Ativar Acesso ao Log Analytics e Seus Recursos
Configure sua tenancy da Oracle Cloud Infrastructure para usar o Oracle Log Analytics realizando estas tarefas pré-requisitos de configuração.
O Oracle Log Analytics é um serviço regional. Antes de começar, selecione uma região que deseja usar. Você pode seguir estas etapas para cada região que deseja configurar, mas cada região será uma instância diferente. Selecione sua região usando o seletor de região no canto superior direito da console.
Tópicos:
-
Identificar Compartimentos da OCI para Colocar os Recursos do Log Analytics
-
Criar Grupos de Usuários para Implementar o Controle de Acesso
Para políticas para executar tarefas específicas e uma referência completa dos requisitos de política no Log Analytics, consulte Catálogo de Políticas do Serviço IAM para o Log Analytics.
Você pode usar os modelos prontamente disponíveis para criar uma política para um grupo de usuários ou grupo dinâmico para executar uma operação específica ou um conjunto de operações. Consulte Modelos de Política definidos pela Oracle para Casos de Uso Comuns.
Se você ativou o Oracle Log Analytics usando a interface de usuário de admissão que está disponível quando você navega para o serviço pela primeira vez, algumas políticas já serão criadas. Consulte Políticas Criadas Durante a Integração do Log Analytics.
Ativar o Acesso do Log Analytics à Família de Recursos
Uma política de IAM no nível de serviço deve ser criada para permitir que o serviço Oracle Log Analytics opere. Crie políticas usando as Políticas padrão de IAM do Oracle Cloud Infrastructure e adicione a elas a instrução de política a seguir.
| Instrução de Política | Descrição |
|---|---|
allow service loganalytics to READ loganalytics-features-family in tenancy |
Permita que o serviço Oracle Log Analytics READ acesse direitos da família loganalytics-features-family em toda a tenancy. |
Algumas das instruções de política acima estão incluídas nos modelos de política definidos pela Oracle prontamente disponíveis. Talvez você queira considerar o uso do modelo para seu caso de uso. Consulte Modelos de Política definidos pela Oracle para Casos de Uso Comuns.
Para políticas para executar tarefas específicas e uma referência completa dos requisitos de política no Log Analytics, consulte Catálogo de Políticas do Serviço IAM para o Log Analytics.
Se você ativou o Oracle Log Analytics usando a interface de usuário de admissão que está disponível quando você navega para o serviço pela primeira vez, algumas políticas já serão criadas. Consulte Políticas Criadas Durante a Integração do Log Analytics.
Identificar Compartimentos da OCI para Colocar os Recursos do Log Analytics
Use compartimentos para criar recursos do Oracle Log Analytics, como entidades e grupos de log. Ajuste o acesso aos compartimentos para obter um melhor controle de acesso do usuário.
Você pode usar compartimentos existentes ou pode criar novos especificamente forOracle Log Analytics. Você pode criar vários compartimentos para conceder a diferentes conjuntos de usuários acesso a diferentes partes do produto ou dos dados de log. Para obter mais orientação sobre como os compartimentos funcionam, consulte Gerenciando Compartimentos na Documentação do Oracle Cloud Infrastructure.
Os recursos no Oracle Log Analytics devem residir nos compartimentos. Ao criar qualquer um dos seguintes recursos, selecione o compartimento no qual eles estarão:
| Recurso | Controle de Acesso Usando as Políticas de IAM da Oracle |
|---|---|
|
Entidades |
Você pode controlar quem pode ativar ou desativar a coleta de logs em uma entidade específica |
|
Grupos de Logs |
Você pode controlar quem pode pesquisar os logs após eles terem sido coletados, enriquecidos e indexados. |
|
Políticas de Expurgação |
Você pode controlar quem pode interromper ou alterar a definição de política de expurgação. |
|
Regras de Coleta do Object Storage |
Você pode controlar quem pode interromper ou alterar a regra de coleta. |
Para políticas para executar tarefas específicas e uma referência completa dos requisitos de política no Log Analytics, consulte Catálogo de Políticas do Serviço IAM para o Log Analytics.
Se você ativou o Oracle Log Analytics usando a interface de usuário de admissão que está disponível quando você navega para o serviço pela primeira vez, algumas políticas já serão criadas. Consulte Políticas Criadas Durante a Integração do Log Analytics.
Criar Grupos de Usuários para Implementar o Controle de Acesso
Crie um ou mais grupos de usuário para conceder níveis variados de acesso aos usuários, dependendo da forma como você deseja usar o Oracle Log Analytics.
Um usuário que seja membro do grupo Administradores terá acesso total a todas as funcionalidades do Oracle Log Analytics. Consulte As Atribuições do Grupo de Administradores, da Política e do Administrador
Grupos de Usuários Recomendados
É recomendável criar grupos de usuários semelhantes aos seguintes exemplos para começar:
- Log-Analytics-Users: Os usuários que você adicionar a este grupo poderão consultar os logs e ver várias configurações. No entanto, eles não podem ativar ou desativar a coleta de logs, alterar configurações ou excluir logs.
- Log-Analytics-Admins: Os usuários que você adicionar a este grupo terão privilégios de Log-Analytics-Users e, adicionalmente, poderão criar ou editar origens, parsers, entidades e grupos de log. Esses usuários também podem ativar ou desativar a coleta de logs. No entanto, eles não podem expurgar logs.
- Log-Analytics-SuperAdmins: Os usuários desse grupo têm os privilégios de Log-Analytics-Admins e também podem executar atividades de ciclo de vida, como admissão e demissão do Oracle Log Analytics, e expurgar logs.
Observe que os grupos anteriores são mostrados como exemplos e serão usados para criar políticas de IAM nesta documentação. No entanto, você pode criar os grupos de usuários com base em suas necessidades.
Agregar Tipos de Recursos no Log Analytics
As duas famílias a seguir permitem que você conceda acesso em massa sem precisar atribuir permissões individuais a cada grupo de usuários. Na maioria dos casos, você pode usá-los para simplificar o gerenciamento de suas políticas do Oracle Log Analytics.
- loganalytics-features-family para controlar os recursos aos quais um usuário tem acesso e as ações que o usuário pode executar usando Console, API REST, CLI ou SDK.
loganalytics-features-family e os recursos contidos nele só podem ser definidos no nível da tenancy, não por compartimento.
- loganalytics-resources-family para controlar o acesso que o usuário tem para criar, ler, atualizar e excluir os recursos, como entidades, grupos de logs, políticas de expurgação e regras de coleta do armazenamento de objetos.
Essa família e os recursos contidos nela podem ter acesso a toda a tenancy ou a um compartimento específico.
Para políticas para executar tarefas específicas e uma referência completa dos requisitos de política no Log Analytics, consulte Catálogo de Políticas do Serviço IAM para o Log Analytics.
Se você ativou o Oracle Log Analytics usando a interface de usuário de admissão que está disponível quando você navega para o serviço pela primeira vez, algumas políticas já serão criadas. Consulte Políticas Criadas Durante a Integração do Log Analytics.
Conceder Acesso a Grupos de Usuários
Crie políticas usando as Políticas padrão do Oracle Cloud Infrastructure IAM para definir como seus grupos de usuário podem usar o Oracle Log Analytics.
Se você quiser experimentar rapidamente o Oracle Log Analytics sem gerenciar grupos e políticas, um usuário que seja membro do grupo Administradores terá acesso total a todas as funcionalidades. Consulte As Atribuições do Grupo de Administradores, da Política e do Administrador
Para configurar a política de acordo com os exemplos de grupos em Criar Grupos de Usuário para Implementar Controle de Acesso, aplique os seguintes conjuntos de políticas.
Para o grupo de usuários Log-Analytics-SuperAdmins:
| Política | Descrição |
|---|---|
|
|
Permita que o grupo Log-Analytics-SuperAdmins tenha os direitos de acesso MANAGE da família loganalytics-features-family em toda a tenancy. Essa política concederá direitos de execução de cada tarefa no serviço, incluindo desligamento, exclusão de logs, configuração de arquivamento etc. |
|
OU
|
Permita que o grupo Log-Analytics-SuperAdmins tenha direitos de acesso MANAGE da família loganalytics-resources-family em toda a tenancy ou em um compartimento específico. Esta política permitirá que os direitos executem qualquer tarefa no serviço em qualquer tipo de recurso que pertença à família loganalytics-resources-family. |
|
|
Permita que o grupo Log-Analytics-SuperAdmins tenha todos os direitos para a família de recursos do Painel de Controle do Gerenciamento na tenancy. Você pode alterar da tenancy para compartimentos específicos. |
|
|
Permita que o grupo Log-Analytics-SuperAdmins obtenha a lista de compartimentos disponíveis para os grupos de logs aos quais o grupo pode ter acesso. Isso é necessário para usar o Log Explorer. |
Para o grupo de usuários Log-Analytics-Admins:
| Política | Descrição |
|---|---|
|
|
Permita que o grupo Log-Analytics-Admins tenha os direitos de acesso USE da família loganalytics-features-family em toda a tenancy. |
|
OU
|
Permita que o grupo Log-Analytics-Admins tenha direitos de acesso USE da família loganalytics-resources-family em toda a tenancy ou em um compartimento específico. Permita que esse grupo exiba, crie, edite ou exclua os recursos da família loganalytics-resources-family. |
|
OU
|
Permita que o grupo Log-Analytics-Admins tenha todos os direitos para a família de recursos do Painel de Controle do Gerenciamento na tenancy. Você pode alterar da tenancy para compartimentos específicos. |
|
|
Permita que o grupo Log-Analytics-Admins obtenha a lista de compartimentos disponíveis para os grupos de logs aos quais o grupo pode ter acesso. Isso é necessário para usar o Log Explorer. |
Para o grupo de usuários Log-Analytics-Users:
| Política | Descrição |
|---|---|
|
|
Permita que o grupo Log-Analytics-Users tenha os direitos de acesso READ da família loganalytics-features-family em toda a locação. |
|
OU
|
Permita que o grupo Log-Analytics-Users tenha direitos de acesso READ da família loganalytics-resources-family em toda a tenancy. Você pode alterar da tenancy para compartimentos específicos. Permita que este grupo exiba detalhes dos recursos na família loganalytics-resources-family. O usuário não pode criar, editar ou excluir nenhum deles. |
|
OU
|
Permita que o grupo Log-Analytics-Users tenha o direito de acesso USE da família de recursos do Painel de Controle do Gerenciamento na tenancy. Você pode alterar da tenancy para compartimentos específicos. |
|
|
Permita que o grupo Log-Analytics-Users obtenha a lista de compartimentos disponíveis para os grupos de logs aos quais o grupo pode ter acesso. Isso é necessário para usar o Log Explorer. |
Você pode adicionar instruções de política específicas de compartimento para qualquer número de compartimentos que deseja criar para organizar os recursos, como entidades e grupos de logs. Esses recursos também podem estar em compartimentos distintos. Não é necessário que todas as instâncias de recursos de tipos distintos estejam no mesmo compartimento. No entanto, talvez seja mais fácil gerenciar se você puder diminuir o número de compartimentos utilizados.
Em vez de usar a família de recursos, você também pode especificar uma política que esteja no nível de recurso individual. Por exemplo:
| Política | Descrição |
|---|---|
|
|
Os usuários do grupo DBA podem criar, editar ou excluir entidades e ativar ou desativar a coleta de logs para entidades no compartimento Bancos de Dados. |
|
|
Os usuários do grupo DBA podem criar, editar ou excluir grupos de logs e consultar os logs armazenados no compartimento Bancos de Dados. |
Algumas das instruções de política acima estão incluídas nos modelos de política definidos pela Oracle prontamente disponíveis. Talvez você queira considerar o uso do modelo para seu caso de uso. Consulte Modelos de Política definidos pela Oracle para Casos de Uso Comuns.
Para políticas para executar tarefas específicas e uma referência completa dos requisitos de política no Log Analytics, consulte Catálogo de Políticas do Serviço IAM para o Log Analytics.
Se você ativou o Oracle Log Analytics usando a interface de usuário de admissão que está disponível quando você navega para o serviço pela primeira vez, algumas políticas já serão criadas. Consulte Políticas Criadas Durante a Integração do Log Analytics.
Ativar Log Analytics
Depois de concluir as tarefas de pré-requisito, como a criação de grupos de usuário, a criação de compartimentos e a definição de políticas de acesso para os grupos de usuário, você poderá acessar oOracle Log Analytics e ativá-lo para uso.
Para ativar o Oracle Log Analytics, você deve ser membro do grupo Administradores. Consulte As Atribuições do Grupo de Administradores, da Política e do Administrador
-
Abra o menu de navegação, clique em Observabilidade & Gerenciamento e depois clique em Log Analytics.
-
Se esta for a primeira vez que você estiver usando o serviço nesta região, você chegará em uma página de admissão que lhe dará alguns detalhes de alto nível do serviço e uma opção para começar a usar a do Oracle Log Analytics. Clique em Comece a Usar o Log Analytics.
A Caixa de Diálogo Ativar Log Analytics é exibida. Aqui, as políticas mínimas exigidas e o grupo de logs serão criados se ainda não existirem.
-
Clique em Próximo. A coleta do Log de Auditoria do OCI está configurada.
A caixa de seleção Include _Audit in subcompartments é ativada por padrão. Você pode desativá-lo, se necessário. Com base em sua preferência, as políticas são criadas e as ações adequadas executadas.
Clique em Próximo.
-
Após a conclusão da admissão, clique em Levar-me ao Log Explorer.
Agora você pode explorar o Oracle Log Analytics.
Para exibir a lista de políticas criadas no processo acima, consulte Políticas Criadas Durante a Admissão do Log Analytics.