seta no final da linha para a entrada para expandir a entrada e exibir uma view formatada em JSON dos detalhes da entrada.

    A imagem a seguir mostra um exemplo dos detalhes de uma entrada de log no formato JSON:

    Imagem de uma entrada de log do serviço KMS no formato JSON.
    {
  "datetime": 1754361617552,
  "logContent": {
    "data": {
      "clientIpAddress": "<example_ip>",
      "keyVersionId": "ocid1.keyversion.oc1.iad.<example_ocid>",
      "opcRequestId": "<example_request_id>",
      "principalId": "objectstorage-us-ashburn-1/<example_principle>",
      "requestAction": "DECRYPT",
      "statusCode": 200
    },
    "id": "51777c94-e29c-4e78-9121-946c77301f62",
    "oracle": {
      "compartmentid": "ocid1.tenancy.oc1.<example_ocid>",
      "ingestedtime": "2025-08-05T02:40:55.747Z",
      "loggroupid": "ocid1.loggroup.oc1.<example_ocid>",
      "logid": "ocid1.log.oc1.iad.<example_ocid>",
      "tenantid": "ocid1.tenancy.oc1.<example_ocid>"
    },
    "source": "ocid1.vault.oc1.iad.<example_ocid>",
    "specversion": "1.0",
    "subject": "ocid1.key.oc1.iad.<example_ocid>",
    "time": "2025-08-05T02:40:17.552Z",
    "type": "com.oraclecloud.keymanagementservice.vault.crypto.decrypt"
  },
  "regionId": "us-ashburn-1"
}
  5. Para procurar entradas por uma consulta personalizada, selecione Ações e Explorar com Pesquisa de Log. O Modo Básico da pesquisa de logs é exibido por padrão e permite digitar palavras-chave (como "criptografar") ou valores ou strings exclusivos (como um valor principalId) no campo Filtros personalizados. Você também pode selecionar Modo Avançado e usar a sintaxe de consulta para pesquisar o log. Consulte Obtendo Detalhes de um Log e Pesquisa de Registro em Log para obter mais informações sobre como pesquisar logs.