Processar Logs de Outros Serviços do OCI Usando o Conector de Serviço

Você pode analisar os logs para solucionar problemas, monitorar integridade e desempenho e observar as tarefas operacionais nos serviços Oracle Cloud Infrastructure fazendo a ingestão dos logs no Oracle Log Analytics.

Use o Conector de Serviço para identificar seu serviço Oracle Cloud Infrastructure como a origem dos logs e o Oracle Log Analytics como o destino. Para obter informações sobre como o Service Connector Hub funciona, consulte Visão Geral do Service Connector Hub na Documentação do Oracle Cloud Infrastructure.

Observação

Depois que o conector de serviço é criado, uma entidade é criada automaticamente para processar os logs. Para garantir a coleta adequada de logs, a entidade não deve ser excluída.

No caso de Logs do Oracle Operator Access Control, a entidade não é criada automaticamente. Para criar uma entidade, consulte Criar uma Entidade para Representar Seu Recurso de Emissão de Log.

Tópicos

Importante: A Oracle recomenda que você use o fluxo de trabalho de ingestão de dados disponível na console do Log Analytics para ingerir logs rapidamente de outros serviços do OCI. Vá para Home ou Log Explorer do Log Analytics, clique em Compassar e clique em Adicionar Dados.

Para todos os tipos de logs dos serviços do OCI, exceto Logs de Auditoria do OCI e Logs de Auditoria do IDCS, expanda a seção Monitorar recursos do OCI e clique em Configurar coleta de logs para recursos do OCI.
No caso de Logs de Auditoria do OCI ou Logs de Auditoria do IDCS, expanda a seção Segurança e Conformidade e clique nos logs de sua escolha. Neste fluxo de trabalho, todos os recursos necessários, como políticas, grupo de logs e conector de serviço, são criados automaticamente.

Siga as etapas intuitivas no fluxo de trabalho para começar a ingerir logs. Como pré-requisito, certifique-se de ter as permissões necessárias para concluir as etapas. Para obter uma rápida visão geral das etapas, assista ao Vídeo: How to Quickly Ingest Logs into Log Analytics from Other OCI Services no Oracle Cloud Observability and Management Platform.

Como alternativa, você pode configurar manualmente a coleta de logs executando as seguintes etapas:

Informações adicionais

Lista de origens definidas pela Oracle para coletar logs: Para obter a lista de origens definidas pela Oracle para coletar logs dos serviços do Oracle Cloud Infrastructure, consulte Origens definidas pela Oracle e procure por origens com título OCI...
Tipos de logs de serviço que você pode coletar: Para obter os tipos de logs que você pode coletar dos serviços do Oracle Cloud Infrastructure, os parsers, conteúdo de log de exemplo, os campos e o caminho JSON, consulte Detalhes do Parser do OCI.
Filtrar logs de coletados por meio do conector de serviço: O OCID do conector de serviço é mapeado para o campo Log Origin. Para exibir os logs que fluem deste conector de serviço para o Oracle Log Analytics, filtre os logs pelo campo Log Origin. Consulte Filtrar Logs por Atributos e Campos Fixados.

Permitir Coleta de Logs do Serviço OCI Logging

Com base no tipo de logs de serviço que deseja ingerir, crie políticas para permitir que Oracle Log Analytics obtenha as informações sobre os recursos e crie uma entidade para cada recurso.

Depois que você criar a política, a entidade criada será associada automaticamente a todos os logs coletados desse recurso. Se a política não for criada, os logs ainda serão ingeridos, mas a entidade não será criada.

As permissões a seguir são para fazer upload de logs para o Oracle Log Analytics pelo conector de serviço. Você será solicitado a adicionar essas instruções de política ao criar o conector de serviço por meio da console do OCI. Como alternativa, você pode criar manualmente a política que inclui as seguintes instruções de política:

allow any-user to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in compartment id <Log_Group_Compartment_OCID> where all {request.principal.type = 'serviceconnector', target.loganalytics-log-group.id = '<Log_Group_OCID>', request.principal.compartment.id = '<Service_Connector_Compartment_OCID>'}
allow group <userGroup> to MANAGE serviceconnectors in tenancy
allow group <userGroup> to READ logging-family in tenancy

Nas declarações de política acima,

Log_Group_Compartment_OCID: O OCID do compartimento do grupo de log no Oracle Log Analytics no qual os logs devem ser armazenados.
Log_Group_OCID: O OCID do grupo de log no Oracle Log Analytics no qual os logs devem ser armazenados.
Service_Connector_Compartment_OCID: O OCID do compartimento do hub do conector de serviço.

Observação

Se você ativou o Oracle Log Analytics usando a interface de usuário de admissão que está disponível quando você navega para o serviço pela primeira vez, algumas políticas já serão criadas. Consulte Políticas Criadas Durante a Integração do Log Analytics.

Política para Cada Tipo de Logs de Serviço

O Oracle Log Analytics cria uma entidade que representa o recurso subjacente do OCI quando novos logs são recebidos por meio do conector de serviço. Para obter as informações necessárias do recurso do OCI, você deve fornecer ao Oracle Log Analytics um acesso mínimo de read ao recurso do OCI. Por exemplo, para ler informações sobre um bucket no serviço Object Storage, você pode gravar uma das seguintes políticas:

Instrução de política com o READ PRIVILEGE do recurso do OCI:

allow resource loganalyticsvrp LogAnalyticsVirtualResource to {BUCKET_READ} in compartment <specify_compartment>

Instrução de política com o verbo read para a RECURSO do OCI:

allow resource loganalyticsvrp LogAnalyticsVirtualResource to read buckets in compartment <specify_compartment>

As instruções de política acima restringem o acesso read a um compartimento. Para estender o acesso a toda a tenancy, você pode alterar a instrução de política adequadamente.

Os recursos do OCI a seguir são suportados no Oracle Log Analytics para coleta de logs por meio do conector de serviço. Você pode criar a política usando o verbo de leitura para o recurso do OCI ou usar o privilégio de leitura para o recurso, conforme ilustrado acima.

Descrição do Recurso do OCI	Recurso do OCI	Privilégio de Leitura
Governança de Acesso	`agcs-instance`	(usar verbo read)
Receita de Remediação de ADM	`adm-remediation-recipes`	`ADM_REMEDIATION_RECIPE_READ`
Instância do Analytics Cloud	`analytics-instances`	`ANALYTICS_INSTANCE_READ`
Gateway da API	`api-gateways`	`API_GATEWAY_READ`
Domínio do APM	`apm-domains`	`APM_DOMAIN_READ`
Origem de Dados do Cloud Guard	`cloud-guard-data-sources`	`CG_DATA_SOURCE_READ`
Compute Cloud@Customer	`ccc-infrastructure`	`CCC_INFRASTRUCTURE_READ`
Container Engine para o Kubernetes	`clusters`	`CLUSTER_READ`
Serviço Data Flow (Aplicativo)	`dataflow-application`	`DATAFLOW_APPLICATION_READ`
Espaço de trabalho do Data Integration	`dis-workspaces`	`DIS_WORKSPACE_READ`
Jobs do Data Science	`data-science-jobs`	`DATA_SCIENCE_JOB_READ`
Implantações de Modelo do Data Science	`data-science-model-deployments`	`DATA_SCIENCE_MODEL_DEPLOYMENT_READ`
Pipeline do Data Science	`data-science-pipelines`	`DATA_SCIENCE_PIPELINE_READ`
Execução do Pipeline do Data Science	`data-science-pipeline-runs`	`DATA_SCIENCE_PIPELINE_RUN_READ`
Instância do Aplicativo ML do Data Science	`data-science-application-instances`	`DATA_SCIENCE_APPLICATION_INSTANCE_READ`
Pipeline de Build do DevOps	`devops-build-pipeline`	`DEVOPS_BUILD_PIPELINE_READ`
DevOps Estágio de Pipeline de Build	`devops-build-pipeline-stage`	`DEVOPS_BUILD_PIPELINE_STAGE_READ`
Execução de Build do DevOps	`devops-build-run`	`DEVOPS_BUILD_RUN_READ`
Implantação do DevOps	`devops-deployment`	`DEVOPS_DEPLOY_DEPLOYMENT_READ`
DevOps Pipeline de Implantação	`devops-deploy-pipeline`	`DEVOPS_DEPLOY_PIPELINE_READ`
DevOps Estágio de Implantação	`devops-deploy-stage`	`DEVOPS_DEPLOY_STAGE_READ`
Resolvedor de DNS	`dns-resolvers`	`DNS_RESOLVER_READ`
Serviço de Entrega de E-mail	`approved-senders`	`APPROVED_SENDER_READ`
Serviço para Eventos	`cloudevents-rules`	`EVENTRULE_READ`
Funções (Aplicativo FN)	`fn-app`	`FN_APP_READ`
Funções (Função FN)	`fn-function`	`FN_FUNCTION_READ`
Implantação do GoldenGate	`goldengate-deployments`	`GOLDENGATE_DEPLOYMENT_READ`
Instância	`instances`	`INSTANCE_READ`
Túnel IPSec	`ipsec-connections`	`IPSEC_CONNECTION_READ`
Balanceador de Carga	`load-balancers`	`LOAD_BALANCER_READ`
Workflow de Mídia	`media-workflow`	`MEDIA_WORKFLOW_READ`
Job de Workflow de Mídia	`media-workflow-job`	`MEDIA_WORKFLOW_JOB_READ`
Firewall de Rede	`network-firewall`	`NETWORK_FIREWALL_READ`
Serviço Object Storage (Bucket)	`buckets`	`BUCKET_READ`
OCI Cache	`redis-clusters`	`REDIS_CLUSTER_READ`
OCI Database with PostgreSQL	`postgres-db-systems`	`POSTGRES_DB_SYSTEM_READ`
Instância do OIC	`integration-instance`	`INTEGRATION_INSTANCE_READ`
Controle do Operador	`operator-control-family`	-
Sistema de Banco de Dados PostgreSQL	`postgres-db-systems`	`POSTGRES_DB_SYSTEM_READ`
Conector de Serviço	`serviceconnectors`	`SERVICE_CONNECTOR_READ`
Vault	`vaults`	`VAULT_READ`
VCN - VNIC	`vnics`, `vcns`, `subnets`	`VNIC_READ`, `VCN_READ`, `SUBNET_READ`
Firewall de Aplicativo Web	`web-app-firewall`	`WEB_APP_FIREWALL_READ`

Observação

Configurar o Conector de Serviço para Ingerir Logs

Antes de configurar o conector de serviço para ingerir logs, certifique-se de que o compartimento e o grupo de logs sejam identificados para os logs que você deseja ingerir.

No exemplo a seguir, as etapas mostram como coletar logs de serviço de VCN no serviço de Registro em Log do Oracle Cloud Infrastructure:

Esta é uma etapa sugestiva para mostrar como ativar logs no serviço de Registro em Log do Oracle Cloud Infrastructure.

Vá para o serviço Oracle Cloud Infrastructure Logging e vá para Logs.

Clique em Ativar Log de Recursos para ativar logs de serviço da VCN. A caixa de diálogo é aberta.
1. Selecione o compartimento de recursos.
2. Selecione o serviço, por exemplo, Virtual Cloud Network (subnets).
3. Selecione o recurso, por exemplo, da VCN.
4. Em Configurar Log, selecione a categoria de log, por exemplo, Flow Logs e o nome do log.
5. Em Local do Log, selecione o compartimento e grupo de logs dos quais o Oracle Log Analytics fará referência aos logs.
Clique em Ativar Log.
Configure o conector do serviço especificando o serviço de origem dos logs e o destino como Oracle Log Analytics. Você pode configurá-lo no serviço de origem que foi integrado ao Oracle Cloud Infrastructure Service Connector Hub, por exemplo, no serviço de Registro em Log do Oracle Cloud Infrastructure ou diretamente do Oracle Cloud Infrastructure Service Connector Hub.

Vá para o serviço Oracle Cloud Infrastructure Logging, vá para Connectores de Serviço e clique em Criar Conector.

Como alternativa, vá para o serviço Oracle Cloud Infrastructure Service Connector Hub e clique em Criar Conector de Serviço.

A página Criar Conector de Serviço é aberta.
1. Digite um nome para o conector e forneça uma descrição.
2. Selecione o compartimento de recursos no qual o recurso do conector deve ser criado.
3. Em Configurar Conector de Serviço, especifique Logging como o serviço de Origem e Logging Analytics como o serviço de Destino.
4. Em Configurar Conexão de Origem, forneça os detalhes dos logs a serem coletados do serviço, por exemplo, os logs de serviço da VCN.
  Selecione o nome do compartimento, o grupo ao qual os logs pertencem e o nome dos logs que você configurou na etapa 1.
Você pode configurar o mesmo conector de serviço para coletar mais logs. Clique em Outro Log e repita a etapa 2-d.

Se desejar, você poderá criar filtros em Configurar Tarefa.

Clique em Criar Conector.

Depois que o conector de serviço for criado, você poderá verificar se os logs selecionados estão disponíveis no Oracle Log Analytics.

Permitir Coleta de Logs entre Tenancies do Serviço OCI Logging

Deixe Source_Tenant ser o tenant do serviço de origem, como o Registro em Log do Oracle Cloud Infrastructure do qual os logs são coletados. Deixe que Target_Tenant seja o tenant no qual o conector de serviço é criado. O conector de serviço é configurado com o Oracle Log Analytics como o destino dos logs coletados do serviço de origem. Supõe-se que o hub de conector de serviço e o Oracle Log Analytics estejam disponíveis no mesmo tenant de destino.

Defina as políticas a seguir para configurar a coleta de log de uma tenancy que seja diferente da tenancy em que o conector é criado.

Políticas a Serem Adicionadas no Tenant de Origem

Aqui está um exemplo de instruções de política que permitem que qualquer usuário da tenancy do hub do conector de serviço tenha acesso READ ao serviço de Registro em Log:

define tenancy <Target_Tenant> as <Target_Tenant_OCID>
define group <Common_User_Group> as <Common_User_Group_OCID>
admit any-user of tenancy <Target_Tenant> to read logging-family IN TENANCY WHERE ALL {request.principal.type = 'serviceconnector'}
admit group <Common_User_Group> of tenancy <Target_Tenant> to read logging-family IN TENANCY

Além disso, as seguintes permissões são necessárias para ler os logs de eventos de Auditoria:

admit group <Common_User_Group> of tenancy <Target_Tenant> to read audit-events in TENANCY
admit any-user of tenancy <Target_Tenant> to read audit-events IN tenancy WHERE ALL {request.principal.type = 'serviceconnector'}

Certifique-se de definir a política para o tipo de logs de serviço que devem ser coletados no serviço de origem. Consulte Permitir Coleta de Logs do Serviço OCI Logging.

Políticas a Serem Adicionadas no Tenant de Destino

Veja um exemplo de instruções de política que permitem a qualquer usuário acessar o serviço Logging por meio do hub de conector de serviço e o grupo Common_User_Group do IAM de destino para ter acesso MANAGE ao hub de conector de serviço:

define tenancy <Source_Tenant> as <Source_Tenant_OCID>
endorse any-user to read logging-family IN tenancy <Source_Tenant> WHERE ALL {request.principal.type = 'serviceconnector'}
endorse group <Common_User_Group> to read logging-family IN tenancy <Source_Tenant>

Além disso, as seguintes permissões são necessárias para ler os logs de evento de Auditoria de origem:

endorse group <Common_User_Group> to read audit-events in tenancy <Source_Tenant>
endorse any-user to read audit-events in tenancy <Source_Tenant> WHERE ALL {request.principal.type = 'serviceconnector'}

As permissões a seguir são para fazer upload de logs para o Oracle Log Analytics pelo conector de serviço. Certifique-se de criar manualmente a política que inclui as seguintes instruções de política:

allow any-user to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in compartment id <Log_Group_Compartment_OCID> where all {request.principal.type = 'serviceconnector', target.loganalytics-log-group.id = '<Log_Group_OCID>', request.principal.compartment.id = '<Service_Connector_Compartment_OCID>'}
allow group <Common_User_Group> to MANAGE serviceconnectors in tenancy

Nas declarações de política acima,

Log_Group_OCID: O OCID do grupo de logs do Oracle Log Analytics.
Log_Group_Compartment_OCID: O OCID do compartimento no qual o grupo de logs do Oracle Log Analytics está localizado.
Service_Connector_Compartment_OCID: O OCID do compartimento do conector do serviço.
Common_User_Group: O grupo de usuários que cria o conector de serviço.

Criar um Conector entre os Tenants de Origem e de Destino

Após a criação das políticas necessárias para os tenants de origem e destino, crie um conector de serviço usando a CLI. O exemplo a seguir de comando da CLI especifica o Logging como origem e o Oracle Log Analytics como destino para criar o conector de serviço entre tenancies:

oci --profile <Target_Profile> sch service-connector create 
    --display-name XTenancyConnector 
    --compartment-id <Connector_Compartment_OCID> 
    --source '{ "kind": "logging", "logSources": 
        [ { "compartmentId": "<Logging_LogGroup_Compartment_OCID>", 
            "logGroupId": "<Logging_LogGroup_OCID>" } ] }' 
    --target '{ "kind": "loggingAnalytics", "logGroupId": "<LogAnalytics_LogGroup_OCID>" }'

O comando acima é formatado para melhor legibilidade. Remova caracteres como new line, tab e space adicionais antes de executá-lo.

No comando de CLI acima,

Target_Profile: O perfil no arquivo .oci/config que é mapeado para a tenancy de destino.
Connector_Compartment_OCID: O OCID do compartimento no qual o recurso do conector de serviço é criado.
Logging_LogGroup_Compartment_OCID: O OCID do compartimento ao qual o grupo de logs do Oracle Cloud Logging pertence. Isso está no locatário de origem.
Logging_LogGroup_OCID: O OCID do grupo de logs do Oracle Cloud Logging. Isso está no locatário de origem.
LogAnalytics_LogGroup_OCID: O OCID do grupo de logs do Oracle Log Analytics. Isso está no locatário alvo.

Para obter mais detalhes sobre o comando CLI, consulte Referência de Comando da CLI - Criar.

Depois que o conector de serviço for criado, você poderá verificar se os logs selecionados estão disponíveis no Oracle Log Analytics.

Interromper a Coleta de Logs do Conector de Serviço

Se você tiver configurado um Conector de Serviço para coletar continuamente logs do OCI Logging para o Oracle Log Analytics, poderá interromper a coleta de logs desativando o conector ou excluindo-o.

Se sua necessidade for interromper temporariamente a coleta de logs, mas manter a configuração do conector de forma que você possa reiniciar a coleta de logs posteriormente, Desative o conector.

Se você quiser interromper permanentemente a coleta de logs do conector de serviço, Exclua o conector.

Identificar o Conector de Serviço configurado para coleta de logs: Navegue até o serviço Connector Hub e liste os conectores no seu compartimento. Consulte Listando Conectores.

Clique no nome do conector para exibir os detalhes e a configuração do conector. Identifique o conector de serviço correto que está configurado para sua coleta de logs.
Interromper coleta de logs: Dependendo da sua necessidade, clique em Desativar ou Excluir. Consulte Desativando um Conector e Excluindo um Conector.

Isso interrompe o fluxo de dados do serviço OCI específico para o Oracle Log Analytics.

Se você tiver desativado o conector e quiser reiniciar a coleta de logs, reative esse conector. Consulte Ativando um Conector.